Kommentare zum VTech Hack

Vormetric kommentiert:

Unzureichender Schutz der Datenbanken bei VTech – Daten von mehr als 200.000 Kindern von Datendiebstahl betroffen

Unbekannte haben sich Zugang zu den Kundendatenbanken des Spielzeugherstellers VTech verschafft Bis zu fünf Millionen Kunden des Unternehmens sind hiervon betroffen – darunter auch solche aus Deutschland, wo sich das Unternehmen nach eigenen Angaben im Bereich Babyspielzeug, Electronic Entertainment und Lerncomputer als Marktführer platziert.

In Zeiten der Weihnachtseinkäufe besonders pikant: Unter den gestohlenen Datensätzen sollen sich laut ‘The Register’* auch Informationen zu rund 225.000 Kindern befinden, von denen Angaben wie Vornamen, Geschlecht und Geburtstag in den Datenbanken gespeichert sind. Diese Daten sollen sich denen der jeweiligen Eltern zuordnen lassen (gestohlen wurden Profilinformationen einschließlich Name und Anschrift, E-Mail-Adresse, durch MD5-Hashing geschützte Passwörter, Antworten auf Sicherheitsabfragen zur Passwortrücksetzung, IP-Adressen sowie die Download-Historie).

VTech hat mittlerweile begonnen, seine Kunden via E-Mail über den Vorfall zu benachrichtigen.

Frank Weisel, Regional Sales Director bei Vormetric, einem Anbieter von Datensicherheitslösungen für physische, virtuelle, Big-Data- und Cloud-Umgebungen, sieht im lässlichen Umgang mit der Verschlüsselung einen der Hauptgründe für den erfolgreichen Datenklau.

Frank Weisel

“(Un)passend zur Vorweihnachtszeit reiht sich nun ein Spielzeughersteller in die lange Reihe der Unternehmen ein, die in 2015 umfangreiche Datendiebstähle zu beklagen haben. Besonders bemerkenswert in diesem Fall: Zum einen sind Daten von sehr vielen Kindern betroffen, zum anderen ist nach wie vor unklar, wie VTech diese Daten geschützt hat. Laut ‘Register’ wurde hierfür die kryptografische Hash-Funktion MD5 verwendet, die als nicht ausreichend sicher gilt. Und das nicht etwa für alle Daten, sondern lediglich für die Account-Passwörter.

Cyber-Angriffe sind heute eine Alltäglichkeit – entsprechend ist es Aufgabe der Unternehmen, dafür Sorge zu tragen, dass die von ihnen gespeicherten sensiblen Daten sicher sind, selbst wenn illegitim auf Datenbanken zugegriffen wird.

Damit wird die Verschlüsselung und Zugriffskontrolle zu einem entscheidenden Faktor. In der Vergangenheit wurde dies von Unternehmen meist nur eingesetzt, um Compliance-Vorgaben zu genügen. Heute ist es dagegen der einzig vernünftige Weg, alles zu verschlüsseln. Denn wenn die gestohlenen Daten für Hacker unleserlich und damit praktisch nutzlos sind, lässt sich der Schaden einer erfolgreichen Cyber-Attacke minimieren. Wer heute auf eine durchgängige Verschlüsselung und Zugriffskontrolle verzichtet und sich beispielsweise ausschließlich auf die Firewalls des Netzwerks verlässt, muss sich mit dem Hausbesitzer vergleichen lassen, der den Haupteingang verriegelt, aber die Hintertür offen lässt.

Es gibt absolut keinen Zweifel daran: Unternehmen, die ihre Datensicherheitsrichtlinien noch nicht entsprechend revidiert haben, müssen dies besser heute als morgen tun. Denn Verbraucher verlieren schnell die Geduld und das Interesse an einem Anbieter, wenn sie erfahren, dass ihre privaten Informationen nicht wirksam geschützt sind. Um sich gegen nachhaltige Reputationsschäden nach einem erfolgreichen Angriff auf die IT abzusichern, ist eine starke Verschlüsselung de facto Pflicht.”

