KTR Systems: Klick mit Konsequenzen

Am Anfang kommen Anrufe. Manches Mal scheint sich am anderen Ende der Leitung der ehemalige Geschäftsführer zu melden. Seine Stimme wird imitiert, wie sich zu spät herausstellt. „Wir haben das nicht mitbekommen, leider hat niemand darüber gesprochen“, erzählt IT-Leiter Olaf Korbanek. Auch der massive Anstieg von Phishing-Mails wird im Haus zunächst nicht bemerkt. Somit bleibt verborgen, dass KTR Systems damals Ziel einer raffinierten Kampagne ist. Mit „Social Engineering“, also der sozialen Manipulation, bereiten die Kriminellen den Angriff vor. Sie versuchen an Interna wie Verantwortlichkeiten und Passwörter zu kommen. Sie haben Erfolg: Sie bringen eine Zuständigkeit in Erfahrung und führen mit dieser Information per Phishing-Mail und gefälschter Office-Anmeldeseite eine Person hinters Licht.

Vier Wochen lang lesen sie den E-Mail-Verkehr mit und starten mit den gewonnenen Informationen ein weiteres Täuschungsmanöver. Weil sie wissen, dass Zahlungen einer Tochtergesellschaft an KTR anstehen, rufen sie in manipulierten Mails zur Änderung der Kontoverbindungen auf. „Zweimal wurde Folge geleistet“, berichtet Korbanek. Auf dem Geld der Hausbank im Münsterland kommen die Geldströme also nicht an. Sie werden auf ein Konto in London umgeleitet und danach – das haben laut Korbanek die polizeilichen Ermittlungen ergeben – zu ca. 90 Prozent im russischen Sprachraum verteilt. Ein dritter Täuschungsversuch schlägt aus Sicht der Täter fehl, weil eine Mitarbeiterin des Tochterunternehmens in den USA skeptisch wird und telefonisch die Änderung der Kontonummer hinterfragt. Der Angriff ist somit entdeckt.

Das Unternehmen erstattet sofort Anzeige. Korbanek wird erst von einem Kommissar vernommen, um dann gemeinsam mit einem Expertenteam der Polizei die komplette IT-Infrastruktur zu durchkämmen, bis der Link gefunden ist, „der ins Unheil geführt hat“, wie der IT-Leiter erzählt. Seine Empfehlung für den Angriffsfall: Systeme vom Netz nehmen, aber nicht formatieren, damit die Polizei alle Spuren sichern kann.

Die Ermittlungen bringen Ergebnisse, die relevant sind für die Verbesserung des künftigen Sicherheitskonzepts. So attestieren die Beamten dem IT-Leiter, dass keine technischen Versäumnisse gefunden wurden. „Unser Problem war menschliches Versagen, das Vier-Augen-Prinzip fu?r die A?nderung der wichtigsten Stammdaten war nicht konsequent umgesetzt worden“, nennt Korbanek den Knackpunkt. Noch bevor die Polizei vom Hof fährt, ist der Vier-Augen-Prozess organisatorisch festgelegt und technisch kurz darauf in der Betriebssoftware verankert.

Welche Konsequenzen zieht das Unternehmen?

Die Phishing-Falle hat auch einen positiven Aspekt: Sie hat gezeigt, wo KTR Systems die Hebel in seinem IT-Sicherheitskonzept ansetzen muss. „Technik ist nicht alles, die Sensibilisierung der Organisation ist mindestens so wichtig“, zieht Olaf Korbanek das Fazit aus der Attacke. Das Unternehmen bietet jetzt Awareness-Schulungen für die Mitarbeitenden an, hat eine interne Website zum Thema aufgelegt, schärft mit Quiz, Videos und dem Flyer „Die zehn Gebote zur IT-Sicherheit“ das Gefahrenbewusstsein.

Weil sie die Awareness-Kultur sehr gut unterstützen kann, hat KTR Systems erneut in Technik investiert – unter anderem in eine verhaltensbasierte KI-Lösung zur E-Mail-Analyse, die laut Korbanek bisher in zwei bis drei Prozent der Fälle Auffälligkeiten angezeigt hat – nicht mitgerechnet die ein bis zwei gefakten Phishing-Mails, die das Unternehmen selbst jeden Monat als Awareness-Test der Belegschaft zukommen lässt. IT-Sicherheit ist ein Dauerthema, sagt Korbanek. Insofern hat sich die böse Attacke schließlich in ein „gutes“ Argument für weitere Investitionen gewandelt, um die Abwehrkräfte des Unternehmens stetig zu stärken.