Shutter z – shutterstock.com
Die Software-as-a-Service-Plattform Asana zählt zu den beliebtesten Projektmanagement-Tools in Unternehmen. Der Anbieter gab kürzlich bekannt, dass sein MCP-Server (Model Context Protocol) vorübergehend aufgrund eines Bugs offline genommen wurde. Der Server war allerdings bereits nach kurzer Zeit wieder online.
Laut Forschern des Sicherheitsanbieters Upguard könnte die am 4. Juni entdeckte Sicherheitslücke jedoch auch Daten anderer Nutzer der Arbeitsmanagement-Plattform offengelegt haben.
Der Fehler „hat möglicherweise bestimmte Informationen aus Ihrer Asana-Domain für andere Asana-MCP-Nutzer innerhalb der Projekte, Teams, Aufgaben und anderen Asana-Objekten mit Berechtigungen des MCP-Nutzers offengelegt“, zitiert Upguard Asana
Den Security-Forschern zufolge gibt es bisher aber keine Anzeichen dafür, dass Angreifer den Fehler ausgenutzt haben oder dass andere Benutzer tatsächlich auf die über den MCP-Fehler zugänglichen Informationen zugreifen konnten.
Asana selbst erklärte, dass die Sicherheitslücke nicht auf einen Hack oder böswillige Aktivitäten auf seinen Systemen zurückzuführen sei. CSO bat das Unternehmen um eine Stellungnahme, erhielt jedoch bislang keine Antwort.
„Der Vorfall ist ein weiterer Beweis dafür, dass sich MCP noch in einem frühen Entwicklungsstadium befindet“, erklärt Kellman Meghu, Principal Security Architect bei der kanadischen Beratungsfirma DeepCove Cybersecurity. „Dies ist ein häufiges Problem bei MCP-Servern. Deshalb nutzen wir es nicht.“
Der Experte rät CISOs, die MCP verwenden, den Datenzugriff einzuschränken, bis die Cybersicherheitskontrollen verschärft werden.
Was ist MCP?
MPC ist ein Protokoll, das vom KI-Anbieter Anthropic entwickelt und im November 2024 als Open Source veröffentlicht wurde. Das Unternehmen beschreibt es als „einen neuen Standard für die Verbindung von KI-Assistenten mit den Systemen, in denen Daten gespeichert sind, Darunter Content-Repositorys, Business-Tools und Entwicklungsumgebungen. Ziel ist es, Frontier-Modellen zu helfen, bessere und relevantere Antworten zu liefern.“
Laut Anbieter können Entwickler ihre Daten entweder über MCP-Server offenlegen oder KI-Anwendungen (MCP-Clients) erstellen. Die Idee dahinter ist, dass Developer nun nicht mehr separate Konnektoren für jede Datenquelle vorhalten müssen, sondern auf einem Standardprotokoll aufbauen können. Die Claude-KI-Plattform von Anthropic unterstützt die Verbindung von MCP-Servern mit der Claude-Desktop-App.
Nach Angaben von Upguard hat Asana seinen MCP-Server am 1. Mai veröffentlicht. Auf der Website des Unternehmens wird es noch als „experimentelles Beta-Tool“ bezeichnet. „Es können Fehler, Irrtümer oder unerwartete Ergebnisse auftreten“, heißt es weiter.
Asana gibt an, dass sein MPC-Server KI-Assistenten und anderen Anwendungen den Zugriff auf den Asana Work Graph ermöglicht. Dadurch können Kunden über kompatible KI-Anwendungen auf Asana-Daten zugreifen, Berichte und Zusammenfassungen auf Basis von Asana-Daten erstellen, Projektdaten analysieren und KI-gestützte Vorschläge erhalten. Dies erlaubt Mitarbeitern folgende Befehle an einen KI-Assistenten zu geben:
- „Finde alle meine unvollständigen Aufgaben, die diese Woche fällig sind“,
- „Erstelle eine neue Aufgabe im Marketing-Projekt, das mir zugewiesen ist“ oder
- „Zeige mir den Status des Q2-Planungsprojekts“.