—————————————————————————

Rapid7 kommentiert:

Rapid7 zum großen Datenraub bei VTech

Die Meldung schlug hohe Wellen: Unbekannte Hacker sind in das System des Spielzeugherstellers VTech eingedrungen und haben dabei Passwörter, E-Mail-Adressen und Postanschriften erbeutet. Besonders brisant wird der Fall dadurch, dass den Gauner auch die Namen und Geburtstage von Kindern in die Hände gefallen sind. Trey Ford, Global Security Strategist bei Rapid7, kommentiert den Vorfall. Für ihn ist der Datendiebstahl wenig überraschend, da viele Unternehmen, die ursprünglich völlig andere Kernkompetenzen und Geschäftsfelder hatten, plötzlich massiv mit dem Thema IT-Sicherheit konfrontiert werden.

„Der IT-Sicherheitsvorfall bei VTech ist ein weiterer Beleg für ein Problem, auf das wir dank dem „Internet der Dinge“ in Zukunft noch häufiger stoßen werden: Firmen jeglicher Art, also auch Spielzeughersteller, werden plötzlich zu IT-Anbietern. Jedoch fehlt ihnen eben das Knowhow in Sachen Cybersicherheit, über welches die etablierten IT-Anbieter nach jahrelanger Arbeit in diesem Bereich verfügen.

Es ist extrem schwierig, einerseits ein Spielzeughersteller zu sein und zugleich das ausgereifte Sicherheitsprogramm eines etablierten IT-Anbieters zu erfüllen. Hier liegt die Verantwortung nicht nur bei den Unternehmen, die unverhofft in Berührung mit den Herausforderungen der IT-Sicherheit kommen.

—————————————————————————

LogRhythm kommentiert:

VTech-Hack – Nur sicheres Spielzeug kommt unter den Weihnachtsbaum

Vergangene Woche wurde bekannt, dass der Spielzeughersteller VTech Opfer eines Datenlecks wurde, bei dem die persönlichen Daten von 4,8 Millionen Eltern und Kindern gestohlen wurden. Ein Großteil der Daten lag dabei im Klartext vor und war nicht verschlüsselt. Der Datenklau ereignete sich am 14. November und wurde zehn Tage später entdeckt. Nun wurde bekannt, dass die Hacker zusätzlich Zugriff auf Tausende von Fotos und Chatlogs zwischen Eltern und Kindern hatten.

Roland Messmer, Direktor Zentral und Osteuropa von LogRhythm kommentiert diesen Vorfall und wundert sich über die laxen Sicherheitsvorkehrungen:

Roland Messmer, Direktor Zentral und Osteuropa von LogRhythm

„Dieser Vorfall ist anders, als die meisten, die wir in den vergangenen Monaten gesehen haben und insbesondere durch die einzigartige Position der minderjährigen Opfer und ihrer Eltern ergeben sich zahlreiche Fragen und Probleme. Im Moment scheint es so, dass VTech nicht nur die persönlichen Daten von Eltern und Kindern unzureichend geschützt hat, sondern, dass darüber hinaus wohl auch Tausende Fotos und archivierte Chat-Verläufe auf unsicheren Servern lagen. Übertragen auf die heutige Welt der sozialen Medien wäre das so, als ob ein Hacker nahezu ungehindert Ihre Fotos und Gesprächsverläufe aus Facebook klauen kann.

Dabei macht mich die Tatsache, dass VTech nicht mal den einfachsten Schritt gegangen ist – nämlich die Server zu verschlüsseln – schlichtweg sprachlos. Große, bekannte Datenlecks wie das bei Sony oder TalkTalk haben gezeigt, wie einfach – und schwerwiegend – ein Angriff auf ihre Daten sein kann. Deshalb ist es enorm wichtig, dass Unternehmen alles tun, um die ihnen anvertrauten Daten zu schützen – insbesondere wenn es um Daten in Verbindung zu kleinen Kindern geht.

Neben grundlegenden Verfahren, wie die Verschlüsselung der Daten, müssen Unternehmen intelligente Sicherheitstools einsetzen, die ungewöhnliche Aktivitäten auf den Datenservern sofort melden. Im vorliegenden Fall benötigte VTech ganze zehn Tage, um den Angriff überhaupt zu bemerken – sicher schneller, als andere Unternehmen, aber trotzdem eine zu große Zeitspanne. Internet-fähige Gadgets und Spielzeuge werden bei Kindern heute immer beliebter, aber bis die Eltern sicher sind, dass die Daten ihrer Kinder sicher sind, werden diese wohl eher noch nicht auf den diesjährigen Wunschzetteln zu Weihnachten auftauchen.“