Datenpannen

Angriff auf IBM-Italy-Tochtergesellschaft mit Verbindungen zu chinesischen Cyberoperationen

4. Mai 20265 Min. Lesezeit

Von Lina Petrov — 8 years reviewing consumer technology

Angriff auf IBM-Italy-Tochtergesellschaft mit Verbindungen zu chinesischen Cyberoperationen

IBM-Italy-Tochtergesellschaft von Angriff mit staatlich gesponserter Verbindung betroffen

Ein Cyberangriff auf Sistemi Informativi, eine Tochtergesellschaft von IBM Italy, die IT-Infrastruktur für öffentliche und private Einrichtungen verwaltet, hat ernsthafte Bedenken hinsichtlich der Sicherheit kritischer nationaler Infrastrukturen ausgelöst. Sicherheitsforscher und Behörden haben auf mögliche Verbindungen zu chinesischen staatlich gesponserten Cyberoperationen hingewiesen, was diesen Vorfall zu einem bedeutenden Moment in der anhaltenden Debatte über Bedrohungen durch Nationalstaaten für westliche IT-Systeme macht.

Sistemi Informativi ist kein bekannter Name, doch seine Rolle in der italienischen Infrastruktur ist erheblich. Das Unternehmen betreut IT-Dienste für Organisationen, die auf zuverlässige und sichere Systeme angewiesen sind – ein Angriff dieser Art hat daher potenzielle Auswirkungen weit über eine einzelne Organisation hinaus. Wenn ein Anbieter, der Infrastruktur für mehrere Kunden verwaltet, kompromittiert wird, wird jede Institution, die auf diesen Anbieter angewiesen ist, zu einem potenziellen Angriffspunkt.

Was wir über den Angriff wissen

Die Details bleiben begrenzt, da die Untersuchungen noch andauern, aber der zentrale Sachverhalt ist klar: Ein Angreifer hat sich unbefugten Zugang zu Systemen verschafft, die von einem Unternehmen verwaltet werden, das tief in Italiens IT-Ökosystem eingebettet ist. Die mutmaßliche Verbindung zu chinesischen Cyberoperationen ordnet diesen Vorfall in ein breiteres Muster staatlich gesponserter Eingriffe ein, die auf kritische Infrastrukturen in Europa und Nordamerika abzielen.

Dies ist kein isoliertes Phänomen. Geheimdienste in den Vereinigten Staaten, im Vereinigten Königreich und in der Europäischen Union haben wiederholt gewarnt, dass staatliche Akteure, insbesondere solche mit Verbindungen zu China, systematisch Infrastrukturanbieter, Telekommunikationsunternehmen und staatliche IT-Dienstleister sondieren und in diese eindringen. Das Eindringen in einen Anbieter wie Sistemi Informativi kann Angreifern dauerhaften Zugang zu mehreren nachgelagerten Zielen verschaffen, ohne diese Ziele jemals direkt angreifen zu müssen.

Der Einsatz vertrauenswürdiger Drittanbieter für IT-Infrastruktur als Einfallstor – oft als Supply-Chain-Angriff bezeichnet – ist zu einer der wirksamsten Taktiken für hochentwickelte Bedrohungsakteure geworden. Wenn ein Angreifer einen Infrastrukturverwalter kompromittiert, erbt er die Vertrauensbeziehungen, die dieser Verwalter mit seinen Kunden unterhält.

Warum Angriffe auf kritische Infrastrukturen anders sind

Bei den meisten Datenpannen geht es um gestohlene Zugangsdaten, gesickerte Kundendaten oder Ransomware-Angriffe. Staatlich gesponserte Eingriffe in Infrastrukturverwaltungsunternehmen verfolgen in der Regel andere Ziele: Geheimdienstliche Informationsbeschaffung, dauerhafter Zugang und die Möglichkeit, Systeme zu einem strategisch günstigen Zeitpunkt zu stören.

Diese Unterscheidung ist von enormer Bedeutung dafür, wie Organisationen und Einzelpersonen das Risiko einschätzen sollten. Eine Datenpanne bei einem Einzelhändler könnte Ihre Kreditkartennummer preisgeben. Eine Datenpanne bei einem Unternehmen, das IT-Infrastruktur für Behörden und Institutionen verwaltet, könnte öffentliche Dienste, sensible staatliche Kommunikation oder die operative Kontinuität kritischer Systeme beeinträchtigen.

Für Italien kommt dieser Vorfall zu einem Zeitpunkt, an dem europäische Regierungen die Sicherheitspraktiken von Anbietern, die in die nationale Infrastruktur eingebettet sind, zunehmend unter die Lupe nehmen. Die NIS2-Richtlinie der Europäischen Union, die 2023 in Kraft getreten ist, soll genau für diese Kategorie von Unternehmen strengere Cybersicherheitsanforderungen durchsetzen. Der Angriff auf Sistemi Informativi dient als realer Testfall dafür, ob diese Standards eingehalten werden.

Was das für Sie bedeutet

Für die meisten Menschen mag ein Angriff auf eine IT-Infrastruktur-Tochtergesellschaft in Italien weit entfernt erscheinen. Doch es gibt praktische Lehren, die direkt darauf anwendbar sind, wie Einzelpersonen und Organisationen ihre eigenen Daten und Kommunikation schützen.

Erstens ist das Supply-Chain-Problem allgegenwärtig. Jedes Mal, wenn Sie einem Drittanbieter Ihre Daten oder Systeme anvertrauen, vertrauen Sie auch dessen Sicherheitspraktiken. Ob Sie ein kleines Unternehmen sind, das eine Cloud-Buchhaltungsplattform nutzt, oder eine Behörde, die einen ausgelagerten IT-Manager einsetzt – das schwächste Glied in dieser Kette bestimmt Ihre tatsächliche Risikoexposition.

