Heute können wir das Türchen mit der Nummer 18 im Sicherheits-Adventskalender öffnen. Dahinter verbirgt sich ein veritables Datenleck. Der Datenschutzvorfall betrifft den Hersteller Sennheiser (Audio-Technik). Dieser hat ein altes Cloud-Konto ungeschützt im Internet belassen, so dass Dritte auf Kundendaten zugreifen konnten.
Anzeige
Sennheiser wurde 1945 von Dr. Fritz Sennheiser gegründet. Bis heute ist es ein privates, familiengeführtes Unternehmen mit Sitz in der Wedemark. Das Unternehmen stellt hochwertige Audiogeräte für den privaten und geschäftlichen Gebrauch her, darunter Mikrofone, Kopfhörer, Aufnahmegeräte und Headsets für die Luftfahrt. Sennheiser ist weltweit in über 50 Ländern vertreten, beschäftigt rund 2.800 Mitarbeiter und erwirtschaftete 2019 einen Jahresumsatz von 756,7 Millionen Euro.
Alte S3-Bucket auf AWS vergessen
Das Sicherheitsteam von vpn-Mentor, welches das Internet nach offenen Datenbanken durchforstet, stieß kürzlich auf eine alte Cloud-Instanz, übr die Sennheiser versehentlich Konto mit Kundendaten offengelegt hat. Sennheiser betrieb einen Amazon Web Services (AWS) S3-Bucket, in dem Daten verschiedener öffentlicher Aktivitäten gesammelt wurden. Insgesamt handelte es sich um 55 Gigabyte an Daten.
Sennheiser hat es versäumt, irgendwelche Sicherheitsmaßnahmen für seinen S3-Bucket zu implementieren, so dass der Inhalt völlig ungeschützt und für jeden mit einem Webbrowser und technischen Kenntnissen leicht zugänglich ist. Obwohl das fragliche Konto Daten von 2015 bis 2018 enthielt und seit 2018 inaktiv zu sein scheint, waren mehr als 28.000 Sennheiser-Kunden betroffen. Dieser Datenschutzvorfall betraf sensible private Daten wie:
- Vollständige Namen
- E-Mail-Adressen
- Telefonnummern
- Privatadressen
- Namen der Unternehmen, die Proben anfordern
- Anzahl der Mitarbeiter des anfragenden Unternehmens
Die am 26. Oktober 2021 entdeckten Daten waren zwar alt, sind aber immer noch wertvoll für Kriminelle und Hacker. Für Sennheiser stellt das Ganze einen DSGVO-relevanten Vorfall dar. Ein massives Versäumnis eines großen, multinationalen und bekannten Unternehmens.
Sennheiser informiert
Das Sicherheitsteam von vpnMentor konnte Sennheiser schnell als Eigentümer der Daten im ungeschützten S3-Bucket identifizieren. Denn in den Daten fanden sich Dateien mit dem Namen des Unternehmens und Sennheiser-Mitarbeiter, die in der Infrastruktur des Buckets aufgeführt waren. Die Sicherheitsforscher benachrichtigten Sennheiser über die Datenschutzverletzung. Sennheiser antwortete uns einige Tage später und bat um Einzelheiten. Nachdem die URL des ungesicherten Servers und weitere Einzelheiten an Sennheiser übermittelt wurde, wies der AWS-Server einige Stunden später einen Zugriffsschutz auf. Sennheiser meldete sich allerdings nicht zurück. Details des Vorfalls lassen sich hier nachlesen.
Artikel des Security-Adventskalenders
1. Microsoft Defender Version 1.353.1874.0 meldet fälschlich Trickbot/Emotet
2. Windows 10/11: Falle beim "trusted" Apps-Installer; Emotet nutzt das
3. Beispiele für Viren-Mails nach Übernahme eines Exchange-Servers
4. Phishing-Angriffe von Staatshackern über neue RTF-Template-Injection-Technik
5. BSI-Empfehlung: Reagiert nicht auf SPAM-Mails
6. Android App Barcode Scanner Lite mit Trojaner – öffnet zufällige Webseiten
7. Cyberangriff auf SPAR-Lebensmittelgeschäfte in Yorkshire/England
8. Excel XLL-Addins für Malware-Installation missbraucht
9. Hellmann Logistics Opfer eines Cyberangriffs
10. Cloud-Dienste über USB-over-Ethernet-Schwachstellen angreifbar
11. Malware in Android Apps am Beispiel von GriftHorse
12. Azure Privilege Escalation durch Missbrauch der Azure API-Permissions
13. Phishing-Angriffe auf deutsche Kunden nutzen QR-Codes, um Bankdaten zu stehlen
14. Mirai Botnet Moobot zielt auf Hikvision-Kamerasysteme
15. Windows, TPM, MEM, und Intune: Hürden beim Motherboard-Wechsel
16: Häufige Login-Versuche an Routern (FRITZ!Box)
17: Insides zu Irelands Public Healthcare Ransomware-Fall
18: Sennheiser legt Kundendaten über alte Cloud-Instanz offen
19: Analyse, wie TeamTNT Docker-Hub-Konten kompromittiert
20: CPUID Enumerator and Decoder: Virenfrei, aber von Virustotal geflaggt
21: Google Play Protect: Bei Android-Sicherheitstests im Sommer 2021 durchgefallen
22: Tipps für mehr Schutz gegen Smishing-Attacken
23: BSI warnt: Erhöhte Bedrohung durch Ransomware-Angriffe zu Weihnachten
24: Google Zweifaktor-Authentifizierung (2FA), was man wissen sollte
2015
Bei 700Millionen gewinn ist für die Sicherheit nicht viel drin, wer hätte das gedacht.
Warum wundert mich das nicht. 🤔
Die 756,7 Millionen Euro sind UMSATZ und NICHT Gewinn! Das ist ein riesiger Unterschied. Was natürlich jetzt nicht heißt, dass für die Sicherheit nicht evtl. mehr Geld ausgegeben werden sollte… ;-)
Tatsächlich, wie Ralf S. schon schrieb, sind Umsatz != Gewinn. Im Geschäftsjahr 2019 hat das Unternehmen bspw. einen Verlust von 3.100.000 Euro ausgewiesen, wobei im Vorjahr noch knapp 800.000 Euro Gewinn drin waren.
https://www.northdata.de/Sennheiser+V+%2B+V+GmbH+%26+Co.+KG,+Wedemark/Amtsgericht+Hannover+HRA+120224
https://www.northdata.de/Sennheiser+Electronic+GmbH+%26+Co.+KG,+Wedemark/Amtsgericht+Hannover+HRA+120100
Aber wie man von Microsoft, Intel und Co gelernt hat: Sowas kompensiert man mit Stellenabbau.
Persönlich bin ich absolut kein Freund davon, wenn größere Unternehmen meinen, ihre Internetpräsenzen in die Hand Dritter zu geben (Amazon AWS, Azure etc.).
Berichte wie dieser sind dann eigentlich als Regel zu erwarten und nicht als Ausnahme.
Manche lernen es aber nur auf die harte Tour, andere wiederum wiederholen dieselben Fehler immer und immer wieder – hat ja keine ernsthaften Folgen / Konsequenzen für "Arbeitgeber". außer etwas Tamm-Tamm in der Presse.