ExtraHop warnt in seiner aktuellen Sicherheitsempfehlung vor Anbietern, die bei „Call Home“-Aktivitäten vertrauliche Daten ihrer Kunden ohne deren Wissen oder Zustimmung exfiltrieren. Mit diesem Hinweis will ExtraHop Unternehmen dazu anregen, ihre Anbieter bei der Nutzung von Kundendaten strenger zu kontrollieren und sie bei Fehlverhalten zur Verantwortung zu ziehen.
In dieser Empfehlung wird „Call Home“ als Aktivität beschrieben, bei der Daten von einem Host aus über eine speziell dafür etablierte Verbindung an einen Server weitergeleitet werden. Dies gilt als die „White Hat“-Version der Datenausschleusung. Dem Bericht zufolge ist „Call Home“ eine gängige Praxis, die völlig legitim und sehr nützlich sein kann – wenn die Kunden ihr Einverständnis erteilt haben. Wenn nicht, werden ohne das Wissen des Kunden personenbezogene oder andere vertrauliche Daten außerhalb des Unternehmens übertragen, gespeichert und dabei möglicherweise großen Gefahren ausgesetzt. Damit verstoßen die Anbieter wahrscheinlich auch gegen die immer strenger werdenden Datenschutzbestimmungen.
„Wir haben uns entschieden, diese Sicherheitsempfehlung zu veröffentlichen, weil wir einen besorgniserregenden Aufwärtstrend bei ‚Call Home‘-Aktivitäten beobachtet haben, die von Drittanbietern initiiert wurden, ohne die Kunden darüber zu informieren“, erklärt Jeff Costlow, CISO bei ExtraHop. „Am meisten beunruhigt uns, dass diese Aktivitäten in zwei der vier in unserer Empfehlung beschriebenen Fälle von renommierten Anbietern aus der Cybersicherheitsbranche durchgeführt wurden. Viele Unternehmen verlassen sich beim Schutz ihrer Daten auf diese Anbieter. Daher raten wir allen Unternehmen dringend, für mehr Transparenz in ihren Netzwerken zu sorgen, um solchem Missbrauch frühzeitig einen Riegel vorzuschieben.“
In der Sicherheitsempfehlung werden vier Praxisbeispiele aus dem Finanzwesen, der Lebensmittelindustrie und dem Gesundheitswesen analysiert, in denen Experten von ExtraHop die unautorisierte Ausschleusung von Kundendaten beobachtet haben:

  • Datendiebstahl bei einem Finanzdienstleister: Während einer Schulung bei einem Kunden im Finanzwesen bemerkte ExtraHop, dass einige der Domain Controller Daten an eine Public-Cloud-Instanz schickten. Genauere Untersuchungen ergaben, dass diese Domain Controller den SSL-Datenverkehr des Kunden sogar an 50 verschiedene Endpunkte in öffentlichen Clouds weiterleiteten, die vom Anbieter des Kunden genutzt wurden. Alles ohne Kenntnis des Finanzdienstleisters. In unserer Sicherheitsempfehlung erläutern wir, wie dieser renommierte Cybersicherheitsanbieter mindestens zwei Monate lang unerkannt Daten ausschleuste.
  • Datenmissbrauch im Krankenhaus: An einem amerikanischen Krankenhaus wurde ein neues Produkt zur Verwaltung medizinischer Geräte getestet. Um den Schutz der Patientendaten und HIPAA-Compliance zu gewährleisten, sollte dieses Produkt ausschließlich die WLAN-Verbindung des Krankenhauses nutzen. Doch Experten bei ExtraHop fiel auf, dass die Daten auch über zusätzliche, mit dem Cloud-Speicher des Anbieters verknüpfte und verschlüsselte SSL:443-Verbindungen geleitet wurden. Dies stellte eine klare Verletzung der HIPAA-Vorschriften dar.
  • Schatten-IT schickt Daten nach China: Während eines Besuchs bei einem großen, internationalen Kunden in der Lebensmittelindustrie entdeckte ExtraHop, dass ungefähr alle 30 Minuten UDP-Datenverkehr über ein an das Netzwerk des Kunden angeschlossenes Gerät an eine dubiose IP-Adresse verschickt wurde. Bei dem Gerät handelte es sich um eine in China hergestellte Überwachungskamera, die mithilfe von „Call Home“-Aktivitäten Daten an eine chinesische IP-Adresse weiterleitete, die mit mehreren Malware-Angriffen assoziiert worden war.

Legt Ihr Anbieter alle Karten auf den Tisch? Bei der Durchführung eines Konzeptnachweises (Proof-of-Concept, POC) bei einem Finanzdienstleister bemerkte ExtraHop, dass große Datenvolumina vom Rechenzentrum des Kunden in den USA nach Großbritannien geschickt wurden. Nach einigen Untersuchungen stellte sich heraus, dass ein Sicherheitsanbieter des Dienstleisters, der am gleichen POC beteiligt war, innerhalb von zweieinhalb Tagen mehr als ein Terabyte Daten ausgeschleust hatte (also über 400 GB pro Tag). Der Kunde war überrascht, denn der Anbieter hatte ihm versichert, dass sämtliche Analysen und alle auf maschinellem Lernen basierten Vorgänge auf einer dafür bereitgestellten Appliance in der Umgebung des Finanzdienstleisters stattfinden würden. (rhh)
ExtraHop