Die Nachricht über das, was der letzte große Cyber-Vorfall des Jahres 2025 sein könnte, kam früh am Morgen des 29. Dezember. Korean Air, die nationale Fluggesellschaft, war von einem Datenleck betroffen. Der bedeutendste Teil des Lecks war nicht das Warum, sondern wie es geschah und wie dieser Vorfall zusammen mit der Nissan Red Hat Panne dieselbe Botschaft sendet und im Wesentlichen dieselbe Lektion für uns alle verstärkt.

Bevor wir zum lehrreichen Teil kommen, sollten wir uns etwas Zeit nehmen, um zu verstehen, was bei Korean Air schiefgelaufen ist.  

Der tatsächliche Datenbruch stammte nicht aus der eigenen Infrastruktur von Korean Air. Stattdessen kam er über KC&D Service, einen wichtigen Lieferanten von Bordverpflegungen und Bordverkäufen. Dieser Vorfall betraf fast 30.000 Mitarbeiter, deren Daten offengelegt wurden. Die geleakten Informationen umfassten Namen und Bankkonten.

Der Vorfall: Anatomie eines Drittanbieter-Verstoßes

Laut einer internen Mitteilung und unseren Recherchen zielte eine externe Hackergruppe auf die Server von KC&D Service ab. KC&D, das früher eine Tochtergesellschaft von Korean Air war, bevor es an einen Private Equity Fonds verkauft wurde, verwaltet Logistik und Verkäufe, die eine Koordination des Personals erfordern. Es hielt auch sensible Daten über das Personal der Fluggesellschaft.

Was wurde offengelegt?

• Mitarbeiternamen

• Telefonnummern

• Bankkontonummern

Korean Air hat klargestellt, dass Kundendaten unberührt bleiben. Die Offenlegung von Bankdaten, die 30.000 Mitarbeitern gehören, öffnet ein gefährliches Fenster für sekundären Finanzbetrug und ausgefeilte Phishing-Kampagnen. Dies ist ein weiteres Risiko, das sofort angegangen werden muss.

Ein Muster, kein Zufall

Dies ist keineswegs ein isoliertes Ereignis. Tatsächlich folgt es einem nahezu identischen Datenleck bei Asiana Airlines erst letzte Woche, bei dem 10.000 Mitarbeiterdatensätze über einen ähnlichen Kanal durchgesickert sind. Wenn man den massiven Coupang-Datenvorfall von Anfang dieses Monats hinzuzählt, wird ein klarer Trend sichtbar.

Ein riesiges Puzzle rund um die Welt entsteht. Daten von Mitarbeitern werden an großen Stränden durchgesickert. Hacker haben nun Zugang zu mehr Daten von interessanten Personen in Zielunternehmen. Sie können die kompromittierten Daten über verschiedene Datensätze aus unterschiedlichen Datenpannen validieren und sogar mögliche Anmeldeinformationen sammeln oder ableiten.

Hacker verbringen ihre Zeit nicht mehr damit, an die Haustür großer Konzerne zu klopfen. Stattdessen finden sie die "Seitentür", die die Anbieter, Caterer und Dienstleister umfasst, die legitimen Zugang zu den Daten des sogenannten Mutterschiffes hatten oder haben, jedoch oft nicht das gleiche Maß an Investition in Cybersicherheit erfahren oder den Daten nicht genügend Sicherheitsaufmerksamkeit gewidmet haben.

Lieferanten sind das neue primäre Ziel

Für einen Cyberkriminellen ist das Zielen auf einen Lieferanten oft ein Zug mit hohem ROI (Return on Investment) aus drei Gründen:

• Vertrauen durch Assoziation: Lieferanten haben oft "bevorzugten" Zugang zu den internen Systemen oder Datenbanken des Hauptunternehmens, um Operationen zu erleichtern.

• Ressourcenungleichheit: Während ein globales Unternehmen Millionen in ein SOC (Security Operations Center) investieren könnte, verfügt ein Geschäftspartner möglicherweise über ein viel schlankeres IT-Budget.

• Laterale Bewegung: Sobald ein Hacker im Netzwerk des Lieferanten ist, kann er häufig auf das Kundennetzwerk "springen", wenn die Dienstintegration nicht strikt segmentiert ist.

• Die vergessenen Daten: Manchmal werden Daten aus früheren Projekten, die zu einem Kunden gehören, vergessen, sobald das Projekt abgeschlossen ist. Solche Daten könnten auf einem Server abgelegt sein, der nicht häufig genutzt wird und nicht durch angemessene Maßnahmen gesichert ist. Hacker suchen proaktiv nach solchen Daten.

Datenbewusstsein ist die Notwendigkeit der Stunde

Korean Air hat bereits auf die "Notfall-Sicherheitsmaßnahmen" umgestellt und die Datenpanne den Behörden gemeldet. Für die breitere Geschäftsgemeinschaft besteht die Lösung jedoch nicht nur in besseren Firewalls. Es ist das Management von Risiken durch Dritte (TPRM). Im Falle des Nissan Red Hat-Bruchs wurden die Daten von Red Hat (einem Projektpartner) in einem Schatten-Repository gespeichert, das kompromittiert wurde.

