Was ist passiert?

Bitte beachten Sie, dass der vorliegende Fall auf einem tatsächlichen Vorfall basiert. Zum Schutz der Identität der beteiligten Parteien werden im weiteren Verlauf fiktive Namen für die involvierten Unternehmen und Personen verwendet.

Ein Restaurant, das Online-Bestellungen anbietet, wurde über einen IT-Sicherheitsvorfall bei einem seiner Softwareanbieter informiert. Dieser Anbieter betreibt die Plattform QuickEatery, die das Restaurant unter anderem für das Bestellsystem, die Verwaltung und die Zahlung nutzt.

Der Betreiber von QuickEatery entdeckte einen unautorisierten Zugriff auf Kundendaten. Betroffen waren personenbezogene Informationen wie Namen, E-Mail-Adressen und teilweise auch sensible Daten, darunter die letzten vier Ziffern der im System hinterlegten Kreditkarten. Der Anbieter von QuickEatery informierte daraufhin alle betroffenen Unternehmenskunden, einschließlich das genannte Restaurant.

Der Vorfall wurde jedoch durch das Fehlverhalten einer dritten Partei verursacht. Kriminelle erlangten Zugang zu den Zugangsdaten der Plattform QuickEatery durch das unvorsichtige Verhalten einer Mitarbeiterin einer externen Buchhaltungsfirma. Diese versuchte, sich auf der Plattform anzumelden, um Zahlungseingänge und Rechnungsstellungen für den Betreiber von QuickEatery zu prüfen. Als dies nicht gelang, suchte sie online nach einer alternativen Möglichkeit zur Anmeldung – und wurde fündig.

Dabei stieß sie auf eine Webseite, die der Originalseite von QuickEatery täuschend ähnlich sah, jedoch von Angreifern manipuliert worden war. Die dort eingegebenen Zugangsdaten wurden direkt an die Bedrohungsakteure übermittelt.