CSO
Alternatives Drucklayout:
› reiner Text
Link: https://www.csoonline.com/de/a/was-csos-aus-dem-okta-hack-lernen-koennen,3673928

Recovery nach Lapsus$-Angriff

Was CSOs aus dem Okta-Hack lernen können

Datum:24.05.2022
Autor(en):Melanie Staudacher
Nach dem Supply-Chain-Angriff von Lapsus$ haben viele Kunden das Vertrauen in den IAM-Anbieter Okta verloren. Lesen Sie, wie das Unternehmen gegensteuern will und was CSOs von diesem Hack lernen können.

Die Aufarbeitung des Cyberangriffs durch Lapsus$ verlangt dem Sicherheitsanbieter Okta viel ab.
Foto: GooGag - shutterstock.com

25 Minuten hat der Cyberangriff der Hackergruppe Lapsus$1 auf den IAM2-Anbieter Okta gedauert. Der Dienst des amerikanischen Herstellers war zu jeder Zeit funktionsfähig, statt den zuvor befürchteten 366 Kunden-Tenants, waren "nur" zwei kompromittiert. Nichtsdestotrotz muss das Unternehmen nun viel Zeit und Ressourcen aufwenden, um das Vertrauen der Kunden zurückzugewinnen.

Analyse des Lapsus$-Hacks

Mittlerweile sind die forensischen Untersuchungen des Angriffs3 abgeschlossen und es steht fest: Die Auswirkungen des Vorfalls sind geringer als angenommen.

Der Zugriff auf die Okta-Tenants erfolgte nicht direkt, sondern über das Netzwerk des Dienstleisters Sitel. Dieser bietet bietet technischen Support sowie Customer Service für große Unternehmen.

Über das Endgerät eines Mitarbeiters von Sitel hatten sich die Lapsus$-Mitglieder Mitte Januar Zugriff auf das Netzwerk verschafft. Über den Sitel-Zugang erlangten die Angreifer weniger Tage später Zugriff auf zwei aktive Kunden-Tenants in der SuperUser-Anwendung von Okta. Dadurch hatten sie Einsicht in Anwendungen wie Slack und Jira. "Die Support-Techniker haben nur begrenzte Berechtigungen", sagt Ben King, Vice President, Customer Trust bei Okta. "Die Hacker wären also nicht in der Lage gewesen, sich bei Okta-Diensten anzumelden. Sie hätten höchstens veranlassen können, das Benutzerpasswort zurückzusetzen."

Zwei Monate später, am 21. März, veröffentlichte Lapsus$ Screenshots interner Okta-Systeme. Am nächsten Tag informierte der Hersteller die 366 potenziell betroffenen Kunden. "Wir haben jedem dieser Kunden die Protokolle der SuperUser-App zur Verfügung gestellt", heißt es in einer Stellungnahme4. Darüber hinaus setzte das Unternehmen Meetings mit den Kunden an, um ihnen dabei zu helfen, die Geschehnisse zu verstehen. Eine detaillierte Timeline der Ereignisse5 stellt der Sicherheitsanbieter online bereit.

Der Hersteller will nun seine Sicherheitsmaßnahmen verschärfen und Prozesse verbessern, um in Zukunft besser gewappnet zu sein.

Risikomanagement von Drittanbietern

Bereits am 21. Januar 2022 teilte Okta Sitel mit, Anomalien im Netzwerkbetrieb bemerkt zu haben. Bis der IAM-Spezialist den vollständigen Untersuchungsbericht von Sitel erhielt, dauerte es jedoch zwei Monate – bis zum 22. März 2022. CSO David Bradbury6 zeigte sich enttäuscht über den langen Zeitraum, der zwischen Benachrichtigung an Sitel und dem Eingang des vollständigen Untersuchungsberichts verstrichen ist.

Mittlerweile hat Okta die Geschäftsbeziehung mit Sitel beendet. "Unsere Aufgabe als Lösungsanbieter ist es, unsere Supply Chain7 zu managen und dafür zu sorgen, dass die notwendige Sicherheit zu jedem Zeitpunkt gewährleistet ist. Was die Zusammenarbeit mit Sitel angeht, mussten wir aus diesem Vorfall Konsequenzen ziehen", erklärt King.

In Zukunft will das Unternehmen das Audit-Verfahren für Third-Party-Anbieter verstärken, um sicherzustellen, dass diese den Sicherheitsvorgaben genügen. Zudem will der Hersteller Sub-Unternehmen dazu verpflichten, eine Zero-Trust-Architektur8 zu implementieren und sich für alle Anwendungen mit einer Lösung von Okta zu authentifizieren.

"Bisher hatten wir uns nicht die Arbeitsumgebungen wie zum Beispiel das Security Operations Center9 eines Dienstleisters vor Ort angesehen und auch nicht deren Security Culture10 untersucht. Das soll sich nun ändern", ergänzt King.

