Die Behörden- und Unternehmenskunden von Adesso haben aus einem Zeitungsbericht von einem Hack des IT-Dienstleisters erfahren. Dabei waren sie schon mehr als ein halbes Jahr lang selbst in Gefahr. Zu den Kunden von Adesso zählen Behörden wie das Bundeskriminalamt (BKA), die Finanzaufsicht Bafin, die Bundesbank sowie Unternehmen wie BMW, RWE und Eon.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde nicht zur Hilfe gerufen, sondern musste selbst aktiv werden.

Gehackt wurde Adesso laut einem Bericht der Süddeutschen Zeitung (Paywall) bereits im Frühsommer 2022. Die Eindringlinge nutzten eine Sicherheitslücke in der Software Confluence der Softwareherstellers Atlassian. Entdeckt wurden die Angreifer erst rund ein halbes Jahr später, am 11. Januar 2023.

Das Unternehmen informierte laut der Süddeutschen Zeitung zwar ein Microsoft-Entwicklerteam. Kunden und Behörden, in deren Netzwerke häufig auch VPN-Verbindungen bestehen, wurden nicht gewarnt. Dabei dürften diese durch den Angriff akut gefährdet gewesen sein.

Whistleblower sorgte für besseren Umgang mit dem Hack

Erst als am 19. Januar eine Person mehrere Medien und das BSI informierte, kam etwas ins Rollen. Das BSI wurde aktiv, bot Hilfe an und unterstützte Adesso bei der Aufarbeitung des Vorfalles. Auch die Datenschutzbehörde wurde erst jetzt von dem Fall in Kenntnis gesetzt.

Auf Nachfrage der Süddeutschen Zeitung teilte das Unternehmen mit, es "habe das BSI informiert". In einer internen Gruppe erklärte der Sicherheitschef von Adesso jedoch: "Kurze Info an alle: Am Freitag wurde ich vom BSI angerufen, da über "Wege" an sie durchgestochen wurde, dass wir einen Vorfall hatten." Die Kunden von Adesso erfuhren von all dem erst Anfang Februar durch die Berichterstattung der Medien.

Adesso hingegen teilte mit: Man sei "kurzzeitig kompromittiert" worden, vereinzelt seien "Informationen eingesehen und Dateien heruntergeladen" worden. Dabei wusste das Unternehmen laut der Süddeutschen Zeitung nicht, wie viel die Angreifer seit Mitte des vergangenen Jahres gesehen oder heruntergeladen hatten, weil Adesso diese Datenflüsse gar nicht überwachte.

Am 9. März schrieb das BSI dann eine vertrauliche Warnung an alle Betreiber kritischer Infrastrukturen in Deutschland: Kunden von Adesso sollten umgehend die VPN-Verbindungen zu dem Unternehmen kappen.