Was hat es mit dem Hack von Okta auf sich?

In der Nacht auf Dienstag tauchten im Netz sensible Daten des US-IT-Dienstleisters Okta auf. Der Hackergruppe Lapsus$ war es scheinbar gelungen, sich Zugang zu den Servern des Unternehmens zu verschaffen. Die Firma betreut Großkonzerne wie FedEx oder T-Mobile.

Was hat es mit dem Hack auf sich und wem kann er gefährlich werden? Die futurezone beantwortet alle Fragen rund um den Cyberangriff.

Was ist Okta überhaupt?

Das in San Francisco ansässige Unternehmen, ist auf Identitäts- und Zugriffsmanagement spezialisiert. Es entwickelt IT-Lösungen für Mitarbeiter*innen, mit denen sicher auf unternehmensinterne Netzwerke und Anwendungen zugegriffen werden kann. Darunter fallen Dienste wie Single Sign-On und Multi-Faktor-Authentifizierung (MFA), die bei der Anmeldung auf Webseiten oder Apps zum Einsatz kommen.

Okta steht daher in direkter Konkurrenz zu Unternehmen wie SecureAuth, Microsoft oder IBM, die ebenfalls derartige Dienste anbieten. Der Aktienkurs von Okta hat während der Pandemie angezogen, sodass das Unternehmen nun rund 24 Milliarden US-Dollar wert ist.

Wer steckt hinter Lapsus$?

Die Hackergruppe ist erst seit wenigen Monaten aktiv, hat aber bereits mehrere große Tech-Unternehmen bei Cyberangriffen ins Visier genommen. Neben Okta hat es Nvidia, Samsung, LG, Vodafone und zuletzt Microsoft erwischt. Letzterem wurden laut Angaben von Lapsus$ der Quellcode für seine Suchmaschine Bing und die Sprachsteuerung Cortana gestohlen.

Das Geschäftsmodell von Lapsus$ besteht darin, interne Informationen von Unternehmen zu kopieren und schließlich mit deren Veröffentlichung zu drohen. Bisher gibt es gegenüber Okta noch keine Forderungen. 

Wer genau hinter Lapsus$ steckt, ist nicht bekannt. Laut einem Bericht von Wired vermuten Expert*innen, dass die Hackergruppe von Brasilien aus operiert. Ihr Telegramkanal ließe darauf schließen, heißt es in dem Artikel.

Wie ging der Hack über die Bühne?

Die Hackergruppe Lapsus$ veröffentlichte in der Nacht auf Dienstag Screenshots im Netz, in denen sensible Daten von Okta zu sehen sind, darunter unter anderem unternehmensinterne Slack-Kanäle.

Sicherheitsexpert*innen befürchteten in ersten Reaktionen das Schlimmste. Oktas Sicherheitschef David Bradbury beschwichtigte aber in einem Statement. Die IT-Dienste der Firma seien „weiterhin voll funktionsfähig“ und Kund*innen müssten „keine Korrekturmaßnahmen vornehmen“. Denn Okta zufolge stammen die Screenshots mit hoher Wahrscheinlichkeit von einer Attacke, die sich bereits im Jänner 2022 ereignete. Es habe in diesem Monat ein Zeitfenster zwischen dem 16. und 21. gegeben, in dem Angreifer*innen Zugriff auf den Laptop eines Support-Angestellten gehabt hatten.

Wer ist von dem Hack betroffen?

Laut der Nachrichtenagentur Reuters seien 366 Okta-Klient*innen betroffen. Unter den 15.000 Unternehmen, die Okta betreut, sind bekannte Namen wie Peloton, T-Mobile, FedEx, Coinbase und die Rating-Agentur Moody’s. In einem Statement betont Chief Security Officer David Bradbury, dass es sich bei den 366 betroffenen Firmen um ein Worst-Case-Szenario handle. Dass mehr als 366 Klient*innen betroffen sind, schließt Okta aus.

Welche Gefahren drohen Betroffenen?

Da Okta ein Identitäts- und Zugriffsmanagement-Dienstleister ist, könnte ein Hack ernste Folgen für dessen Kundschaft haben. Theoretisch könnte die Hackergruppe auf Handys und PCs von Angestellten der Okta-Kund*innen zugreifen.

Okta-Sicherheitschef Bradburry gibt allerdings Entwarnung. Die Eindringlinge hätten keinen umfänglichen Zugang zu Oktas Daten gehabt. Wir erinnern uns: Laut Okta ist nur der Laptop eines/r IT-Support-Angestellten kompromittiert worden. Okta-Support-Mitarbeiter*innen wären laut Bradburry nicht dazu in der Lage, Kundendatenbanken herunterzuladen, Accounts zu erstellen oder Passwörter einzusehen. Es steht allerdings in ihrer Macht, Passwörter und MFAs für Benutzer*innen zurücksetzen. Würde Lapsus$ diesen Schritt gehen, wäre der Schaden für die betroffenen Unternehmen allerdings sehr gering so Bradburry.

Haben sich die Hacker nochmal zu Wort gemeldet?

Ja. Lapsus$ widerspricht über seine Telegramgruppe dem Statement von Okta-Sicherheitschef Bradburry. Setze man alle Passwörter und MFAs zurück, würde das zu einer „kompletten Kompromittierung“ vieler Client-Systeme führen, so die Hacker*innen. Neben anderen Aussagen stellen sie außerdem klar, dass sie sich nicht über einen Laptop, sondern einen Thin Client Zugang zu Okta verschafft hatten.