Bike-Hersteller gehackt: Canyon Opfer von Cyber-Angriff

Frostfalke

Querwaldexplorer
Dabei seit
13. August 2017
Punkte für Reaktionen
2.929
Kein Software-/Hardwareschutz ist absolut. In der Regel reichen firmeneigene Sicherheitsmaßnahmen aus, gegen automatische Angriffe zu bestehen. Wenn ein Profi rein will, kommt er auch rein.

Bitter ist hinterher vorallem, wenn sich der Datenschutzbeauftragte des Landes hinterher dran festbeißt. Der kann so ein Unternehmen mit dem kleinen Finger zu Fall bringen. Hat man ja bei Unister gesehen, was das für ein Unternehmen bedeuten kann. Hoffen wir, dass es bei Canyon nicht so weit kommt!
 

Osti

Gurkencommander
Dabei seit
16. August 2002
Punkte für Reaktionen
1.455
Standort
Augsburg
Willst du damit andeuten, dass Scott hinter der Attacke stecken könnte?
nee, aber Ransomware Erpressung hat sich ja zu nem seriösen Business entwickelt. Die "Anbieter" (ob man deren "Dienst" nun haben möchte oder nicht sei mal dahingestellt) haben in der Tat nen kompetenten, freundlichen und oft landesprachlich orientierten Service, um seine Daten wieder herstellen zu können. Kostet halt idR nen paar Bitcoins.

Kein Software-/Hardwareschutz ist absolut. In der Regel reichen firmeneigene Sicherheitsmaßnahmen aus, gegen automatische Angriffe zu bestehen. Wenn ein Profi rein will, kommt er auch rein.
Nun, man kann die Latte schon sportlich sehr hoch legen, aber 100% Schutz ist utopisch. Der wichtigste Vektor ist immer noch Email. Man kann in die Breite gehe oder sehr sehr zielgerichtet vorgehen. Nichtsdestotrotz trotz sollte sich jedes Unternehmen seine Relevanz für Angriffe eingestehen und entsprechend vorbereitet sein. Das "wir sind doch eh zu klein und/oder uninteressant" gilt heute nicht mehr.
 

Frostfalke

Querwaldexplorer
Dabei seit
13. August 2017
Punkte für Reaktionen
2.929
Die meisten Angriffe kommen doch eh von innerhalb. Menschen wechseln auch ab und auch ihre Arbeitsplätze. Nehmen Wissen/Informationen mit.......
Ob es nun mehr als von außen sind, keine Ahnung aber Du hast schon recht. Bin auch Arbeitgeber und wir hatten auch schon diverse Diebstähle von Mitarbeitern (sei es Geld oder anderes). Ist relativ schwer sowas zu verhindern, ohne das Arbeitsklima für die anderen Mitarbeiter zu ruinieren. Ich persönlich versuche immer ein schönes und familiäres Arbeitsklima zu schaffen und meinen Mitarbeitern zu vertrauen. Da passiert es zwangsläufig, dass man mal verarscht wird. Das ist hart, aber ich hoffe da immer hinterher auf Karma :D.
 
Dabei seit
15. Januar 2014
Punkte für Reaktionen
458
Standort
Rheinland ;)
hätten die nix gesagt wäre es eh nie jemandem aufgefallen.
Naja, die sind eben gesetzlich dazu verpflichtet den Angriff zu veröffentlichen.
Eher bedauerlich, dass die gegen sowas keine Vorkehrungen getroffen haben.
Nach den Vorfällen bei der deutschen Bahn und Heise kam doch da keine IT-Abteilung mehr dran vorbei. 🤔
 

Frostfalke

Querwaldexplorer
Dabei seit
13. August 2017
Punkte für Reaktionen
2.929
Nun, man kann die Latte schon sportlich sehr hoch legen, aber 100% Schutz ist utopisch. Der wichtigste Vektor ist immer noch Email. Man kann in die Breite gehe oder sehr sehr zielgerichtet vorgehen. Nichtsdestotrotz trotz sollte sich jedes Unternehmen seine Relevanz für Angriffe eingestehen und entsprechend vorbereitet sein. Das "wir sind doch eh zu klein und/oder uninteressant" gilt heute nicht mehr.
Also ich konnte bei unseren Mandanten schon ein Umdenken feststellen, seit es die DSGVO gibt. Vorher hieß es immer: lass mich in Ruhe mit Datenschutz :ka:. Seit letztem Jahr wird da doch bei den Meisten massiv nachgerüstet.
 
Dabei seit
21. April 2005
Punkte für Reaktionen
1.710
Auch wenn ich kein Freund dieses Ladens bin...

Wie man zB an der Uni Gießen sieht, ist das auch in großen Läden mit entsprechender IT-Abteilung ein echtes Problem geworden.

Wünsche ich keiner Firma, ist eine echte Katastrophe und kann auch schnell mal das Aus bedeuten.

