Datenleck bei Logitech: Zero-Day in Drittanbieter-Software ausgenutzt

Logitech hat einen "Cybersecurity Incident" gemeldet, was in der Unternehmenssprache meist bedeutet, dass es ein Problem gibt, dessen volles Ausmaß noch unklar ist. Unbekannte Dritte haben sich offenbar Zugriff auf interne Systeme des Peripherie-Herstellers verschafft und dabei Daten exfiltriert. Die eigenen Produkte, der Geschäftsbetrieb oder die Fertigung sollen davon nicht betroffen sein.

Als Einfallstor diente eine Zero-Day-Schwachstelle in einer Software eines Drittanbieters. Ein Klassiker im Sicherheitsbingo: Bevor der externe Anbieter die Lücke schließen konnte, waren die Angreifer bereits im System. Logitech hat nach eigenen Angaben den Patch eingespielt, sobald dieser verfügbar war, und externe Sicherheitsfirmen für die Untersuchung hinzugezogen.

Interessant wird es bei der Frage, welche Daten genau abgegriffen wurden. Logitech räumt ein, dass "begrenzte Informationen" über Mitarbeiter und Verbraucher sowie Daten zu Kunden und Lieferanten betroffen sein dürften. Das klingt bereits umfassend genug, um hellhörig zu werden.

Das Unternehmen beruhigt jedoch sofort im selben Atemzug: Man "gehe nicht davon aus", dass sensitive persönliche Informationen wie Ausweisnummern oder Kreditkarteninformationen auf dem betroffenen System gespeichert waren. Diese Formulierung ist der Branchenstandard für "Wir hoffen das Beste, aber die Untersuchung ist noch nicht abgeschlossen". Die Benachrichtigung der Behörden läuft bereits, was ebenfalls zum Standardprotokoll gehört.

Finanziell sieht sich Logitech nicht in Gefahr und rechnet nicht mit wesentlichen Auswirkungen auf die Geschäftszahlen. Man verwies vorsorglich auf eine "umfassende Cybersecurity-Versicherung", die für Kosten im Zusammenhang mit der Untersuchung, möglichen Klagen oder Bußgeldern aufkommen soll. Die Aktionäre können also beruhigt sein; Kunden und Mitarbeiter müssen derweil abwarten, was die laufende Untersuchung in den kommenden Wochen noch zutage fördert.