Bei der Christ Group – allgemein als Kette von Schmuckverkäufern bzw. Juwelieren bekannt – wurde vom 2 Wochen ein Cyberangriff bekannt. Das Unternehmen hat den Angriff bestätigt und eine Verlautbarung veröffentlicht. Nun haben die Angreifer damit begonnen, Daten zu veröffentlichen und es stellt sich heraus, dass das Statement der Christ Group nicht so ganz zutreffend war.
Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Anzeige)
Die Christ Group bestätigt Cyberangriff
Die Christ Group bezeichnet sich als marktführendes Juwelierunternehmen, welches die erste Adresse für hochwertigen Schmuck und Uhrmacherkunst sei. Eigentümerin ist die Morellato Group. Seit 1863 bietet CHRIST Echtschmuck-Kollektionen in den Bereichen Diamant, Gold und Perle an. Das Unternehmen hat 2000 Mitarbeiter.
In einer nicht datierten Mitteilung an die Presse hat die Christ Group vor zwei Wochen (siehe LinkedIn-Post) eine ziemlich verschwurbelte Erklärung veröffentlicht (das Original ist am Artikelende als Kopie einsehbar).
- In der Erklärung bestätigt die Christ Group einen Cyberangriff zu einem ungenannten Zeitpunkt auf die IT der Gruppe.
- Dank der umfassenden Sicherheitsmaßnahmen sei der Angriff frühzeitig erkannt und sofort eingedämmt worden, so dass es nicht zu einer Verschlüsselung von Systemen kam.
Der Betrieb der Online-Shops konnte weiterlaufen. Die Firma hat sofort mehrere externe Spezialisten für Cyber Incident Response und IT-Forensik hinzugezogen, um das Ausmaß des Angriffs zu analysieren. Alle zuständigen Behörden seien über den Vorfall informiert worden, heißt es.
Laut aktuellem Kenntnisstand auf Basis der IT-forensischen Analysen haben die Angreifer, laut der Unternehmensmitteilung, auf personenbezogene Daten zugegriffen und einen Teil davon abgeleitet. Es bestehe zudem das theoretische Risiko, dass die Angreifer diese Daten auch eingesehen haben und sie unautorisierten Dritten bekannt geworden sind, hieß es. Potentiell betroffen sein könnten Kundennummern, personenbezogene Daten wie Name und Kontaktinformationen (u.a. Adressdaten), sowie Informationen, die der Vertragsschließung und Auftragsvergabe dienlich sein könnten (z.B. Kaufhistorie, Einwilligungserklärungen).
Reaktion der Angreifergruppe World Leaks
Das am Artikelende verlinkte Statement der Christ Group hat wohl die Angreifergruppe Worldleaks mächtig geärgert. Ein Leser wies mich per Mail darauf hin (danke), dass Worldleaks eine eigene Stellungnahme ERKLÄRUNG ALS ANTWORT AUF DIE UNWAHRHEITEN VON CHRIST im Darknet veröffentlicht habe.
Die Erpressergruppe Gruppe stört sich an der Christ Group-Erklärung "Dank unserer umfassenden Sicherheitsmaßnahmen wurde der Angriff frühzeitig erkannt und sofort eingedämmt, wodurch die Verschlüsselung der IT-Systeme verhindert werden konnte." Die Gruppe der Angreifer weist in ihrer Erklärung darauf hin, dass "World Leaks" keine IT-Systeme verschlüssele, sondern nur Daten für Erpressungszwecke abzieht. Dadurch konnte auch nichts verhindert werden, sondern es ist imho juristisches Schönsprech der Christ Group für die allgemeine Presse.
Zudem scheint die IT der Christ Group auch nicht ganz verstanden zu haben, wie lange die Cybergruppe Zugriff auf die Systeme hatte. In obigem Screenshot ist eine zweiwöchige Lücke zwischen den Zeitstempeln der von der Gruppe extrahierten Daten zu finden, schreiben die Angreifer. Gleichzeitigt stellen sie die Frage, wie dies mit der Behauptung einer "frühzeitigen Erkennung" durch die IT bzw. Sicherheitssysteme von Christ vereinbar sei?
Die Cyber-Gang schreibt, dass die gesamte Erklärung der Christ Group "voller Lügen" sei. Die Angreifer geben an, monatelang unbemerkt im Netzwerk der Christ-Gruppe unterwegs gewesen zu sein. Dabei habe man 1/3 der gesamten Daten des Unternehmens entwendet, was 10 TB unkomprimiert entspricht. Diese Daten umfassen nahezu alle wertvollen Daten, über die die Christ Group verfügt.
