Dresden, 07.04.2025. Am Samstag, den 29. März 2025, wurde ein Cloud-Server der Spectos GmbH durch einen gezielten Cyberangriff kompromittiert. Der oder die Angreifer verschafften sich über ein Nebensystem unautorisierten Zugang zu Datenspeichern innerhalb der Cloud-Infrastruktur. Dabei wurden personenbezogene Daten von zwei Kunden erfasst und nach aktuellem Kenntnisstand im sogenannten Darknet veröffentlicht.
Die Spectos GmbH reagierte umgehend und leitete umfassende Schutz- und Gegenmaßnahmen ein. Am 2. April wurden zusätzliche Aktivitäten durch den Angreifer festgestellt. Daraufhin erfolgte die sofortige Abschaltung betroffener Server und die Beauftragung des externen Cybersicherheitsdienstleisters G DATA mit einer forensischen Untersuchung.
Ergebnisse der forensischen Analyse
Die Analyse ergab, dass der Angreifer über eine Schwachstelle in einem sekundären Server Zugriff auf verschiedene Speicherbereiche der Cloud-Infrastruktur erlangte. Ein Zugriff auf die Hauptsysteme konnte erfolgreich verhindert werden.
Zu den abgegriffenen Daten zählen nach aktuellem Stand:
- Name, E-Mail-Adresse, Adresse
- Es gibt bisher keine Hinweise auf einen Missbrauch der betroffenen Daten durch Dritte
Meldungen an Behörden
Die Spectos GmbH hat alle erforderlichen Behörden gemäß den geltenden gesetzlichen Vorschriften informiert:
- Die Sächsische Datenschutz- und Transparenzbeauftragte (gemäß Art. 33 DSGVO)
- Das Bundesamt für Sicherheit in der Informationstechnik (BSI)
- Der Information Commissioner’s Office (ICO) im Vereinigten Königreich
- Eine Strafanzeige gegen Unbekannt wurde beim Landeskriminalamt erstattet
Zusätzlich wurden die direkt betroffenen Kunden gemäß Art. 34 DSGVO umgehend und individuell informiert.
Maßnahmen zur Wiederherstellung und Absicherung
„Wir nehmen diesen Vorfall sehr ernst und bedauern zutiefst, dass es trotz unserer bestehenden Sicherheitsstrukturen zu einem erfolgreichen Angriff kommen konnte. Die Sicherheit der uns anvertrauten Daten hat für uns höchste Priorität. Wir haben umgehend alle erforderlichen Maßnahmen ergriffen, um die betroffenen Systeme zu schützen, die Ursache zu identifizieren und unseren Sicherheitsstandard dauerhaft zu erhöhen“, so Ringo Großer, CIO der Spectos GmbH.
Folgende Maßnahmen wurden konkret umgesetzt:
- Sofortige Abschaltung betroffener Server
- Vollständige Zugriffsbeschränkung für kompromittierte Systeme
- Änderung sämtlicher Zugangsdaten, Passwort- und Schlüsselrotation
- Löschung aller administrativen Nutzerkonten
- Wiederherstellung der Systeme aus überprüften Backups
- Installation sicherheitskritischer Patches
- Einführung eines Security Information and Event Management (SIEM) Systems
- Härtung der Cloud-Infrastruktur & Penetrationstests
- Überarbeitung der IAM-Struktur mit minimaler Rechtevergabe
- Sensibilisierung und Awareness-Trainings für alle Mitarbeitenden
- Schulung der Systemadministratoren
- Etablierung eines kontinuierlichen externen Monitorings
Wiederherstellung des Betriebs – aktueller Stand
Am 07.04.2025 wurden die Spectos-Dienste nach Abschluss aller Sicherheitsprüfungen und in enger Abstimmung mit den zuständigen Stellen kontrolliert wieder hochgefahren. Die Systeme befinden sich in einem stabilen, gehärteten Betriebszustand. Weitere Aktivitäten des Angreifers wurden seither nicht mehr festgestellt.
Weitere Informationen und fortlaufende Updates finden Sie auf unserer Website: www.spectos.com/news
Für Rückfragen wenden Sie sich bitte an:
Ringo Großer, CIO
E-Mail: dataprotection@spectos.com
