MOVEit-Angriff 2023: Was der größte Supply-Chain-Hack des Jahres lehrt

Im Mai und Juni 2023 hat die russischsprachige Hackergruppe Clop eine Zero-Day-Schwachstelle in MOVEit Transfer ausgenutzt und Daten von schätzungsweise 2.500+ Organisationen weltweit gestohlen. Der MOVEit-Angriff ist der bisher größte Supply-Chain-Angriff auf Dateiübertragungssoftware — und ein Lehrstück über Third-Party-Risiken.

Das Wichtigste in Kürze

• Zero-Day in MOVEit Transfer: SQL-Injection-Lücke (CVE-2023-34362) ermöglichte unautorisierten Datenzugriff.
• Clop-Gruppe: Russischsprachige Ransomware-Gruppe, die auf Datenmassnahmen statt Verschlüsselung setzt.
• 2.500+ Opfer: Darunter US-Bundesbehörden, BBC, British Airways, TK Maxx und viele weitere.
• Keine Verschlüsselung: Clop hat Daten gestohlen, aber nicht verschlüsselt — der Angriff zielte auf Erpressung durch Datenpublikation.
• Lehrstück für Third-Party-Risiken: Viele Opfer hatten MOVEit nicht selbst betrieben, sondern über Dienstleister.

Der Angriff: Technisch erklärt

CVE-2023-34362 ist eine SQL-Injection-Schwachstelle in der Webanwendung von MOVEit Transfer. Die Clop-Gruppe hat diese Schwachstelle ausgenutzt, um auf die Datenbank zuzugreifen, Daten zu exfiltrieren und sogenannte Web Shells zu hinterlassen, die dauerhaften Zugriff ermöglichen.

Besonders perfide: Progress Software hat die Schwachstelle schnell gepatcht (31. Mai 2023), aber die Angreifer hatten bereits wochenlang im Verborgenen Zugriff. Viele Opfer wussten erst Wochen später, dass sie betroffen waren — weil MOVEit bei ihrem Dienstleister lief.

Warum so viele Opfer?

MOVEit Transfer ist Managed-File-Transfer-Software, die von vielen Unternehmen und Behörden für den sicheren Dateiausupport eingesetzt wird. Entscheidend: Viele der Opfer hatten MOVEit nicht selbst installiert, sondern nutzten es über spezialisierte Payroll- und HR-Dienstleister wie Zellis oder PBI Research Services.

Das klassische Supply-Chain-Problem: Selbst wenn ein Unternehmen seine eigene IT sicher hat, kann ein Angriff auf einen Dienstleister dieselben Daten kompromittieren. British Airways und BBC waren betroffen, weil ihr HR-Dienstleister Zellis MOVEit einsetzte.

Was Unternehmen daraus lernen müssen

Third-Party-Inventar führen: Welche Dienstleister haben Zugriff auf sensible Daten? Welche Tools setzen sie ein? Ohne dieses Inventar ist eine Reaktion auf MOVEit-ähnliche Vorfälle kaum möglich.

Vertragliche Pflichten: Sicherheitsvorfälle müssen in SLAs und Auftragsverarbeitungsverträgen (AVV) mit konkreten Meldepflichten und Reaktionszeiten verankert sein.

Datenminimierung: Was nicht gespeichert oder übertragen wird, kann auch nicht gestohlen werden. Die DSGVO-Anforderung zur Datenminimierung ist hier auch ein Sicherheitsprinzip.

Patch-Monitoring für Lieferanten: Kritische CVEs bei Software von Schlüssellieferanten müssen aktiv überwacht werden — nicht gewartet, bis der Dienstleister proaktiv informiert.

Key Facts auf einen Blick

Betroffene Organisationen: Schätzungsweise 2.500+ weltweit (Stand August 2023)

Angreifer: Clop (TA505) — russischsprachige Gruppe, bekannt für Datendiebstahl-Erpressung

CVE: CVE-2023-34362 (CVSS 9.8 — kritisch)

Angriffsmethode: SQL-Injection → Datenexfiltration → Web Shell → Erpressung

Patch verfügbar: 31. Mai 2023 — Angriff lief aber schon vorher

Fakt: 77 Prozent der Ransomware-Opfer, die Lösegeld zahlten, wurden laut Cybereason erneut angegriffen.

Fakt: Laut Allianz Risk Barometer 2025 sind Cyberangriffe das größte Geschäftsrisiko weltweit.

Häufige Fragen

Was ist MOVEit Transfer?

MOVEit Transfer ist eine Managed-File-Transfer-Lösung von Progress Software, die von Unternehmen und Behörden für den sicheren, nachvollziehbaren Dateiausupport eingesetzt wird. Es ist eine weit verbreitete Enterprise-Software.

Wie kann man prüfen, ob man betroffen ist?

Prüfen, ob MOVEit Transfer selbst oder über Dienstleister genutzt wird. Progress hat Indicators of Compromise (IoCs) veröffentlicht. CISA bietet ebenfalls Guidance. Betroffene Dienstleister sollten aktiv Auskunft geben.

Hat Clop Lösegeld gefordert?

Clop arbeitet ohne klassische Ransomware-Verschlüsselung — stattdessen drohen sie mit Veröffentlichung der gestohlenen Daten. Unternehmen wurden aufgefordert, sich zu melden, andernfalls werden die Daten auf der Clop-Leak-Seite veröffentlicht.

Sind DSGVO-Meldepflichten relevant?

Ja. Bei Datenpannen, die personenbezogene Daten betreffen, gilt die 72-Stunden-Meldepflicht an die Aufsichtsbehörde. Betroffene Unternehmen müssen prüfen, ob und welche personenbezogenen Daten abgeflossen sind.

Wie schützt man sich vor ähnlichen Angriffen?

Third-Party-Risikomanagement aufbauen, Software-Inventar aller Dienstleister führen, kritische CVEs aktiv monitoren, vertragliche Meldepflichten in alle Dienstleisterverträge aufnehmen.

Weitere Artikel zum Thema

→ Supply Chain Security 2026: So schützen Unternehmen ihre Softwarelieferkette

→ Third Party Risk Management: Das Risiko lauert überall

Weiterführende Lektüre im Netzwerk

Cloud Security aktuell: cloudmagazin.com

IT-Risiken für Führungskräfte: digital-chiefs.de

Verwandte Artikel

• Ransomware 2026: Incident Response in den ersten 60 Minuten
• Cybersecurity 2025: Das Jahr im Rückblick — Vorfälle, Trends, Lektionen
• Ransomware 2024: Neue Taktiken, größere Ziele, härtere Verhandlungen

Quelle Titelbild: Pexels / Tima Miroshnichenko

Hier schreibt Benedikt Langer für Sie

Mehr Artikel vom Autor Benedikt Langer