Cyber Incident – Wie kleine Unachtsamkeiten großen Schaden verursachen.

Gastbeitrag

In Zeiten von Digitalisierung, Industrie 4.0, IoT, künstlicher Intelligenz, vernetztem Leben, Cloud und autonomen Fahren wächst die Anzahl an Vorfällen im Bereich der Cyber Kriminalität. Fraud, Ransomware, Spionage und Crime as a Service sind nur einige Beispiele, die die heutige Vielfalt der dunklen Seite des Fortschrittes wiederspiegeln.

Eine der großen Herausforderungen, der sich Unternehmen bzw. die Wirtschaft heutzutage stellen müssen, besteht darin, sich vor all diesen Gefahren zu schützen. Die Problematik dabei ist, dass viele Angriffe gegen Unternehmen komplett automatisiert ablaufen. Während kriminelle Netzwerke kaum Ressourcen benötigen um Ihren Krieg zu führen, müssen Unternehmen massiv in eine gute Verteidigung investieren. Ein klassischer asymmetrischer Krieg, bei dem sowohl klassische Hit-and-Run-Taktiken als auch langfristig angelegte, gezielte Angriffsversuche zum Einsatz kommen . Kriminelle spähen aus, sammeln Informationen und schlagen sofort zu, sobald sich eine Lücke in der Verteidigung eines Unternehmens auftut. Diese Lücken sind heutzutage so vielfältig wie nie zu vor und reichen von hoch technischen Angriffsvektoren und Zero-Day-Exploits bis zum Social Engineering, bei dem der Mensch als Schwachstelle das Ziel ist.

Ein großes Problem, welches allerdings recht einfach zu beheben ist, ist das Patchmanagement. In den meisten Unternehmen gibt es viele Systeme, Softwareprodukte, Applikationen und die unterschiedlichste Hardware. Sollte diese nicht ständig mit den neusten Sicherheitsupdates versorgt werden, ist es ein Leichtes für den Angreifer, die Systeme zu infiltrieren und komplett zu übernehmen. Dabei braucht es lediglich eine einzige Lücke zu geben, denn die Sicherheit innerhalb der Systemlandschaft ist nur so stark wie ihr schwächstes Glied. Schadsoftware wie Emotet oder Trickbot sind spezialisiert darauf, diese Lücken auszunutzen, was sie auch im vergangen und in diesem Jahr eindrucksvoll unter Beweis gestellt haben. Innerhalb kürzester Zeit konnte dieses Duo komplette Systemlandschaften infizieren und unter ihre Kontrolle bringen. Eindrucksvolle Beispiele aus der jüngsten Vergangenheit sind etwa der Heise Verlag und die Stadtverwaltung Neustadt am Rübenberge bei Hannover. Das Einzige, was effektiv hilft um die infizierten Systeme nachhaltig zu bereinigen, ist eine vollständige Neuinstallation der betroffenen Systeme.

Neben den Lücken im System gibt es auch die menschliche Komponente. Böswillige Absicht oder einfach nur Unachtsamkeit kann schweren Wirtschaftlichen Schaden nach sich ziehen. Deswegen gilt es, die Mitarbeiter auch entsprechend zu schulen. Gerade im Bereich des Bankdatenbetrugs sind Mitarbeiter oder unzureichende Prozesse ein Hauptgrund für dessen Erfolg.

Größte Einfallstore in Unternehmen

Wie Unternehmen sich erfolgreich gegen eine sichere Infrastruktur wehren.

Der Vorfall ist da, die ganze Systemlandschaft lahmgelegt, Unternehmensdaten sind abgeflossen, sensible personenbezogene Daten wurden vom Patienteninformationssystem gestohlen oder die komplette Produktion steht still. So etwas passiert häufiger, als innerhalb der Medien suggeriert wird. Das BKA meldete 2017 85.960 (Lagebild Cybercrime) Fälle im Bereich Cybercrime, das sind durchschnittlich 235 Fälle pro Tag! Was fehlt, ist die Dunkelziffer, sowohl derer, die gar nicht Wissen dass sie Opfer von Cyberkriminalität sind, als auch der nicht gemeldeten Fälle. Und diese Zahlen betreffen nur Cybercrime innerhalb Deutschlands. Die Unternehmensführung und die IT äußern sich im Erstgespräch oft derart, dass sie sich gar nicht vorstellen können, wie so etwas und ausgerechnet bei ihnen passieren kann. Schon nach der erste Beweismittelsicherung ergibt sich häufig folgendes Bild: Innerhalb der Systemlandschaft sind Systeme im Einsatz, für die es schon fast 10 Jahre keine Sicherheitsupdates mehr gibt, Windows Server 2000 oder Windows XP sind trauriger Weise keine Seltenheit. Die eingesetzte Firewall lässt beinahe jede Anfrage von innen zu und ähnelt einem offenen Scheunentor für jeden Angreifer, falls überhaupt mehr als eine FritzBox im Einsatz ist. Simple Sicherheitsvorkehrungen wie eine aktuelle Antivirensoftware auf Serversystemen oder eine Zwei-Faktor-Authentifizierung für Zugriffe von außerhalb auf die internen Systeme fehlen häufiger, als man es glauben mag.