In der Erklärung der Angreifer heißt es: "Sie versuchen, sich selbst als großartige Bewahrer von Kundendaten darzustellen. Sie sagen ihren Kunden, sie sollten einfach akzeptieren, dass ihre Daten veröffentlicht werden, und rechtfertigen dies mit der Ausrede, dass 'Sicherheit nicht absolut ist'".
In Wirklichkeit sei es um die IT-Sicherheit bei CHRIST miserabel bestellt, gibt die Gruppe an. Die meisten Rechner hätten seit vier Jahren keine Sicherheitsupdates mehr erhalten. Ein lokaler Juwelier habe eine bessere Sicherheit als die Christ Group, heißt es.
Die Christ-Gruppe weigere sich, die geforderte Lösegeldsumme, die weniger als 0,50 € pro Kunde betrage, zu zahlen, um die Veröffentlichung der Daten zu verhindern, heißt es von den Angreifern. Gut, hier kann ich die Christ Group verstehen: Niemals an Cyberangreifer zahlen – wenn dies alle machen, trocknet das Geschäftsmodell der finanziell motivierten Angreifer aus.
Sieht so aus, als ob die Angreifer nicht amüsiert über die Weigerung zur Zahlung von Lösegeld wären und sich über die Verlautbarungen der Christ Group geärgert haben. Ob die Behauptungen der Cyberangreifer, dass Rechner seit Jahren ungepatcht waren, was die Angriffsfläche war (möglicherweise ein System in einem der Christ-Läden) etc. muss offen bleiben. Kann alles zutreffen oder gelogen sein, wir können es nicht überprüfen. Was sich aber herauskristallisiert, ist, dass es bei der Christ Group zu einer "sehr geschönten Stellungnahme" gekommen zu sein scheint, die dem Unternehmen jetzt auf die Füße fallen könnte. Die nachfolgende Stellungnahme zeigt mir bereits, dass weniger die Information, was genau passiert ist, im Vordergrund steht, sondern dass viel Text den Sachverhalt, dass Kundendaten abgeflossen sind, vernebelt werden soll. Wenn eine Pressemitteilung nicht mal ein Datum, an der sie veröffentlicht wurde, trägt, weiß ich schon, was ich vom Inhalt halten sollte.
Stellungnahme von Christ
Information zu Cyber-Angriff auf die CHRIST Group
Hiermit möchten wir Sie darüber informieren, dass die CHRIST Group (CHRIST Juweliere und Uhrmacher seit 1863 GmbH, Valmano GmbH, NXT LVL GmbH) Opfer eines gezielten kriminellen Cyber-Angriffs wurde, und Ihnen die aktuellen Informationen hierzu zur Verfügung stellen.
Keine Einschränkungen in der Verfügbarkeit unserer Geschäfte
Dank unserer umfassenden Sicherheitsmaßnahmen wurde der Angriff frühzeitig erkannt und sofort eingedämmt, so dass es nicht zu einer Verschlüsselung von Systemen kam. Bestellungen in unseren Online-Shops waren und sind uneingeschränkt möglich und werden ausgeliefert, auch in unseren Filialen gibt es keine größeren Einschränkungen. Alle Ansprechpersonen sind unter den bekannten Kontaktdaten per E-Mail und Telefon erreichbar.
Analyse des Vorfalls durch IT-Spezialisten & Zusammenarbeit mit Behörden
Umgehend nach Erkennung des Vorfalls haben wir mehrere externe Spezialisten für Cyber Incident Response und IT-Forensik hinzugezogen, um das Ausmaß des Angriffs zu analysieren. Alle zuständigen Behörden wurden über den Vorfall informiert und wir stehen in engem Austausch mit ihnen: Wir haben den Vorfall fristgerecht bei der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen gemeldet und außerdem Strafanzeige beim Landeskriminalamt Nordrhein-Westfalen erstattet.
Stand zur Datensicherheit
Laut aktuellem Kenntnisstand auf Basis der IT-forensischen Analysen haben die Angreifer auf personenbezogene Daten zugegriffen und einen Teil davon abgeleitet. Es besteht zudem das theoretische Risiko, dass die Angreifer diese Daten auch eingesehen haben und sie unautorisierten Dritten bekannt geworden sind.
Nicht betroffen sind Passwörter, Kreditkartendaten oder andere Daten in Zusammenhang mit Zahlungen.
Potentiell betroffen sein könnten Kundennummern, personenbezogene Daten wie Name und Kontaktinformationen (u.a. Adressdaten), sowie Informationen, die der Vertragsschließung und Auftragsvergabe dienlich sein könnten (z.B. Kaufhistorie, Einwilligungserklärungen). Wir bedauern diesen Vorfall sehr und möchten Ihnen einige wichtige Hinweise an die Hand geben, wie Sie sich grundsätzlich, aber vor allem in dieser Situation, schützen können.
