"Das neue Passwort lautet Clorox@123"

Der amerikanische Chemiekonzern Clorox verklagt Cognizant auf Schadenersatz in dreistelliger Millionenhöhe. Mitarbeiter des Dienstleisters sollen Hackern freimütig Passwörter herausgegeben haben, mit deren Hilfe dann ein schwerer Cyberangriff auf das Unternehmen erfolgte.

In Vorträgen, Schulungen und Gesprächen bläuen Securityexperten ihren Zuhörern und Mitarbeitern immer wieder ein niemals Passwörter herauszugeben. Eine Regel, die sie selbst jedoch nicht immer konsequent befolgen, wie in den letzten Jahren mehrere aufsehenerregende Hackerangriffe der Gruppe Scattered Spider bewiesen haben. Deren Akteuren ist es mehrfach gelungen, IT-Helpdesks großer Unternehmen zur Herausgabe von Zugangsdaten zu bewegen, indem sie sich per Social Engineering als Mitarbeiter in Passwort-Nöten ausgaben. Anschließend nutzen sie die Zugänge, um damit in die Netzwerke vorzudringen und dort Daten abzugreifen und Systeme zu verschlüsseln. Bei den folgenden Erpressungsversuchen verlangen sie oft zwei- bis dreistellige Millionenbeträge von den Opfern. Immerhin konnten in den letzten Monaten mehrere als Drahtzieher beschuldigte Akteure verhaftet werden.

Doch nicht nur diesen mutmaßlichen Hintermännern droht ein juristisches Nachspiel der digitalen Raubzüge, auch der IT-Dienstleister Cognizant findet sich deshalb aktuell vor dem Kadi wieder. Verklagt wird Cognizant von seinem ehemaligen Kunden Clorox, einem großen Hersteller von Chemikalien und Haushaltswaren, der vor allem für sein gleichnamiges Bleichmittel bekannt ist. Clorox war 2023 Opfer einer Attacke von Scattered Spider geworden, durch die unter anderem Teile der Produktion und Logistik lahmgelegt waren. Dadurch soll eigenen Angaben des Unternehmens zufolge ein Schaden von etwa 380 Millionen US-Dollar entstanden sein.

Der IT-Dienstleister: des Hackers bester Freund

In der Klageschrift beschuldigt Clorox den global agierenden Dienstleister nun, den Hackern mehrfach und völlig blauäugig Passwörter, unter anderem zum Zugang ins interne Firmennetzwerk, geliefert zu haben. Belegen sollen das eingereichte Gesprächsmitschnitte und -protokolle, laut denen die Cognizant-Mitarbeiter auf jegliche Absicherung zur Verifizierung der angeblichen Clorox-Mitarbeiter verzichtet und den Hackern auf ihren Wunsch hin sogar noch die Multifaktorauthentifizierung der betroffenen Accounts deaktiviert haben sollen. "Der Cyberkriminelle rief einfach beim Service Desk von Cognizant an, bat um Zugangsdaten für das Clorox-Netzwerk und Cognizant übergab ihm die Daten sofort", beschreiben die Anwälte einen der Anrufe.

Hier ein weiteres der angeführten Beispiele:
Cognizant-Mitarbeiter: Wie kann ich Ihnen heute helfen?
Cyberkrimineller: Ähm, mein Passwort auf Okta funktioniert nicht...
Cognizant-Mitarbeiter: Ich werde Ihr Passwort sofort zurücksetzen. Okay. Dann schauen wir, ob es wieder funktioniert. [Nach einer kurzen Wartezeit] Danke … entschuldigen Sie bitte die lange Wartezeit. Also das neue Passwort lautet Clorox@123.
Cyberkrimineller: Wie war das?
Cognizant-Mitarbeiter: Es ist Clorox@123 … OK?
Cyberkrimineller: Ja.
Cognizant-Mitarbeiter: Soll ich am Telefon bleiben, während Sie es versuchen?
Cyberkrimineller: Ja, gerne, bitte.
Cognizant-Mitarbeiter: Aber sicher … sicher doch.

Für die Clorox-Anwälte ist angesichts mehrerer solcher Beispiele für eklatante Naivität klar: "Cognizant wurde nicht etwa durch einen ausgeklügelten Trick oder raffinierte Hacking-Techniken getäuscht." Vielmehr habe Cognizant mit der Herausgabe mehrfach gegen explizit mit Clorox vereinbarte Vorgehensweise und Sicherheitsrichtlinien verstoßen.

Und damit nicht genug. Clorox moniert darüber hinaus, dass der Dienstleister auch bei der unmittelbaren Reaktion auf den Vorfall und den Aufräumarbeiten gepfuscht haben soll. In der Klageschrift wird dazu unter anderem aufgeführt, dass betroffene Accounts nicht schnell genug gesperrt und Fehler bei der Datenwiederherstellung gemacht worden seien. Sollte das kalifornische Gericht dem Chemiekonzern Recht geben, dürften angesichts der zu erwartenden Schadenersatzzahlung bei Cognizant einige Gesichter erbleichen.

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden