Western Digital: Neue Informationen zum Sicherheitsvorfall

Am 26. März 2023 hatte Western Digital (WD), einer der weltgrößten Hersteller von Festplatten, SSDs und Netzwerkspeicher, einen Sicherheitsvorfall bemerkt und daraufhin etliche Dienste und Systeme abgeschaltet. Eine erste Stellungnahme des Unternehmens folgte am 2. April 2023 in Form einer Pressemitteilung. Nun liegen eine weitere Pressemitteilung sowie eine Börsenmeldung vor.

Der Ernst der Lage war frühzeitig zu erkennen
In seiner ersten Pressemitteilung hatte WD von einem Netzwerk-Sicherheitsvorfall gesprochen und eingeräumt, dass sich unautorisierte Dritte Zugriff auf mehrere Systeme der Firma verschafft und dabei vermutlich auch Daten gestohlen hatten. Als direkte Reaktion hatte WD seine Systeme offline genommen und damit auch die eigenen Dienste abgeschaltet. Viele Benutzer bemerkten dies, als WDs My Cloud nicht mehr verfügbar war, denn dieser Dienst ermöglicht den Internetzugriff auf den heimischen Netzwerkspeicher. Hatten Nutzer den optionalen lokalen Zugriff nicht eingerichtet (Anleitung in englischer Sprache), mussten sie dies nachholen, um wieder an ihre Daten zu kommen. WD hatte externe Sicherheitsexperten mit der Untersuchung des Vorfalls beauftragt und die zuständigen Behörden eingeschaltet.

Zur Beute gehören angeblich Firmendaten, Zertifikate und Software
Nach zwei Wochen waren WDs Cloud-Dienste zwar wieder online, nicht aber der Online-Shop. Auch die Folgen des Angriffs zeichneten sich gerade erst ab. Gegenüber TechCrunch erklärte einer der mutmaßlichen Hacker, man habe bei WD rund zehn Terabytes an Daten erbeutet und verlange dafür ein einmaliges Lösegeld in achtstelliger Höhe. Man habe globale Administratorenrechte für WDs Azure-AD-Mandant (Azure Active Directory) sowie Zugriff auf WDs SAP Backoffice sowie PrivateArk-Instanzen gehabt. Seine Behauptungen untermauerte der Hacker mit Screenshots sowie Durchwahlnummern für Mitglieder aus WDs Management. Der Hacker konnte zudem eigene Dateien mit einem Digital-Code-Signing-Zertifikat von WD signieren und erklärte, dass ihm auch die Firmware von WD-Produkten vorliege.

Abgriff von Kundendaten bestätigt, Lage bei Zertifikaten unklar
Die zweite Pressemitteilung folgte jetzt einen guten Monat später und die eingeleiteten Untersuchungen schreiten voran. Die Firma bestätigt, dass die Hacker die Datenbank des Online-Shops gestohlen haben und dadurch an persönliche Informationen von WD-Kunden gelangt sind. Dazu gehören Namen, Rechnungs- und Versandadressen, E-Mail-Adressen, Telefonnummern, Passwörter (hashed + salted) sowie Teile von Kreditkartennummern. Betroffene Kunden will WD kontaktieren. Der Dienst My Cloud ist seit dem 13. April 2023 wieder online, für den Online-Shop ist ein Neustart am 15. Mai 2023 geplant. WD betont, dass seine Fertigungsanlagen zu keinem Zeitpunkt betroffen waren und somit auch keine Beeinträchtigung der Liefermengen zu erwarten sei.

Wir haben die Kontrolle über unsere Infrastruktur für digitale Zertifikate, lässt WD wissen, fügt dann aber hinzu, man könne Zertifikate jederzeit zurückziehen. Da schwingt eine gewisse Unsicherheit mit, festlegen will sich das Unternehmen jedenfalls nicht. Wir vermissen insbesondere Formulierungen wie volle Kontrolle und zu jeder Zeit. Vorsichtshalber warnt WD vor Software aus unsicheren Quellen, was ja immer ein guter Ratschlag ist. Der Informationsgehalt der Börsenmeldung ist vergleichsweise gering. WD räumt darin lediglich ein, dass der Sicherheitsvorfall Auswirkungen auf Teile seines Geschäfts haben könne. Es handelt sich um eine Pflichtmeldung, welche börsennotierten Unternehmen in solchen Fällen vorgeschrieben ist.