"Überweisen Sie eine Million Euro in Bitcoins"

Der unautorisierte Remote-Zugriff

Der Remote-Zugriff – ein Klassiker: In diesem Fall hatten Cyberkriminelle zuvor den Dienstleister „gehackt“ und in seinem Netzwerk die Zugangsdaten für den Fernzugriff gefunden. „Sie waren dort scheinbar unverschlüsselt abgelegt“, so Wiesner. Er war mit seinem Team grade noch rechtzeitig eingetroffen, denn die Cyberkriminellen hatten sich bereits Zugang verschafft und diverse Programme ausgeführt, um das interne Netzwerk des Krankenhauses auszuspähen. „In der Regel werden diese Daten dann dazu genutzt, das Unternehmen zu erpressen“, so Wiesner weiter.

Der PC wurde ausgeschaltet und die Daten manuell ausgewertet. „Der Angreifer war noch in der ersten Phase des Auskundschaftens, es war glücklicherweise noch kein Schaden entstanden.“ Durch das Auswerten der Protokolldaten stellte sich heraus, dass der Angriff nur durch Zufall in einer frühen Phase erkannt worden war.

„Wenn ein Unternehmen nicht direkt, sondern über einen Lieferanten oder Dienstleister angegriffen wird sprechen wir von einem Supply Chain Angriff“, erklärt der Experte. Um ähnliche Vorfälle für die Zukunft auszuschießen, wurde ein Tool installiert, das die Protokolldaten der Systeme automatisch überwacht und bei unautorisierten Zugriffen sofort alarmiert. Da eine weitere Schwachstelle bei der Anmeldung des Dienstleisters lag – er hatte nur Benutzername und Kennwort – wurde eine Multifaktor Authentifizierung eingeführt: Zusätzlich zu Benutzername und Kennwort muss nun noch ein Code eingeben werden, der über SMS oder eine eigene App geschickt wird.

Wiesner: „Leider unterschätzen viele Unternehmen die Gefahren, die das digitale Zeitalter mit sich bringt. Machen es Sicherheitslücken leicht, sich ins System zu hacken, oder sind die Mitarbeiter nicht für dieses Thema sensibilisiert, gelangen vertrauliche Daten schnell in die falschen Hände.“ Viele Unternehmen scheuten sich nach wie vor davor, Sicherheitstools einzuführen, da diese gepflegt werden müssen – was wiederum Zeit, Geld und Know-how kostet. „Doch“, so Wiesner, „wird ein Unternehmen Opfer eines Angriffs, folgen ernstzunehmende Probleme, die in der Regel mit deutlich höheren Kosten, mehr Zeitaufwand und Haftungsrisiken verbunden sind.“

Angriff über einen Exchange-Server

Eine weitere – sehr verbreitete Angriffsart – besteht über ungeschützte, öffentlich erreichbare Server. Wiesner: „Viele Unternehmen betreiben beispielsweise Mailserver von Microsoft und stellen damit ihren Mitarbeitern ganz unkompliziert die Outlookoberfläche zur Verfügung. Doch vergangenes Jahr ist in dem Microsoftprodukt eine Sicherheitslücke aufgetaucht.“ Man konnte von außen mit den allerhöchsten Berechtigungen als Administrator zugreifen und das System übernehmen, erklärt der Experte weiter und schildert einen Fall aus einem Unternehmen in der Region. Der Angreifer nutzte den Exchange-Server als Sprungbrett und bekam Zugriff auf den Email-Verkehr im gesamten Unternehmen. So konnte er sich in die Kommunikation einschalten und schrieb im Namen eines internen Mitarbeiters Emails, dass sich die Kontodaten des Unternehmens geändert hätten und Zahlungen ab sofort auf ein anderes Konto erfolgen müssten. „Das hat geklappt“, so Wiesner, „der Angreifer konnte im Nachgang Beträge in mittlerer fünfstelliger Höhe abholen.“ Das Geld war unwiederbringlich verloren, die Angreifer werden, wie schon bei dem ersten Beispiel, nicht gefasst. Die Bankverbindung lag im Ausland. Wiesner: „Sowie das Geld auf dem Konto eingegangenen ist, holen so genannte Money Mules (Geldtransportesel) die Beträge an Geldautomaten ab. Da ist nichts zurückzuverfolgen.“  

Der Fall liegt inzwischen ein Jahr zurück. „Damals haben die Angreifer zwei Tage nach Bekanntwerden der Lücke losgelegt. Heutzutage geschieht so etwas innerhalb von Minuten“, warnt Wiesner.

