Major security breach at Austrian AI startup localmind.ai

Sehr geehrte Kundinnen und Kunden, sehr geehrte Partnerinnen und Partner, wir möchten Sie über die jüngsten Fortschritte bei der Aufarbeitung des Angriffs sowie über die laufenden Sicherheitsmaßnahmen informieren.

Stabilisierung der Systeme

Unsere bisherigen Analysen bestätigen, dass das Kernsystem der Localmind-Plattform selbst nicht kompromittiert wurde, sondern die Angriffe über administrative Schnittstellen und Testumgebungen stattfanden.

Unmittelbar nach Bekanntwerden des Vorfalls wurden, wie bereits erwähnt, alle betroffenen Systeme isoliert, um weitere Zugriffe zu verhindern. Diese Lücken wurden umgehend geschlossen, die betroffenen Bereiche überprüft, sichergestellt und erste Systeme gehärtet.

Der kontrollierte Transfer der virtuellen Maschinen (VMs) in die neuen Rechenzentren (nach Tier IV gebaut, ISO 27001 & ISO 27018 und Cyber Trust Austria zertifizert, über 20 Jahre Erfahrung im Infrastrukturbereich) mit vollständig isolierter Infrastruktur ist inzwischen nahezu abgeschlossen. Sobald die laufenden Prüfungen erfolgreich abgeschlossen sind, werden die ersten Instanzen wieder unter streng kontrollierten Bedingungen gestartet.

Die Inbetriebnahme erfolgt nicht als Kopie der bisherigen Umgebung, sondern ausschließlich über die tatsächlichen Datenbestände (z. B. Docker-Volumes und Konfigurationen). Diese werden auf neu aufgesetzte, vollständig saubere und gehärtete Hosts migriert – ein Vorgehen, das den Empfehlungen unserer forensischen Partner und gängigen Best Practices entspricht.

Forensische Erkenntnisse

Die forensischen Untersuchungen zeigen inzwischen ein klareres Bild des Angriffsverlaufs:

• Auf mehreren Systemen wurden einige öffentliche IP-Adressen identifiziert, über die unberechtigte Zugriffe erfolgten. Diese führen allesamt auf VPN-Dienstleister, was eine eindeutige Zuordnung der Angreifer derzeit erschwert.
• Logdaten belegen Anmeldeaktivitäten außerhalb der üblichen Arbeitszeiten, u. a. in den Nachtstunden und an Wochenenden. Diese Ereignisse werden derzeit im Detail analysiert, um den tatsächlichen Zugriffsumfang zu bestimmen.
• Zudem wurden die Netzwerk- und Datentransferstatistiken der vergangenen Monate geprüft. Aktuell gibt es keine Hinweise auf eine großflächige Datenexfiltration. Diese Analysen werden fortgeführt.

Alle forensischen Erkenntnisse werden strukturiert dokumentiert. Wir möchten an dieser Stelle betonen, dass die Aufbereitung solcher Berichte Sorgfalt erfordert. Ziel ist, den Angriff technisch und zeitlich vollständig zu rekonstruieren und alle Erkenntnisse nachvollziehbar darzulegen.

Härtungsmaßnahmen & zukünftige Sicherheitsarchitektur

Zur nachhaltigen Erhöhung der Sicherheit werden umfassende technische und organisatorische Maßnahmen umgesetzt. Diese betreffen sowohl die Infrastruktur selbst als auch die administrativen Prozesse.

Zugangssicherheit

• Für jede einzelne Kundeninstanz wird künftig eine F5 Web Application Firewall (WAF) mit vorgelagerter Pre-Authentication eingesetzt. Der Zugriff auf die jeweilige Applikation erfolgt ausschließlich über diese gesicherte Verbindung. Die Anmeldung erfolgt dabei über individuelle Zugangsdaten (Benutzername, Passwort) und ist zusätzlich durch eine verpflichtende Zwei-Faktor-Authentifizierung (2FA) abgesichert. Nur nach erfolgreicher Authentifizierung wird der Zugriff auf die eigentliche Anwendung freigegeben.
• Parallel dazu wird der Wazuh-Sicherheitsagent als zusätzliche zentrale Login- und Monitoring-Komponente eingesetzt. Er protokolliert unter anderem alle Anmeldeereignisse, analysiert sie automatisiert auf Auffälligkeiten und trägt so zu einer lückenlosen Nachvollziehbarkeit sämtlicher administrativer Zugriffe bei.
• Alle bisherigen Service-Konten innerhalb der Applikation werden vollständig gelöscht. Ebenso werden sämtliche in Automatisierungs-Workflows gespeicherten Zugangsdaten vor der Wiederinbetriebnahme entfernt und die betroffenen Kunden vorab informiert, welche Services eingebunden waren. Dadurch ist eine Neuanlage sämtlicher Anmeldeinformationen erforderlich. Auf Wunsch unterstützen wir Sie gerne bei diesem Prozess.

Neuaufbau der Administration

• Es werden alle bisherigen Service-Konten innerhalb der Applikation gelöscht.
• Ebenso werden sämtliche in Automatisierungs-Workflows gespeicherten Zugangsdaten vor Wiederinbetriebnahme gelöscht und zuvor sicher an die jeweiligen Kunden übermittelt. Dadurch ist eine Neuanlage der Credentials erforderlich. Bei Bedarf unterstützen wir Sie gerne dabei.
• Kritische Automatisierungs-Nodes in der Drittanbietersoftware n8n (z. B. Execute Command, Read/Write File to Disk) werden deaktiviert und künftig in Cloud-Umgebungen nicht mehr verfügbar sein. Für On-Premise-Systeme, die nicht über das Internet erreichbar sind, werden diese Maßnahmen individuell mit den Kunden abgestimmt.

Erweiterte Sicherheitsüberwachung

• Auf allen neuen Systemen werden wie obengenannt zusätzliche Sicherheits-Agents installiert, die kontinuierlich Sicherheitsmetriken und Integritätszustände überwachen. Diese decken u. a. folgende Bereiche ab:
  Endpoint-Sicherheit & Malware-Erkennung
  Konfigurations-Assessment & Dateiintegritätsmonitoring
  Schwachstellenerkennung & Threat Intelligence
  Automatisierte Logdaten-Analyse

Diese Technologien erweitern bestehende Schutzmechanismen und ermöglichen eine noch engmaschigere Überwachung sicherheitsrelevanter Vorgänge in Echtzeit. Jede Instanz wird vor ihrem Neustart manuell geprüft, um die Umsetzung dieser Maßnahmen zu dokumentieren. Das entsprechende Prüfprotokoll wird anschließend dem Kunden bereitgestellt.

Der Maßnahmenkatalog wird laufend ergänzt und mit unserem Rechenzentrums-Partner abgestimmt. Änderungen und neue Sicherheitsinitiativen werden auf dieser Seite sowie in der direkten Kundenkommunikation transparent bekanntgegeben.

Wir danken Ihnen aufrichtig für Ihre Geduld, Ihre Unterstützung und Ihr Vertrauen in dieser herausfordernden Situation. Unser gesamtes Team arbeitet weiterhin mit absolutem Hochdruck daran, Ihre Systeme sicher, dokumentiert und transparent wieder in Betrieb zu nehmen.