LKW-Hersteller Navistar macht Sicherheitsvorfall bekannt

sans-institute-ft

Kommentar von Kai Thomsen, ICS-Trainer beim SANS Institute und Director Global Incident Response Services bei Dragos

Anfang Juni machte der US-amerikanische Nutzfahrzeughersteller Navistar einen Sicherheitsvorfall öffentlich, wie unter anderem Bleeping Computer berichtete. Dieser Vorfall hat das Unternehmen den eigenen Angaben nach Mitte Mai beschäftigt und zu nun liegt ein Bericht vor. Darin heißt es (Übersetzung):

„Am 20. Mai 2021 erfuhr die Navistar International Corporation von einer glaubwürdigen potenziellen Cybersicherheitsbedrohung für ihr IT-System. Nach Bekanntwerden der Cybersecurity-Bedrohung leitete das Unternehmen eine Untersuchung ein und ergriff sofortige Maßnahmen in Übereinstimmung mit seinem Cybersecurity-Reaktionsplan, einschließlich der Anwendung von Eindämmungsprotokollen, um die Auswirkungen der potenziellen Bedrohung abzuschwächen, der Beauftragung von internen und externen IT-Sicherheits- und Forensikexperten, um jegliche Auswirkungen auf das IT-System des Unternehmens zu bewerten, und der Anwendung zusätzlicher Sicherheitsmaßnahmen, um die Integrität der Infrastruktur des IT-Systems und der darin enthaltenen Daten zu schützen. Bis heute ist das IT-System der Gesellschaft weiterhin voll funktionsfähig.

Am 31. Mai 2021 erhielt die Gesellschaft eine Meldung, dass bestimmte Daten aus dem IT-System der Gesellschaft extrahiert worden waren. Die oben beschriebenen Maßnahmen sind noch nicht abgeschlossen, da das Unternehmen mit der Unterstützung von externen Experten weiterhin das Ausmaß und die Auswirkungen des Cybersecurity-Vorfalls untersucht und behandelt. Die Strafverfolgungsbehörden sind über den Cybersicherheitsvorfall informiert.“

Der Hersteller gab also an, dass seine IT-Systeme zu keinem Zeitpunkt von dem Ereignis betroffen waren, lediglich, dass angeblich Daten abgeflossen seien. Der Vorfall wird derzeit weiter aufgeklärt.

Wie wir in den letzten Monaten beobachten konnten, nehmen Ransomware-Angriffe auf einem bereits hohen Niveau deutlich zu, und es spielt keine Rolle, in welcher Branche ein Unternehmen tätig sind oder wie groß es ist, jeder kann zur Zielscheibe werden. Es scheint, als hätte Navistar viele Dinge genau richtig gemacht, von der Incident Response bis zur Kommunikation. Dass selbst ein gut vorbereitetes Team die Datenexfiltration verpasst haben könnte, ist leider die Norm. Das soll keine Schuldzuweisung an Navistar sein, es zeigt nur, wie schwierig das ist und wohin wir uns als InfoSec-Community bewegen müssen, wenn es um die Verteidigung unserer Netzwerke geht. Und die Art und Weise, wie Navistar darauf reagiert und dann darüber berichtet hat, zeigt erneut, dass sie gut vorbereitet waren und gut damit umgegangen sind.

Resilienz ist hier der richtige Begriff, um mit den Nachwirkungen einer solchen Situation schnell und effektiv umgehen zu können. Um dies mit dem zu verbinden, was wir bei SANS lehren, ist dies genau der Grund, warum der Active Cyber Defense Cycle so wichtig ist: Threat Intelligence, Network Security Monitoring, Incident Response und IT/OT-Operations-Abteilungen arbeiten als übergreifendes, interdisziplinäres Team von Abteilungen zusammen, um jeder Cyber-Bedrohung am effektivsten zu begegnen. Die schiere Anzahl der jüngsten Vorfälle und ihre Auswirkung und hohe Resonanz in der Öffentlichkeit haben gezeigt, dass die Zeit drängt und Unternehmen sich jetzt vorbereiten müssen. Dies richtig zu tun ist jedoch ein langjähriger Prozess, der Investitionen in Mitarbeiter, Schulungen und die Implementierung der richtigen Strategien, Konzepte sowie Sicherheitstechnologien erfordert.