Verhalten Sie sich im Internet bitte generell vorsichtig: Seien Sie wachsam beim Öffnen von E-Mail-Anhängen, beim Anklicken von Verlinkungen sowie bei Downloads sowie gegenüber verdächtigen Aktivitäten (E-Mails, Anrufe, Textnachrichten, Social-Media-Anfragen).
Bitte beachten Sie, dass CHRIST Sie niemals direkt kontaktieren wird, um sensible Daten wie Kreditkarteninformationen, Bankverbindungen oder Passwörter abzufragen.
Wenn Sie sich grundsätzlich über die Gefahr von Datenmissbrauch informieren möchten, bieten die Verbraucherzentralen dazu weitere Informationen, Hinweise und auch Beratung an: Verbraucherzentrale: mögl. Folgen von Identitätsdiebstahl
Erhöhung der Schutzmaßnahmen
Eine 100-prozentige Sicherheit im Bereich IT gibt es nicht – dennoch haben wir uns in der Vergangenheit auf mögliche Cyberangriffe vorbereitet, unter anderem durch regelmäßige Penetrationstests unserer kritischen Systeme, Mitarbeiterschulungen zur IT-Sicherheit, den konsequenten Einsatz von Multi-Faktor-Authentifizierung sowie weitere technische und organisatorische Schutzmaßnahmen. Aufgrund des Vorfalls führen wir derzeit – parallel zu den tiefenforensischen Untersuchungen – engmaschige Prüfungen der Netzwerke und Systeme als proaktive Sicherheitsmaßnahme durch. Neben den bereits kurzfristig umgesetzten Maßnahmen werden wir weitere mittel- und langfristige Verbesserungen der Sicherheitsvorkehrungen ableiten und implementieren, um unsere bestehenden Schutzmaßnahmen noch weiter zu erhöhen und unsere Systeme weiter zu härten.
Häufig gestellte Fragen:
Was ist passiert?
Die CHRIST Group (CHRIST Juweliere und Uhrmacher seit 1863 GmbH, Valmano GmbH, NXT LVL GmbH) ist Opfer eines gezielten kriminellen Cyber-Angriffs, bei dem unautorisierte Dritte Zugriff auf Daten erlangen konnten.
Welche Daten sind betroffen?
Nicht betroffen sind Passwörter, Kreditkartendaten oder andere Daten in Zusammenhang mit Zahlungen.
Potentiell betroffen sein könnten Kundennummern, personenbezogene Daten wie Name und Kontaktinformationen (u.a. Adressdaten), sowie Informationen, die der Vertragsschließung und Auftragsvergabe dienlich sein könnten (z.B. Kaufhistorie, Einwilligungserklärungen).
Was hat CHRIST unternommen?
Wir haben umgehend nach Erkennung des Vorfalls entsprechende Gegenmaßnahmen eingeleitet, die relevanten Behörden informiert und externe Spezialisten hinzugezogen, um Art und Umfang des Angriffs zu analysieren.
Was kann ich jetzt tun?
Verhalten Sie sich im Internet bitte generell vorsichtig: Seien Sie wachsam beim Öffnen von E-Mail-Anhängen, beim Anklicken von Verlinkungen sowie bei Downloads sowie gegenüber verdächtigen Aktivitäten (E-Mails, Anrufe, Textnachrichten, Social-Media-Anfragen).
An wen kann ich mich wenden?
Für datenschutzrelevante Anfragen in diesem Zusammenhang wenden Sie sich auch gerne an: datenschutzbeauftragter@christ.de
Als Unternehmen mit über 160 Jahren Tradition werden wir auch diese Herausforderung meistern: Wir investieren weiterhin kontinuierlich in unsere technische Sicherheit – entsprechend unserem Leitbild, jederzeit innovativ und zukunftsorientiert zu handeln. CHRIST steht für erstklassige Qualität und exzellenten Service – und diese Werte werden wir auch weiterhin hochhalten.
MVP: 2013 – 2016
Also wenn die Christ-Group nicht bereit ist, weniger als 0,50 € pro Kunde zu zahlen, um ihre Kunden zu schützen, wäre das schon krass.
Adressdaten incl. Kaufhistorie bei einem Juwelier sind ja sicher sehr gefragt, wenn jemand wissen will, wo mit einem Einbruch/Raub die Aussicht auf große Beute bestehen sollte.
Ich finde es eigentlich richtig, wenn Angreifer so wie World Leaks Informationen darüber veröffentlichen, wenn bei einem Cyberangriff erkannt wird, dass ein Unternehmen die IT-Sicherheit grob vernachlässigt hat…
Naja welches gehackte Unternehmen hat den je schonmal ungeschönt die Wahrheit gesagt? Leugnen und Häppchenweise zugeben was man nicht mehr leugnen kann… ist doch die übliche Vorgehensweise. Ganz dreiste Unternehmen leugnen sogar noch wenn es nichts mehr zu leugnen gibt!
