Ehemalige Mitarbeiter:

Kaseya soll IT-Probleme jahrelang ignoriert haben

(Bild: stock.adobe.com, krone.at-Grafik)

Schwerer Vorwurf gegen das durch die aktuelle REvil-Ransomware-Attacke in Misskredit geratene US-Unternehmen Kaseya: Ehemaligen Mitarbeitern zufolge soll der in Miami ansässige IT-Dienstleister seit Jahren von Sicherheitslücken in seiner virtuellen Systemadministrator-Software VSA gewusst haben. Forderungen, diese zu ersetzen, seien ignoriert worden, hieß es.

Wie fünf ehemalige Kaseya-Mitarbeiter gegenüber Bloomberg berichteten, sei die Unternehmensleitung bei mehreren Gelegenheiten zwischen 2017 und 2020 auf „weitreichende Cybersicherheitsprobleme“ hingewiesen worden. Doch diese seien oft nicht ausreichend angegangen worden, so die Mitarbeiter, die in der Softwaretechnik und -entwicklung des IT-Dienstleisters beschäftigt waren und darum baten, nicht identifiziert zu werden, weil sie Vertraulichkeitsvereinbarungen unterzeichnet hatten oder berufliche Vergeltung fürchteten.

Zu den eklatantesten Problemen gehörten demnach auf veraltetem Code basierende Software, die Verwendung schwacher Verschlüsselungen und Passwörter in den Produkten und auf den Servern von Kaseya, die Nichteinhaltung grundlegender Cybersicherheitspraktiken wie regelmäßiges Patchen sowie die Konzentration auf den Verkauf auf Kosten anderer Prioritäten, so die Mitarbeiter.

„Eklatante Sicherheitsmängel“
Einer von ihnen gab dem Bericht nach an, bereits Anfang 2019 ein 40-seitiges Memo an die Unternehmensleitung geschickt zu haben, in dem er Sicherheitsbedenken darlegte. Zwei Wochen später sei er gefeuert worden, was seiner Meinung nach mit seinen wiederholten Bemühungen zusammenhing, auf die Probleme hinzuweisen. Ein anderer Mitarbeiter sagte, dass Kaseya seine Software oder Server nur selten gepatcht und Kundenpasswörter im Klartext - also unverschlüsselt - auf Plattformen von Drittanbietern gespeichert habe. Praktiken, die der Mitarbeiter als eklatante Sicherheitsmängel bezeichnete.

Zusammen mit einem weiteren Kollegen soll derselbe Mitarbeiter die Führungsriege darauf hingewiesen haben, dass die hauseigene Software VSA „so veraltet und voller Probleme“ sei, dass sie ersetzt werden sollte.

Aus Frust gekündigt
Aus Frustration darüber, dass neuen Funktionen und Produkten Vorrang gegenüber der Behebung von Problemen eingeräumt wurde, sollen schließlich mehrere Entwickler und Ingenieure das Unternehmen verlassen haben. Andere wurden dem Bericht nach entlassen, als Kaseya 2018 begann, Arbeitsplätze ins weißrussische Minsk zu verlagern, um Softwareentwicklungsarbeiten zu erledigen, die zuvor in den USA durchgeführt worden waren, so zwei der ehemaligen Mitarbeiter, die mit der Angelegenheit vertraut sind.

Vier der Ex-Mitarbeiter gaben gegenüber Bloomberg an, dass sie die Auslagerung der Arbeit nach Weißrussland als potenzielles Sicherheitsproblem betrachteten, da das Land politisch eng mit der russischen Regierung verbunden sei.

(Bild: ©jamdesign - stock.adobe.com)

„Schwere und ausnutzbare Schwachstellen“
Marcus Murray, Gründer der in Schweden ansässigen IT-Sicherheitsfirma Truesec, die mehrere Kaseya-Kunden nach der Ransomware-Attacke unterstützte, sagte zu Bloomberg, dass seine Firma bei der Überprüfung der VSA-Software in nur wenigen Stunden „schwere und ausnutzbare Schwachstellen“ gefunden habe. Der Code enthalte eine Mischung aus verschiedenen Programmiersprachen und sei zum Teil veraltet und nicht für eine moderne Remote-IT-Management-Plattform geeignet.

„Wir haben viele verschiedene Kategorien von ausnutzbaren Schwachstellen im Kaseya VSA-Produkt gefunden, was auf ein mangelndes Verständnis hinweist, wenn es um grundlegende Sicherheitsprinzipien in der Softwareentwicklung geht“, sagte Murray.

Ein Sprecher von Kaseya lehnte es ab, die Vorwürfe zu kommentieren und berief sich dabei auf die Richtlinie, sich nicht zu Angelegenheiten zu äußern, die das Personal oder die laufende strafrechtliche Untersuchung des Hacks betreffen.