Da KI-Plattformen wie Claude, ChatGPT, Microsoft Copilot und andere immer zahlreicher werden, suchen Entwickler nach Möglichkeiten wie MCP, um sie mit bestehenden Produktivitätsanwendungen für Unternehmen zu verbinden.
Allerdings gibt es Warnungen, dass diese KI-Agenten, von denen einige von KI-Plattformanbietern selbst stammen, Sicherheitsrisiken bergen. Meghu von DeepCove Cybersecurity weist darauf hin, dass einige KI-Broker-Agenten, etwa MCP, eigentlich langlebige Server-TCP-Verbindungen sind. Er bevorzugt eine Verbindungslösung, die das RAG-Modell (Retrieval Augmented Generation) mit einem API-Aufruf verwendet, der aus Sicherheitsgründen authentifiziert werden kann.
Neben anderen Vorteilen kann RAG so konfiguriert werden, dass es nur genehmigte Daten durchsucht, nicht aber Informationen, die für Schulungszwecke verwendet werden und möglicherweise sensible Daten enthalten.
„Hier kommen die Erfahrungen, die wir in Bezug auf die Segmentierung von Daten und den Umgang mit direkten APIs gesammelt haben, zum Tragen“, so Meghu. „Aber sie haben das verworfen und sich für diese langlebigen TCP-Verbindungen entschieden, die nicht wirklich überwacht werden können. Wenn es dann zu einem Datenleck kommt, ist es zu spät.“
Je nachdem, womit er verbunden ist, kann ein MCP-Server „ein riesiger, massiver Angriffsvektor“ sein, betont der Sicherheits-Experte. Wenn er beispielsweise zur Analyse von Protokolldaten mit einer SIEM-Plattform (Security Information and Event Monitoring) verbunden ist, könnte ein Angreifer auf diesen Server zugreifen, um Daten zu sammeln.
„Wo man den MCP-Server aufstellt, ist eine wichtige Frage“, die CSOs beantworten müssen, erklärte er.
„Ich denke, wie bei allen neuen Protokollen ist es noch zu früh, um es in Produktion zu nehmen“, fügte Meghu hinzu. „Ich glaube, es gibt bessere Möglichkeiten, das zu erreichen, die wir noch nicht gefunden haben.“ In diesem Zusammenhang wirft der Spezialist folgende Fragen ein: „Warum konnten wir nicht auf bekannten Protokollen wie JSON oder RestAPI aufbauen? Warum musste das ein spezieller Dienst sein? Haben sie nicht daran gedacht, die Zugriffskontrolle als Teil des Protokolls zu integrieren?“
Meghu geht davon aus, dass viele Protokolle dieser Art auftauchen werden, und hofft, dass einige davon von Grund auf mit Blick auf die Sicherheit entwickelt werden – „mit Audit-Kontrolle und Authentifizierung jedes einzelnen Aufrufs.“
Ratschläge für CISOs
Upguard empfiehlt CISOs, die große Sprachmodelle (LLM) in ihre IT-Systeme integrieren, Folgendes zu beachten:
- Umfang aggressiv einschränken: Stellen Sie sicher, dass Kontextserver wie MCP eine strikte Trennung der Mandanten und Zugriff mit minimalen Berechtigungen durchsetzen.
- alles protokollieren: Führen Sie detaillierte Protokolle aller Anfragen, insbesondere von LLM-generierten Abfragen, um forensische Untersuchungen zu unterstützen.
- manuelle Überwachung bei der Wiedereinführung sicherstellen: Automatische Wiederverbindungen oder Pipelines zum erneuten Training sollten bei Vorfällen pausiert werden.
- interne Fehler ernst nehmen: Selbst interne Softwarefehler können reale Folgen haben. (jm)