26/01/2023

Informationen zum SugarCRM-Incident

Wie der Software-Hersteller SugarCRM am 5. Januar bekanntgab, wurde zwischen Weihnachten und Silvester vergangenen Jahres eine Schwachstelle an seinem Software-Produkt identifiziert. POLYAS setzt die Software zur Verwaltung von Kunden ein. Die Sicherheitslücke wurde umgehend geschlossen, und es ist unwahrscheinlich, dass es zu einem Zugriff auf Daten kam. Zu keinem Zeitpunkt sind Wahlen davon betroffen gewesen.

Die Customer-Relationship-Management-Software SugarCRM ist eine Software, die bei POLYAS genutzt wird, um die Daten unserer Kunden zu pflegen. Die Software war von einer IT-Schwachstelle betroffen. Einen Zugang zu den Kundendaten durch Dritte halten wir nach derzeitigen Informationen für unwahrscheinlich, wenngleich es nicht vollständig ausgeschlossen werden kann. Bislang geht der Anbieter davon aus, dass die Kundendaten nicht das Ziel des Angriffs waren, sondern es sich um den Versuch eines Cryptominings handelte – also um das versuchte Schürfen von Kryptowährung. SugarCRM ist kein direkter POLYAS-Dienstleister – für die Nutzung arbeiten wir mit dem Kasseler Unternehmen Insignio zusammen, das das Produkt als Partner vom SugarCRM betreibt und in Deutschland hostet.

Seitens SugarCRM ist die Sicherheitslücke umgehend geschlossen worden, im Anschluss liefen Tests zur Überprüfung aller Systeme auf Anzeichen von Schadsoftware. In diesem Zuge hat uns Insignio am 12.01. darüber informiert, dass auch der POLYAS Account von dem Vorfall betroffen sei. Unser System wurde seitens Insignio deshalb noch am selben Tag vom Netz genommen und der von SugarCRM bereitgestellte Hotfix installiert. Mit dem Aufspielen eines Backups konnte das System am 16.01 wieder live geschaltet und das Angriffspotential beseitigt werden.

Die POLYAS Wahlsysteme sind zu keinem Zeitpunkt betroffen gewesen.

Insignio hat die Zugriffe auf das System, das Server Monitoring sowie den Datenverkehr analysiert und konnte keine Auffälligkeiten feststellen. Bislang gibt es keinen Hinweis darauf, dass Daten aus dem POLYAS-Account von SugarCRM abgeflossen sind.

Wir als POLYAS nehmen den Vorfall dennoch sehr ernst und unternehmen alles Notwendige, um die Daten unserer Kunden zu schützen. Im Zuge dessen wollen wir hiermit auch über den Vorfall informieren, weil Datensicherheit und Vertrauen bei uns höchsten Priorität haben.