Von daher toi toi toi, dass nicht die Backup-Rechner auch hin sind. Teils warten die Hacker entspannt mal sechs Monate ab und verteilen die Schadsoftware über diverse Hintertüren dann an Lieferanten und Kunden.

Grüße
 

mingus

velofahren
Dabei seit
28. Juni 2002
Punkte für Reaktionen
506
Standort
CH
Hilfreichster Beitrag
Schadenfreude ist hier nicht angebracht, ebenso wie Vermutungen dass Security unzureichend war oder ein Mitarbeiter Mist gebaut hat. Wer wissen will wie der 350mio Schaden bei Maersk entstanden ist, der kann hier etwas lesen:


Fakt ist, momentan laufen sehr vielen sehr professionelle Angriffe, zB Uni Giessen hat es prominent erwischt. Gegen diese Angriffe (bei Maersk via automatisiertem Patch einer Buchhaltungssoftware und Verbreitung weltweit via Datacenter-Automatisierung) gibt es keine wirkliche standardisierte Sicherheit. Backup und Recovery in Ehren, aber wenn der Angreifer über Monate alles in die Backups laufen lässt, dann gehen auch Weltkonzerne in die Knie. Dieses Thema wird in der nächsten Zeit noch weiter in den Medien auftauchen, besonders wenn kritische Infrastrukturen wie Spitäler, Stromversorgung etc lahmgelegt werden.
 
Dabei seit
5. September 2019
Punkte für Reaktionen
9
Na ja, die wirklich wichtige Frage ist ja, ob davon auszugehen ist, das Kundendaten abgeflossen sind. Das wäre für mich eigentlich die Sache, die für die Leser und Canyon-Kunden vorrangig ist. Leider wird aber im Artikel und in der Meldung nicht darauf eingegangen....
 
Dabei seit
20. April 2004
Punkte für Reaktionen
220
Als potentieller Kunde würde ich von Vorabzahlungen jetzt erst mal absehen bis das Problem geklärt ist. Unter Umständen können bereits getätigte Zahlungen gar nicht mehr zugeordnet werden wenn der gesamte Datenbestand verschlüsselt ist.

Wenn die in ihrer IT genauso arbeiten wie im Support dann gute Nacht. Mein Mitleid hält sich in Grenzen.
 

Frostfalke

Querwaldexplorer
Dabei seit
13. August 2017
Punkte für Reaktionen
2.929
Als potentieller Kunde würde ich von Vorabzahlungen jetzt erst mal absehen bis das Problem geklärt ist. Unter Umständen können bereits getätigte Zahlungen gar nicht mehr zugeordnet werden wenn der gesamte Datenbestand verschlüsselt ist.

Wenn die in ihrer IT genauso arbeiten wie im Support dann gute Nacht. Mein Mitleid hält sich in Grenzen.
Als potentieller Kunde würde ich von Vorabzahlungen jetzt erst mal absehen bis das Problem geklärt ist. Unter Umständen können bereits getätigte Zahlungen gar nicht mehr zugeordnet werden wenn der gesamte Datenbestand verschlüsselt ist.

Wenn die in ihrer IT genauso arbeiten wie im Support dann gute Nacht. Mein Mitleid hält sich in Grenzen.
Die Gefahr besteht doch gar nicht. Geld muss auf Geschäftskonto ordentlich verbucht werden. Wenn "zuviel" drauf wäre, dann würde es bei "Nichtzuordnung" zurücküberwiesen. Ansonsten kann jeder der gezahlt hat, das Ganze mit einem Screenshot und einer E-Mail klären. Insofern sehe ich die Gefahr nicht.

Was hingegen die einzige "wirkliche" Gefahr für die Kunden ist, dass die Kundenpasswörter von den Kundenkonten im Umlauf sind. Da sollte man also seine Passwörter ändern, wenn man irgendwo die Gleichen benutzt.

Ansonsten ist das Ganze einfach nur beschissen für die Leute von Canyon. Die Datenschutzbehörde pfuscht jetzt überall herum, man muss sich jetzt vor denen entlasten, um kein Bußgeld oder Schlimmeres zu kassieren (und die Bußgelder nach DSGVO sind EXORBITANT!). Trotzallem wird die Behörde Bearbeitungsgebühren verlangen und die sind krass. Vom Imageverlust, der verlorenen Kundenvertrauen und der Ausfallzeit der Arbeit ganz zu schweigen. Das wird eine schwere Belastungsprobe für die Firma. Man kann jetzt natürlich sagen, was solls, trifft nur die Reichen. So ist es aber nicht. Für die "Unternehmer" ist das Lebenswerk in Gefahr. Für die Mitarbeiter die Arbeitsstellen. Und das alles, weil irgend so ein besch... Krimineller meint er müsste Computersysteme hacken. Der Schaden ist genauso schlimm, als wenn man dort etwas anzündet o. ä. Insofern kann man von Canyon halten was man will. Man kann Fan der Marke sein oder nicht. Aber egal was man ist, das haben die Leute da nicht verdient.
 