Also mir ist kein Unternehmen bekannt, welches gehackt wurde und seine Kundschaft unverblümt und ehrlich informiert hat, egal ob es sich um den kleinen Handwerker von nebenan gehandelt hat oder große Weltkonzerne wie Adobe, Sony & Co.
Wieso auch? Passiert ja nix, selbst wenn sie den Lügen überführt werden… da müsste man als Kunde schon einfachen schnellen und unbürokratischen Schadensersatz fordern können müssen…. damit sich da mal was ändert. Damit zusätzlich zu dem Schaden und evtl. Lösegeldzahlungen auch die Schadenersatzforderungen zusätzlich noch ordentlich wehtun! Als betroffener Kunde gehst du doch letztendlich leer aus, obwohl du letztendlich zu den Geschädigten gehörst ohne selbst was dafür zu können.
Das muss sich ändern!
"Gruppe weigere sich, die geforderte Lösegeldsumme,"
die Christ Group sicherlich, klingt im Fließtext so, als wenn die Erpressergruppe sich weigert (was keinen Sinn ergibt)
Die Verantwortlichen sollten in die Politik gehen: Viele Worte, kein Inhalt.
Ich empfehle den vorherigen Schreibern mal die Nase nicht zu hoch zu halten. Oder seid ihr direkt betroffen? Es hat Christ erwischt, vielleicht haben sie geschlampt, vielleicht hat ein Vorlieferant geschlampt. Es ist die Pflicht des Unternehmers Schaden vom Unternehmen fernzuhalten. Dies gilt auch noch nach so einem Vorfall und deswegen sind Standardschreiben wie "es gibt hier nix zu sehen, bitte gehen sie weiter" ganz normal. Außerdem könnte jede andere Aussage des Unternehmers "wir haben geschlampt" auf den Unternehmer zurückfallen. Also alles im Rahmen bei Christ.
Mal als Einwurf:
Haltet ihr euch denn alle an die DSGVO-Pflichten? Habt ihr z. B. Google/Apple/Whatsapp-Konten, die automatisch mit den entsprechenden Servern Adressbucheinträge abgleichen? Und habt ihr die schriftliche Einwilligung vorher von allen Adressbucheinträgen eingeholt?
Meldet ihr jeden Vorfall auf eurem privaten System dem Landesdatenschutzbeauftragten?
Datenschutz fängt bei jedem Einzelnen an. Und wer ohne Sünde ist, darf mit Steinen um sich werfen …
Ich wünsche niemanden solch einen Vorfall. Da hängen unter Umständen viele Arbeitsplätze dran.
Es geht nicht um den Sachverhalt, dass sie gehackt wurden, sondern um das Schönsprech, wie toll man doch im Grunde sei. Sind ja die Daten der Anderen, die da jetzt missbraucht werden. Ich habe mir schon kurz überlegt, veröffentlichst Du das – aber die Diskrepanz zwischen der Verlautbarung der Christ Group und dem, was die Angreifer offen legen, ist schon arg. Und genau darum geht es.
Zu Deinen Hinweisen auf DSGVO-Pflichten: Bei Privatleuten gilt die nicht. Wäre selbstverständlich schön, wenn sich auch ein Privatmann an die DSGVO hält – was glaubst Du, warum es bei mir Treema sowie Signal und nicht WhatsApp auf meinem Smartphone gibt? Und warum ich peinlich darauf achte, bei Mails (auch bei Privat-Nachrichten) die Absender bei Antworten an mehrere Personen auf BCC zu setzen?
Aber es ist schon ein Unterschied, ob ich mit "Scheiß auf den Datenschutz", oder mit "ich versuche bestmöglich, was geht" zu leben.
Kann man als Unternehmen so machen, ist aber Kacke. Das Vertrauen in ein Unternehmen, das zu vertuschen sucht ist einfach dahin (wenigstens bei mir und in meinem Umfeld). Im Sinne des Unternehmens ist das nicht. Und ja, ich kritsiere alle sehr scharf, welche WhatsApp nutzen und mich im Adreßbuch haben. Leider ist unserer mit Laien besetzen EU es nicht gelungen das einfach abzustellen. Für hartnäckige Verstöße gegen die DSGVO sollten die verantwortlichen Geschäftsführer und Vorstände in Beugehaft genommen werden. Dann hört das schlagartig auf.
Huch, wo ist denn die News zu "KI Blase wird platzen" hin? Die wurde mir noch im Feedreader angezeigt.