Das Unternehmen hatte bis zu diesem Vorfall keine Schutzmaßnahmen installiert, nach dem Angriff wurde dem Thema Sicherheit mehr Aufmerksamkeit geschenkt: Nach einer Analyse wurde ein Maßnahmenplan entwickelt: Eine Protokollüberwachung wurde eingeführt, der Zugriff auf die Outlookplattform wurde komplett geschlossen. Wiesner: „Jetzt müssen sich die Mitarbeiter via VPN anmelden, um Emails abzurufen.“ Als weitere wichtige Erstmaßnahme wurden sogenannte Honeypots installiert, die vorgeben, interessant zu sein und Angreifer anlocken sollen, um sie dann zu melden.

Phishing-Angriff

Großen Schaden hat vor zwei Jahren auch eine Phishing-Mail in einem weiteren Unternehmen aus der Region angerichtet. Der Angreifer hatte über eine betrügerische Email mit schädlichem Anhang unerlaubten Zugriff auf die Unternehmensdaten bekommen. Bemerkt wurde die Attacke erst, als Mitarbeiter keine Daten mehr laden konnten. Plötzlich kam die Meldung: Alle Daten seien verschlüsselt, „überweisen Sie eine Million Euro in Bitcoins“, nur so könnten die Daten zurückgekauft werden.

Das Unternehmen ging nicht auf die Erpressung ein und verweigerte die Zahlung. Wiesner: „Die Firma hatte sich auf ihre Datensicherung, ihr Backup, verlassen. Doch in diesem Fall hatten die Angreifer auch die Datensicherung übernommen, also den Server mit den gesicherten Daten gelöscht.“ Das Opfer konnte nichts wiederherstellen. „Das Unternehmen weigerte sich weiter, zu zahlen“, erzählt Wiesner. Doch das bedeutete im Umkehrschluss, dass die IT knapp einen Monat nicht funktionierte. „Bei unserer Analyse kam heraus, dass der Angreifer eine Phishing-Mail an einen Mitarbeiter geschickt hatte. Der Schadcode im Anhang wurde von dem installierten Virenscanner nicht erkannt und konnte eine Verbindung zwischen Angreifer und Unternehmen aufbauen. So gelangte der Angreifer durch eine Backdoor, eine Hintertür, ins Firmennetz. Zuerst hat er den Backup-Server übernommen, dann die Dateianlage verschlüsselt.“

Auch hier folgten Analyse und Bestandsaufnahme, die Datensicherung wurde verbessert, der Server entsprechend geschützt. Ein neues Tool erkennt nun nicht nur Schadprogramme, sondern auch die Angriffe. Die Mitarbeiter werden regelmäßig geschult und zusätzlich mit simulierten Phishing-Mails geködert. Wiesner: „Klicken die Mitarbeiter die Anhänge an, werden sie auf eine entsprechende Webseite geleitet, die über das Thema aufklärt.“

Durch den Angriff seien bei dem Unternehmen extreme Schäden und Kosten angefallen. „Das war ein klassischer Phishing-Angriff mit einfacher Erpressung. Heutzutage laufen immer doppelte Erpressungen“, erläutert Wiesner. Dabei würden die Daten verschlüsselt, aber vorher auf einen Server im Internet heruntergeladen. „Die Daten gibt es dann nur zurück, wenn gezahlt wird, ansonsten werden die Daten im Internet veröffentlicht oder an den Meistbietenden verkauft. Es wird immer schwieriger, sich gegen solche Angriffe zu schützen.“

Zur Person:

Michael Wiesner berät seit mehr als 25 Jahren Unternehmen im Bereich Informations- und Cybersicherheit und verantwortet diese zum Beispiel als externer Informationssicherheitsbeauftragter (CISO). Als White-Hat-Hacker prüft er die Sicherheit seiner Kunden aus der Sicht von Cyberkriminellen und unterstützt bei der bedarfsgerechten Absicherung.