Dabei seit
20. April 2004
Punkte für Reaktionen
220
Echt ein scheiss Spruch, Empathie ist nicht so deine Stärke? Da hängen zig Jobs dran, kopfschüttel :(
Warum sollte ich mit einer derart kundenunfreudlichen Firma Mitleid haben? Die Kunden die hier über Jahre verarscht wurden tun mir da schon eher Leid.

@Frostfalke

Was glaubst Du was im Zuge einer Insolvenz mit den Geldern auf den Geschäftskonten passiert? Ich würde in so einer unklaren Situation nichts bezahlen. Zumindest bis die Sache geklärt ist.
 

Catsoft

Team: Nordisch by Nature
Dabei seit
24. September 2001
Punkte für Reaktionen
197
Standort
Escheburg
Bei einigen Kommentaren kann ich nur hoffen, dass ihr nicht die Verantwortung für die Firmen IT tragt. Wer glaubt sicher vor solchen Attacken zu sein, hat schon die falsche Einstellung und Wahrnehmung. Auch wir rüsten jeden Tag auf, aber die Angreifer lassen sich jeden Tag was neues einfallen. Und ich habe schon eine echte EMOTET Mail gesehen. Die sah absolut echt aus und kam von einem Geschäftspartner auf eine konkrete Frage von uns. Zu Glück hat die letze Verteidigung gewirkt, nachdem mehrer vorgelagerte Hürden überwunden wurden.

Ich bin sicherlich kein Canyon Fan, aber so einen Fall (wie ich ihn vermute) gönne ich niemandem.
 
Dabei seit
22. Dezember 2015
Punkte für Reaktionen
5.448
Warum sollte ich mit einer derart kundenunfreudlichen Firma Mitleid haben? Die Kunden die hier über Jahre verarscht wurden tun mir da schon eher Leid.

@Frostfalke

Was glaubst Du was im Zuge einer Insolvenz mit den Geldern auf den Geschäftskonten passiert? Ich würde in so einer unklaren Situation nichts bezahlen. Zumindest bis die Sache geklärt ist.
Weil es unverschuldet ist und die Mitarbeiter nichts für den Zustand können.
 

der_erce

Spezialist!
Dabei seit
14. August 2006
Punkte für Reaktionen
4.393
Standort
Lebkoung-City
Schadenfreude ist hier nicht angebracht, ebenso wie Vermutungen dass Security unzureichend war oder ein Mitarbeiter Mist gebaut hat. Wer wissen will wie der 350mio Schaden bei Maersk entstanden ist, der kann hier etwas lesen:


Fakt ist, momentan laufen sehr vielen sehr professionelle Angriffe, zB Uni Giessen hat es prominent erwischt. Gegen diese Angriffe (bei Maersk via automatisiertem Patch einer Buchhaltungssoftware und Verbreitung weltweit via Datacenter-Automatisierung) gibt es keine wirkliche standardisierte Sicherheit. Backup und Recovery in Ehren, aber wenn der Angreifer über Monate alles in die Backups laufen lässt, dann gehen auch Weltkonzerne in die Knie. Dieses Thema wird in der nächsten Zeit noch weiter in den Medien auftauchen, besonders wenn kritische Infrastrukturen wie Spitäler, Stromversorgung etc lahmgelegt werden.
Das Klinikum in Fürth hat es ebenso um die Feiertage erwischt.

 
Dabei seit
4. Juni 2015
Punkte für Reaktionen
1.147
Interessant, dass vor allem Leute, die sich keine Canyon Bikes kaufen, hier ihre Kommentare platzieren. Das Forum wird immer trashiger und bashiger. Ich finde es scheisse, dass Canyon so was passiert, auch wegen seiner Kunden, die vielleicht ein Bike bestellt haben, auf das sie schon lange gespart hatten und jetzt in der Tinte sitzen wegen ein paar krimineller Chipsfressender Hacker, die nichts anderes können, als andere zu schädigen.
 
Dabei seit
4. Juni 2015
Punkte für Reaktionen
1.147
Warum sollte ich mit einer derart kundenunfreudlichen Firma Mitleid haben? Die Kunden die hier über Jahre verarscht wurden tun mir da schon eher Leid.

@Frostfalke

Was glaubst Du was im Zuge einer Insolvenz mit den Geldern auf den Geschäftskonten passiert? Ich würde in so einer unklaren Situation nichts bezahlen. Zumindest bis die Sache geklärt ist.
Vielleicht weil deine Sichtweise eher eingeschränkt ist? Was für ein unausgegorener und ignoranter Kommentar!
 
Oben