Eine weitere große Schwachstelle ist, dass Unternehmen Ihren Mitarbeitern erlauben, den sogenannten OWA („Outlook Web Access“) Dienst zu nutzen. Dieser erlaubt es, von jedem Gerät mittels Browser auf die Emaildaten zuzugreifen. Nutzt man keine Zwei-Faktor-Authentifizierung können Angreifen oder Kriminelle Netzwerke gezielt mit guten Phishing-Angriffen (Spear-Phishing) den Nutzer dazu bringen, erneut Ihre Anmeldedaten in einem präparierten Fenster einzugeben. Danach hat das kriminelle Netzwerk oder der Hacker komplett Zugriff auf das Emailpostfach. Standardmäßig werden hier Emailweiterleitungen eingerichtet, damit alle Nachrichten unbemerkt an den Täter weiter geleitet werden. Werden irgendwann Rechnungen versendet, schaltet sich der Täter in die Emailkommunikation ein und versendet mittels Spoofing oder einer Man-in-the-Middle Attacke Nachrichten. Häufig werden hier dann Bankdatenänderungen auf ungewöhnliche Konten kommuniziert. Beim Spoofing ist meist nur eine Seite betroffen, daher verschleiert der Angreifer seine Identität und gibt sich als Geschäftspartner oder als Vorgesetzter (President oder CEO Fraud) aus. Bei einem Man-in-the-Middle-Angriff hingegen sind meist beide Seiten kompromittiert und die gesamte Kommunikation wird vom Angreifer mitgelesen. Im richtigen Moment werden dann Emails vom gehackten Postfach unter Nutzung des betroffenen Accounts versendet, um Geldtransaktionen auf eigene Bankkonten umzuleiten. Solche Angriffe sind oft erfolgreich, weil es an etablierten Prozessen fehlt, in denen die Kontoänderungen bestätigt werden müssen. Nicht selten wird es als ausreichend empfunden, wenn eine Bestätigung der Kontoänderung mittels E-Mail verifiziert wird. Innerhalb der letzten Monate konnten wir beobachten, dass immer häufiger beide Kommunikationsseiten Opfer dieser Angriffe werden. Dies betrifft also sowohl Rechnungsempfänger als auch Rechnungssender.

Organisational Resilience

Was kann man verbessern?

Viele Unternehmen unterschätzen die Gefahren durch Cyberkriminalität immens. Heutzutage sind die wichtigsten Unternehmenswerte in Form von digitalen Daten vorhanden. Patente, Kundendaten, Forschungsdaten, Materialzusammensetzungen und Preisgestaltung sind nur ein kleiner Teil dieser sensiblen Daten. Die Herausforderung liegt darin, diese auch entsprechend ihres Wertes zu schützen. In den Unternehmen herrscht oft ein trügerisches Gefühl von Sicherheit. Beispielsweise denken viele Unternehmen, dass der Einsatz einer Firewall die Sicherheit im Unternehmen erhöht und vor unerlaubten Zugriffen schützt. Grundsätzlich ist dies auch richtig, jedoch bedarf es einer individuellen Konfiguration, bevor diese Sicherheit gewährleistet ist. Eine Firewall ist metaphorisch gesprochen ein Türrahmen, die Regeln innerhalb der Firewall entscheiden jedoch erst, ob es eine Tür gibt, ob diese ein Schloss besitzt, und, ob zusätzlich noch ein Pin-Code erforderlich ist. Und all zu oft ist es eben doch nur die Tür ohne Schloss geworden. Dies ist nur ein Beispiel, wie Unternehmen mit ihrer Sicherheit umgehen. Grundlegende Elemente werden zwar umgesetzt, jedoch nur lückenhaft. Gleiches gilt übrigens für die Systeminfrastruktur, ein ungepatchtes System reicht, um das gesamte Netzwerk und alle Daten für einen Angreifer zugänglich zu machen.

Schaut man sich im Bereich der Schadsoftware aktuelle Statistiken an, sieht man schnall, dass ein Großteil der Malware sich innerhalb der letzten 12 Monate auf Emotet & Trickbot sowie auf Ransomware wie Ryuk verteilt. Die Besten Schutzmaßnahmen sind bei Emotet und Trickbot eine systematisch eingerichtete Firewall sowie Systeme und hochwertige Antiviruslösungen, die alle auf dem aktuellen Stand sind. Bei Ransomware sollte vor allem eine sinnvolle Netzwerktrennung und ein separates Backup der relevanten Daten stattfinden. Eine Schulung der Mitarbeiter, die speziell auf diese Gefahren hinzielen, ist mittlerweile unerlässlich.

Aktuelle Malware Bedrohungslage aus Sicht von Warth & Klein Grant Thornton AG

Weiterführende Informationen:
https://www.wkgt.com/de/

Unser Autoren

Chris Lichtenthäler – Manager Cyber Security
Warth & Klein Grant Thornton AG

Hendrik Oppenberg von Warth & Klein Grant Thornton

Aufmacherbild / Lizenz / Quelle
Bild von Pete Linforth auf Pixabay