Zugang zu Kunden-Support-Systemen

King ist der Meinung, dass viele Fehler hätten vermieden werden können, hätte Okta besseren Zugang zu den Systemen von Sitel gehabt. Was die Zusammenarbeit mit Dienstleistern angeht, will der Hersteller künftig mehr Einfluss nehmen und alle Geräte verwalten, die auf Kunden-Support-Lösungen11 zugreifen. "Wir werden Unternehmen, die für uns den Kunden-Support übernehmen, eigene Geräte oder virtuelle Desktops12 bereitstellen", sagt King. Davon verspricht sich der Hersteller mehr Transparenz, um effektiver und schneller auf Sicherheitsvorfälle reagieren zu können, ohne sich auf Dritte verlassen zu müssen.

Außerdem nimmt der Security-Anbieter weitere Änderungen an dem Support-Tool vor, um den Zugriff auf Kunden-Informationen einzuschränken. Die Kunden sollen mehr Kontrolle darüber erhalten, auf welche Daten Okta oder Support-Mitarbeiter zugreifen können und diesen Zugriff zeitlich beschränken können.

Kundenvertrauen aufbauen

Was die Kommunikation mit den Kunden angeht, bereut King nichts: "Transparenz gehört zu den Grundwerten von Okta. Sobald wir erfahren haben, dass möglicherweise 366 Kunden von dem Sicherheitsvorfall betroffen waren, haben wir das kommuniziert. Wenn ich ein Kunde wäre, würde ich auch so schnell wie möglich informiert werden wollen."

Okta habe alles dafür getan, offen und transparent gegenüber den Kunden aufzutreten. Dennoch hätten Versuche, Kunden über den Sicherheitsvorfall zu informieren, teilweise Verwirrung geschafft. Hier brauche es nach Meinung von King mehr Klarheit über die Zuständigkeiten sowie eine deutliche und einheitliche Kommunikation auf allen Kanälen.

Die Aufgabe des Vice Presidents ist es nun, gemeinsam mit den Kunden neues Vertrauen13 in das Unternehmen und seine Produkte aufzubauen. Obwohl die Aufarbeitung des Vorfalls viel Arbeit erfordern werde, habe der Incident auch die Security Awareness14 in hohem Maße gestärkt. "Wir haben viel aus dem Vorfall gelernt und hoffen, mit unseren Erfahrungen anderen Unternehmen helfen zu können", fasst King zusammen.

Links im Artikel:

1 https://www.csoonline.com/de/a/lapsus-angriff-auf-okta-betrifft-366-kunden,3673834
2 https://www.csoonline.com/de/a/die-9-besten-iam-tools,3673918
3 https://www.okta.com/de/blog/2022/04/okta-concludes-its-investigation-into-the-january-2022-compromise/
4 https://www.okta.com/de/blog/2022/04/okta-concludes-its-investigation-into-the-january-2022-compromise/
5 https://www.okta.com/de/blog/2022/03/oktas-investigation-of-the-january-2022-compromise/
6 https://www.okta.com/de/blog/2022/03/oktas-investigation-of-the-january-2022-compromise/
7 https://www.csoonline.com/de/a/so-wird-ihre-lieferkette-resilient,3673800
8 https://www.computerwoche.de/a/zero-trust-verstehen-und-umsetzen,3547307
9 https://www.computerwoche.de/a/was-unternehmen-ueber-security-operation-center-wissen-muessen,3329824
10 https://www.csoonline.com/de/a/in-5-schritten-zur-sicherheitskultur,3673745
11 https://www.computerwoche.de/a/die-besten-helpdesk-tools,3549654
12 https://www.csoonline.com/de/a/wie-fernzugriff-sicherer-geht,3671903
13 https://www.computerwoche.de/a/wie-man-digitales-vertrauen-erlangt,3331336
14 https://www.csoonline.com/de/a/so-phishen-sie-richtig,3671947

IDG Tech Media GmbH
Alle Rechte vorbehalten. Jegliche Vervielfältigung oder Weiterverbreitung in jedem Medium in Teilen oder als Ganzes bedarf der schriftlichen Zustimmung der IDG Tech Media GmbH. dpa-Texte und Bilder sind urheberrechtlich geschützt und dürfen weder reproduziert noch wiederverwendet oder für gewerbliche Zwecke verwendet werden. Für den Fall, dass auf dieser Webseite unzutreffende Informationen veröffentlicht oder in Programmen oder Datenbanken Fehler enthalten sein sollten, kommt eine Haftung nur bei grober Fahrlässigkeit des Verlages oder seiner Mitarbeiter in Betracht. Die Redaktion übernimmt keine Haftung für unverlangt eingesandte Manuskripte, Fotos und Illustrationen. Für Inhalte externer Seiten, auf die von dieser Webseite aus gelinkt wird, übernimmt die IDG Tech Media GmbH keine Verantwortung.