Publisher Ubisoft meldet Sicherheitsvorfall – Wäre dieser vermeidbar gewesen?
Der weltbekannte Games-Publisher Ubisoft meldete vor wenigen Tagen einen signifikanten Sicherheitsvorfall. Anscheinend gelang es Hackern der Erpresser-Gruppe LAPSUS$ die Passwörter der Mitarbeiter zurückzusetzen. So wurde für diese ein Login für teilweise kritische Infrastruktur, aber auch für alltägliche Arbeiten verhindert. Da stellt sich die Frage, ob dieser Hack nicht vermeidbar gewesen wäre und wenn, wie er vermeidbar gewesen wäre.
VPN ist mehr als eine Lösung für Unternehmen
Gerade virtuell arbeitende Unternehmen wie Ubisoft profitieren von einem Virtual Private Network (VPN). Ein gutes VPN sorgt für Sicherheit und schützt die Mitarbeiter vor den Übergriffen dritter Parteien. Die Einrichtung eines VPNs ist gar nicht schwer, und sogar Schüler lernen bereits die Vorteile des effektiven Datenschutzes kennen. Da stellt sich natürlich die Frage, wie bei einem global agierenden Unternehmen wie Ubisoft so ein Hack überhaupt möglich wurde? Mit Sicherheit lässt sich das von außerhalb natürlich nicht sagen, aber es gibt einige Hinweise auf eine wenig korrekte Umsetzung der internen Sicherheitsbestimmungen. Ein VPN allein reicht folglich nicht. Vielmehr benötigt es eine Sensibilisierung der Mitarbeiter auf die gängigen Sicherheitsrichtlinien und eine konsequente Umsetzung ebendieser. Nur so können solche Hacks effektiv vermieden werden.
Gibt es durch den Hack gewisse Risiken für die User?
Jeder Hack hat das Potenzial, auch die User treffen zu können. Es geht hier nicht nur um Nicknames aus Online-Accounts, sondern auch um Zahlungsverbindungen und den damit verbundenen Datensätzen. Bis heute ist nicht bekannt, ob der Hack bei Ubisoft auch die User betroffen hätte. Klar ist, dass die Hacker unter Umständen interne Daten erbeuten konnten und diese nun in den Händen der Erpresser liegen. Welcher Art diese Daten sind, und ob sich Verbraucher auf Konsequenzen einstellen müssen, ist bis heute leider in einem vollen Umfang noch nicht ersichtlich. Das Vorgehen der Hacker zeigt einmal mehr, dass die Cybersicherheit in vielen Bereichen noch immer unterschätzt wird. Hacker haben es leicht und können sogar schon kleine Fehler ausnutzen. Oft geschehen diese nicht einmal mit böser Absicht, sondern schlichtweg durch menschliche Fehler und Fehleinschätzungen. Nicht alle VPNs verfügen über Split-Tunneling-Funktionen, aber alle VPNs bieten ein hohes Maß an Sicherheit. Es liegt in Fällen wie diesen aber nicht unbedingt am Verbraucher. Ein Game lässt sich ja per VPN nur schwerlich spielen. Vielmehr liegt es in der Verantwortung der Unternehmen, die eigenen sehr sensiblen Daten und damit die User vor fremden Übergriffen zu schützen.
Muss die Wirtschaft nachrüsten und was können Verbraucher tun?
Die Wirtschaft, und dazu gehört bekanntlich auch Ubisoft, hat einen großen Nachholbedarf im Bereich der Cybersicherheit. Das Problem ist, dass die Kosten für einen effektiven Schutz vor Cyberkriminalität sehr hoch sind. Kleine, mittelständische und große Unternehmen können hiervon schnell überfordert sein. Die Verbraucher können hingegen vergleichsweise wenig tun, um die Wirtschaft vor den kriminellen Aktivitäten zu schützen. Klar, man kann ausschließlich VPN verwenden. Aber in der Praxis gestaltet sich das gerade beim Gaming als aufwendig und ist eigentlich keine praktikable Lösung. Die Verantwortung wird somit wie ein Ball hin- und hergeschoben, landet aber letztlich immer wieder bei der Wirtschaft. Zugegeben, ein umfassender und ganzheitlicher Schutz vor Cyberkriminalität ist so gut wie unmöglich. Denn auch Hacker lernen und können sich den neuen Bedingungen anpassen. Dennoch sollte es zumindest möglich sein, den Nachholbedarf aufzuholen und so ein Minimum an Sicherheit zu garantieren.
Fazit: Schutz vor Cyberkriminalität ist eine umfassende Aufgabe
Wenn sich sogar der Staat mit dieser Thematik auseinandersetzt, dann muss es sich ja um ein großes und wichtiges Thema handeln. Die Kriminalität im Netz ist kein völlig neues Phänomen, aber gerade Vorfälle wie bei Ubisoft zeigen den hohen Bedarf an effektiven Schutzstrukturen. Hier auf dem neuesten Stand zu bleiben und die eigenen Infrastrukturen anzupassen, ist eine originäre Aufgabe der Unternehmen. Diese müssen ihren Teil dazu beitragen und können dies oftmals sogar auf sehr einfache Art und Weise. Die konsequente Einhaltung der aktuellen Sicherheitsbestimmungen ist dabei nur ein, aber ein dringender Teil der unternehmensinternen Strategie gegen Cyberkriminalität. (prm)
Agentur Autor:
Sebastian Meier
Lesen Sie gerne und oft unsere Artikel? Dann helfen Sie uns und unterstützen Sie unsere journalistische Arbeit im Kreis Altenkirchen mit einer einmaligen Spende über PayPal oder einem monatlichen Unterstützer-Abo über unseren Partner Steady. Nur durch Ihre Mithilfe können wir weiterhin eine ausgiebige Berichterstattung garantieren. Vielen Dank! Mehr Infos.