{"id":3652,"date":"2025-06-23T14:20:22","date_gmt":"2025-06-23T14:20:22","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=3652"},"modified":"2025-06-23T14:20:22","modified_gmt":"2025-06-23T14:20:22","slug":"mcp-bug-bei-asana-konnte-unternehmensdaten-offengelegt-haben","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=3652","title":{"rendered":"MCP-Bug bei Asana k\u00f6nnte Unternehmensdaten offengelegt haben"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
CISOs mit einem MCP-Server von Asana in ihrer Umgebung sollten ihre Protokolle und Metadaten auf Datenlecks \u00fcberpr\u00fcfen.\n

Shutter z \u2013 shutterstock.com<\/p>\n<\/div>\n

Die Software-as-a-Service-Plattform Asana z\u00e4hlt zu den beliebtesten Projektmanagement-Tools in Unternehmen. Der Anbieter gab k\u00fcrzlich bekannt, dass sein MCP-Server (Model Context Protocol) vor\u00fcbergehend aufgrund eines Bugs offline genommen wurde. Der Server war allerdings bereits nach kurzer Zeit wieder online<\/a>.<\/p>\n

Laut Forschern<\/a> des Sicherheitsanbieters Upguard k\u00f6nnte die am 4. Juni entdeckte Sicherheitsl\u00fccke jedoch auch Daten anderer Nutzer der Arbeitsmanagement-Plattform offengelegt haben.<\/p>\n

Der Fehler \u201ehat m\u00f6glicherweise bestimmte Informationen aus Ihrer Asana-Domain f\u00fcr andere Asana-MCP-Nutzer innerhalb der Projekte, Teams, Aufgaben und anderen Asana-Objekten mit Berechtigungen des MCP-Nutzers offengelegt\u201c, zitiert Upguard Asana<\/p>\n

Den Security-Forschern zufolge gibt es bisher aber keine Anzeichen daf\u00fcr, dass Angreifer den Fehler ausgenutzt haben oder dass andere Benutzer tats\u00e4chlich auf die \u00fcber den MCP-Fehler zug\u00e4nglichen Informationen zugreifen konnten.<\/p>\n

Asana selbst erkl\u00e4rte, dass die Sicherheitsl\u00fccke nicht auf einen Hack oder b\u00f6swillige Aktivit\u00e4ten auf seinen Systemen zur\u00fcckzuf\u00fchren sei. CSO bat das Unternehmen um eine Stellungnahme, erhielt jedoch bislang keine Antwort.<\/p>\n

\u201eDer Vorfall ist ein weiterer Beweis daf\u00fcr, dass sich MCP noch in einem fr\u00fchen Entwicklungsstadium befindet\u201c, erkl\u00e4rt Kellman Meghu, Principal Security Architect bei der kanadischen Beratungsfirma DeepCove Cybersecurity. \u201eDies ist ein h\u00e4ufiges Problem bei MCP-Servern. Deshalb nutzen wir es nicht.\u201c<\/p>\n

Der Experte r\u00e4t CISOs, die MCP verwenden, den Datenzugriff einzuschr\u00e4nken, bis die Cybersicherheitskontrollen versch\u00e4rft werden.<\/p>\n

Was ist MCP?<\/strong><\/h2>\n

MPC<\/a> ist ein Protokoll, das vom KI-Anbieter Anthropic<\/a> entwickelt und im November 2024 als Open Source ver\u00f6ffentlicht wurde. Das Unternehmen beschreibt es als \u201eeinen neuen Standard f\u00fcr die Verbindung von KI-Assistenten mit den Systemen, in denen Daten gespeichert sind, Darunter Content-Repositorys, Business-Tools und Entwicklungsumgebungen. Ziel ist es, Frontier-Modellen zu helfen, bessere und relevantere Antworten zu liefern.\u201c<\/p>\n

Laut Anbieter k\u00f6nnen Entwickler ihre Daten entweder \u00fcber MCP-Server offenlegen oder KI-Anwendungen (MCP-Clients) erstellen. Die Idee dahinter ist, dass Developer nun nicht mehr separate Konnektoren f\u00fcr jede Datenquelle vorhalten m\u00fcssen, sondern auf einem Standardprotokoll aufbauen k\u00f6nnen. Die Claude-KI-Plattform von Anthropic unterst\u00fctzt die Verbindung von MCP-Servern mit der Claude-Desktop-App.<\/p>\n

Nach Angaben von Upguard hat Asana seinen MCP-Server am 1. Mai ver\u00f6ffentlicht. Auf der Website des Unternehmens wird es noch als \u201eexperimentelles Beta-Tool<\/a>\u201c bezeichnet. \u201eEs k\u00f6nnen Fehler, Irrt\u00fcmer oder unerwartete Ergebnisse auftreten\u201c, hei\u00dft es weiter.<\/p>\n

Asana gibt an, dass sein MPC-Server KI-Assistenten und anderen Anwendungen den Zugriff auf den Asana Work Graph erm\u00f6glicht. Dadurch k\u00f6nnen Kunden \u00fcber kompatible KI-Anwendungen auf Asana-Daten zugreifen, Berichte und Zusammenfassungen auf Basis von Asana-Daten erstellen, Projektdaten analysieren und KI-gest\u00fctzte Vorschl\u00e4ge erhalten. Dies erlaubt Mitarbeitern folgende Befehle an einen KI-Assistenten zu geben:<\/p>\n

\u201eFinde alle meine unvollst\u00e4ndigen Aufgaben, die diese Woche f\u00e4llig sind\u201c,<\/p>\n