Sowohl der Korean Air- als auch der Nissan-Datenverstoß unterstreichen dieselben Lehren. Wir müssen eine Datenspur aufbauen, um die gesamte Datenkette zu verstehen, einschließlich der Daten, die in der Vergangenheit mit Lieferanten oder Anbietern geteilt wurden. Diese Informationen können dann verwendet werden, um eine Heatmap zu erstellen, um gefährdete Daten basierend auf den Sicherheitsmaßnahmen zu bewerten, die von der Entität bereitgestellt werden, die die Daten verwaltet (sei es ein internes Team oder ein externer Lieferant). Solange solche Ebenen des Datenbewusstseins nicht erreicht werden, laufen wir Gefahr, dass solche Datenverstöße häufiger auftreten.

Mit jeder Episode von Datenverlust steigt das Risiko eines großen Datenverstoßes. Somit müssen wir, wenn wir in das Jahr 2026 eintreten, die Datensicherheit über den gesamten Fußabdruck verinnerlichen und sicherstellen, dass spezifische Datenkontrollmaßnahmen implementiert werden.

Zusätzlich empfehlen wir den Einsatz der folgenden Sicherheitsmaßnahmen, um Daten und Systeme zu sichern.   

• Zero Trust Architektur: Vertrauen Sie niemals standardmäßig auf die Verbindung eines Partners. Jede Interaktion zwischen dem Server eines Lieferanten und dem Firmenserver muss verifiziert werden. Partner sollten dazu ermutigt werden, von vornherein strenge Daten- und Systemsicherheitsmaßnahmen anzuwenden, bevor ein Datenaustausch stattfindet.

• Strikte Datenminimierung: Stellen Sie die grundlegende Frage: Benötigt unser Catering-Partner tatsächlich die Bankkontonummern unserer Mitarbeiter? Vielleicht ja, aber wenn die Antwort nein ist, sollten diese Daten nicht auf deren Servern liegen.

• Kontinuierliche Audits: Jährliche Sicherheitsfragebögen für Anbieter sind so effektiv wie ein Regenschirm bei starkem Wind. Echtzeitüberwachung der Sicherheitslage von Partnern ist der neue Standard.

• Kartierung aller vergessenen Daten und Kontrollen: Führen Sie ein Daten-Audit durch, um herauszufinden, wo sich all Ihre Daten befinden, und kartieren Sie die zugehörigen Sicherheitsmaßnahmen für solche Daten.

• Überarbeiten Sie Ihre Partnervereinbarungen: Überprüfen Sie, ob die genannten Datensicherheitsklauseln streng genug sind. Wenn nicht, sprechen Sie mit Ihrem rechtlichen Team darüber, ob solche Vereinbarungen und/oder Verträge überarbeitet werden könnten.

• Führen Sie ein Datensicherheitsaudit durch

Nächste Schritte für die betroffenen Mitarbeiter

Wenn Sie ein von einem Datenverstoß betroffener Mitarbeiter sind, sollte Ihr unmittelbares Augenmerk auf der Prävention von Sekundärschäden liegen:

• Überwachen Sie Kontoauszüge: Achten Sie auf "Mikrotransaktionen", die ein Vorläufer für größere unautorisierte Überweisungen sein könnten.

• Credential-Hygiene: Ändern Sie Passwörter für alle Konten, die möglicherweise Ihre Arbeitsrufnummer für 2FA nutzen, insbesondere wenn Sie vermuten, dass diese Konten über SMS-Phishing (Smishing) angegriffen werden könnten.

• Ignorieren Sie "dringende" Anfragen: Seien Sie vorsichtig bei E-Mails oder Texten, die vermeintlich von "HR" oder "Finanzen" stammen und nach "Sicherheitskartennummern" oder "Verifizierungscodes" fragen, um "den Verstoß zu beheben".

• Sprechen Sie mit Ihrem Sicherheitsteam, um spezifische Maßnahmen zu identifizieren, um das Risiko für sich selbst und Ihren Arbeitgeber zu reduzieren.

Der Vorfall bei Korean Air erinnert daran, dass Ihr Perimeter im Jahr 2025 effektiv unendlich sein könnte, wenn Sie nicht über die richtigen Kontrollen verfügen. Der Schutz Ihrer Daten muss den Schutz jeder Kette beinhalten, die sie berührt. Auf ein sichereres 2026.

Interessiert an einem maßgeschneiderten Briefing über spezifische Sicherheitsmaßnahmen zur Segmentierung Ihres OT-Netzwerks Sprechen Sie mit unserem Experten.

Probieren Sie unsere NDR-Lösung für OT-Sicherheit hier aus.

Für alles andere lassen Sie es uns wissen hier.