Zweitens ist Sicherheit auf Netzwerkebene entscheidend. Organisationen, die auf sensible Systeme zugreifen – insbesondere über Fernverbindungen – benötigen verschlüsselte, authentifizierte Zugangswege. VPNs und Zero-Trust-Netzwerkarchitekturen existieren genau zu dem Zweck, den Schaden zu begrenzen, wenn Zugangsdaten gestohlen werden oder ein Anbieter kompromittiert wird. Wenn der Fernzugriff Ihrer Organisation ausschließlich auf Benutzername-Passwort-Kombinationen basiert, könnte ein Angriff auf einen vertrauenswürdigen Anbieter alles sein, was ein Angreifer braucht.

Drittens sind Lieferantenrisikobewertungen keine optionale Maßnahme. Unternehmen und Institutionen sollten regelmäßig die Sicherheitslage jedes Drittanbieters prüfen, der Zugang zu ihren Systemen hat. Dazu gehört die Überprüfung der Verfahren zur Reaktion auf Vorfälle, Fragen zu Penetrationstestpraktiken und die Sicherstellung vertraglicher Verpflichtungen zur Meldung von Datenpannen.

Handlungsempfehlungen

Überprüfen Sie Ihre Anbieterbeziehungen. Identifizieren Sie jeden Drittanbieter mit Zugang zu Ihren Systemen oder Daten, und bewerten Sie, ob dessen Sicherheitsstandards Ihrer eigenen Risikobereitschaft entsprechen.
Erzwingen Sie verschlüsselte Kommunikation. Jeder Fernzugriff auf sensible Systeme sollte über authentifizierte, verschlüsselte Verbindungen erfolgen. Das Verlassen auf unverschlüsselte oder schlecht gesicherte Kanäle setzt Sie dem Risiko aus, wenn die Zugangsdaten eines Anbieters gestohlen werden.
Implementieren Sie überall Multi-Faktor-Authentifizierung. Gestohlene Zugangsdaten sind für Angreifer weitaus weniger nützlich, wenn ein zweiter Faktor erforderlich ist. Dies gilt für Ihre eigenen Systeme und sollte eine Anforderung sein, die Sie auch an Anbieter stellen.
Befolgen Sie NIS2 und ähnliche Rahmenwerke. Auch wenn Ihre Organisation nicht gesetzlich zur Einhaltung von NIS2 oder gleichwertigen Standards verpflichtet ist, ist deren Behandlung als Mindeststandard ein praktischer Weg, Ihre Sicherheitslage zu bewerten.
Gehen Sie von einem Angriff aus und planen Sie entsprechend. Das Wissen, dass selbst gut ausgestattete IT-Infrastrukturanbieter kompromittiert werden können, bedeutet, dass Organisationen für das Szenario planen sollten, in dem ein vertrauenswürdiger Anbieter gegen sie eingesetzt wurde. Segmentieren Sie den Zugang, protokollieren Sie Aktivitäten und halten Sie einen Notfallplan bereit.

Der Angriff auf Sistemi Informativi ist eine Erinnerung daran, dass Organisationen, die die Infrastruktur unserer digitalen Welt verwalten, hochwertige Ziele sind. Sich selbst zu schützen bedeutet, das eigene Sicherheitsdenken über den eigenen Perimeter hinaus auf alle auszudehnen, denen man den Zugang zu seinen Systemen anvertraut.

// FAQ

Was ist Sistemi Informativi und warum ist der Angriff bedeutsam?

Sistemi Informativi ist eine IBM-Italy-Tochtergesellschaft, die IT-Infrastruktur für öffentliche und private Einrichtungen verwaltet. Da das Unternehmen mehrere Kunden betreut, entstehen durch einen Angriff potenzielle Risikoexpositionen für jede Organisation, die auf seine Dienste angewiesen ist.

Wer steht im Verdacht, hinter dem Cyberangriff zu stecken?

Sicherheitsforscher und Behörden haben auf mögliche Verbindungen zu chinesischen staatlich gesponserten Cyberoperationen hingewiesen. Dies ordnet den Vorfall in ein breiteres Muster staatlicher Eingriffe ein, die auf kritische Infrastrukturen in Europa und Nordamerika abzielen.

Was ist ein Supply-Chain-Angriff und wie ist er hier anwendbar?

Ein Supply-Chain-Angriff umfasst die Kompromittierung eines vertrauenswürdigen Drittanbieters, um Zugang zu dessen Kunden zu erlangen, ohne diese direkt anzugreifen. In diesem Fall könnten Angreifer, die Sistemi Informativi kompromittiert haben, dessen Vertrauensbeziehungen zu nachgelagerten Organisationen erben.

Wie unterscheiden sich staatlich gesponserte Infrastrukturangriffe von typischen Datenpannen?

Im Gegensatz zu typischen Datenpannen, die auf Zugangsdaten oder Kundendaten abzielen, konzentrieren sich staatlich gesponserte Eingriffe in Infrastrukturunternehmen in der Regel auf geheimdienstliche Informationsbeschaffung, dauerhaften Zugang und die Möglichkeit, Systeme zu einem strategisch günstigen Zeitpunkt zu stören.

Haben Geheimdienste bereits vor dieser Art von Bedrohung gewarnt?

Ja, Geheimdienste in den Vereinigten Staaten, im Vereinigten Königreich und in der Europäischen Union haben wiederholt gewarnt, dass staatliche Akteure mit Verbindungen zu China systematisch Infrastrukturanbieter, Telekommunikationsunternehmen und staatliche IT-Dienstleister ins Visier nehmen.