\u201eErstelle eine neue Aufgabe im Marketing-Projekt, das mir zugewiesen ist\u201c oder<\/p>\n

\u201eZeige mir den Status des Q2-Planungsprojekts\u201c.<\/p>\n

Da KI-Plattformen wie Claude, ChatGPT, Microsoft Copilot und andere immer zahlreicher werden, suchen Entwickler nach M\u00f6glichkeiten wie MCP, um sie mit bestehenden Produktivit\u00e4tsanwendungen f\u00fcr Unternehmen zu verbinden.<\/p>\n

Allerdings gibt es Warnungen<\/a>, dass diese KI-Agenten, von denen einige von KI-Plattformanbietern selbst stammen, Sicherheitsrisiken bergen. Meghu von DeepCove Cybersecurity weist darauf hin, dass einige KI-Broker-Agenten, etwa MCP, eigentlich langlebige Server-TCP-Verbindungen sind. Er bevorzugt eine Verbindungsl\u00f6sung, die das RAG-Modell<\/a> (Retrieval Augmented Generation) mit einem API-Aufruf verwendet, der aus Sicherheitsgr\u00fcnden authentifiziert werden kann.<\/p>\n

Neben anderen Vorteilen kann RAG so konfiguriert werden, dass es nur genehmigte Daten durchsucht, nicht aber Informationen, die f\u00fcr Schulungszwecke verwendet werden und m\u00f6glicherweise sensible Daten enthalten.<\/p>\n

\u201eHier kommen die Erfahrungen, die wir in Bezug auf die Segmentierung von Daten und den Umgang mit direkten APIs gesammelt haben, zum Tragen\u201c, so Meghu. \u201eAber sie haben das verworfen und sich f\u00fcr diese langlebigen TCP-Verbindungen entschieden, die nicht wirklich \u00fcberwacht werden k\u00f6nnen. Wenn es dann zu einem Datenleck kommt, ist es zu sp\u00e4t.\u201c<\/p>\n

Je nachdem, womit er verbunden ist, kann ein MCP-Server \u201eein riesiger, massiver Angriffsvektor\u201c sein, betont der Sicherheits-Experte. Wenn er beispielsweise zur Analyse von Protokolldaten mit einer SIEM<\/a>-Plattform (Security Information and Event Monitoring) verbunden ist, k\u00f6nnte ein Angreifer auf diesen Server zugreifen, um Daten zu sammeln.<\/p>\n

\u201eWo man den MCP-Server aufstellt, ist eine wichtige Frage\u201c, die CSOs beantworten m\u00fcssen, erkl\u00e4rte er.<\/p>\n

\u201eIch denke, wie bei allen neuen Protokollen ist es noch zu fr\u00fch, um es in Produktion zu nehmen\u201c, f\u00fcgte Meghu hinzu. \u201eIch glaube, es gibt bessere M\u00f6glichkeiten, das zu erreichen, die wir noch nicht gefunden haben.\u201c In diesem Zusammenhang wirft der Spezialist folgende Fragen ein: \u201eWarum konnten wir nicht auf bekannten Protokollen wie JSON oder RestAPI aufbauen? Warum musste das ein spezieller Dienst sein? Haben sie nicht daran gedacht, die Zugriffskontrolle als Teil des Protokolls zu integrieren?\u201c<\/p>\n

Meghu geht davon aus, dass viele Protokolle dieser Art auftauchen werden, und hofft, dass einige davon von Grund auf mit Blick auf die Sicherheit entwickelt werden \u2013 \u201emit Audit-Kontrolle und Authentifizierung jedes einzelnen Aufrufs.\u201c<\/p>\n

Ratschl\u00e4ge f\u00fcr CISOs<\/strong><\/h2>\n

Upguard empfiehlt CISOs, die gro\u00dfe Sprachmodelle (LLM) in ihre IT-Systeme integrieren, Folgendes zu beachten:<\/p>\n

Umfang aggressiv einschr\u00e4nken<\/strong>: Stellen Sie sicher, dass Kontextserver wie MCP eine strikte Trennung der Mandanten und Zugriff mit minimalen Berechtigungen durchsetzen.<\/p>\n

alles protokollieren<\/strong>: F\u00fchren Sie detaillierte Protokolle aller Anfragen, insbesondere von LLM-generierten Abfragen, um forensische Untersuchungen zu unterst\u00fctzen.<\/p>\n

manuelle \u00dcberwachung bei der Wiedereinf\u00fchrung sicherstellen<\/strong>: Automatische Wiederverbindungen oder Pipelines zum erneuten Training sollten bei Vorf\u00e4llen pausiert werden.<\/p>\n

interne Fehler ernst nehmen<\/strong>: Selbst interne Softwarefehler k\u00f6nnen reale Folgen haben. (jm)<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

CISOs mit einem MCP-Server von Asana in ihrer Umgebung sollten ihre Protokolle und Metadaten auf Datenlecks \u00fcberpr\u00fcfen. Shutter z \u2013 shutterstock.com Die Software-as-a-Service-Plattform Asana z\u00e4hlt zu den beliebtesten Projektmanagement-Tools in Unternehmen. Der Anbieter gab k\u00fcrzlich bekannt, dass sein MCP-Server (Model Context Protocol) vor\u00fcbergehend aufgrund eines Bugs offline genommen wurde. Der Server war allerdings bereits nach […]<\/p>\n","protected":false},"author":0,"featured_media":3653,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-3652","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/3652"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3652"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/3652\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/3653"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3652"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3652"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3652"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}