Tatort «Cyber Crime»

Dies zeigen die Erkenntnisse aus zahlreichen realen Sicherheitsvorfällen bei Schweizer Unternehmen.

Angesichts der steigenden Zahl von Cyberangriffen, die immer ausgeklügelter werden, müssen Unternehmen stetig ihre Sicherheitsmassnahmen anpassen und verbessern. Dies zeigen auch zahlreiche Sicherheitsvorfälle bei Schweizer Unternehmen in diesem Jahr. So wurde beispielswiese ein Schweizer Industrieunter­nehmen im Frühjahr Opfer einer gezielten Cyberattacke mit der Ransomware «Nephilim». Dabei wurden nicht nur vertrauliche Daten entwendet und verschlüsselt, sondern gleich das gesamte Netzwerk. Zwar konnten die Daten dank einer sehr guten Backup-Strategie sowie der schnellen und professionellen Reaktion der internen IT-Abteilung rasch wiederhergestellt werden. Für die weitere Analyse und Wiederherstellung des ganzen Betriebs brauchte es jedoch erfahrene Experten, weshalb das Computer Security Incident Response Team (CSIRT) der InfoGuard beigezogen wurde.

Bei der Analyse dieser Cyberangriffe können die ersten Anzeichen oftmals auf einen (Spear-)Phishing-Angriff mit einer Emotet-Infektion zurückgeführt werden, der schon mehrere Jahre her war. Aber leider ist diese Angriffsform auch heute noch sehr erfolgreich.

Eingesetzt wird sie etwa bei der Vortäuschung von Gewinnspielen, in manipulierten Bewerbungsunterlagen mit Makro-Funktionen oder in gezielten Mails, bei denen eine bestehende Mail-Kommunikation aufgezeichnet und da­rauf reagiert wird. Erst kürzlich konnte wieder eine Emotet-Angriffswelle beobachtet werden. Dabei hat der neue Threat-Aktor TA542 in den USA und in Grossbritannien E-Mails verschickt, die im Anhang manipulierte Word-Dokumente oder Links zu entsprechenden Dokumenten enthielten.

Durch einen solchen Phishing-Angriff können professionelle Hackergruppierungen eine Backdoor installieren, wodurch sie einen permanenten Zugang zum Unternehmensnetzwerk erhalten. Oftmals wird bei dieser Methode auch weitere Schadsoftware wie «Trickbot» nachgeladen. Trickbot entwendet in erster Linie Login-Daten privilegierter Accounts von Domain-Administratoren. Dadurch erhalten die Angreifer quasi einen Passepartout-Schlüssel für das Zielobjekt und können jederzeit mit ihrem Command-&-Control-Server (C2) kommunizieren. Oftmals bleiben diese Aktionen vom betroffenen Unternehmen unentdeckt, da die Detektionsmassnahmen fehlen. Für die C2-Verbindungen wird in den meisten Fällen das Angriffs-Framework «Cobalt Strike» eingesetzt.

Ist der Angreifer einmal im Netz, versucht er, weitere Informationen über das Zielnetzwerk zu sammeln. Um sich lateral durch das Netz zu bewegen und gezielt «Bridgeheads» aufzubauen, werden nicht selten bekannte Tools wie «PsExec» und «wmi» eingesetzt. Bridgeheads nutzen Cyberkriminelle, um von dort aus den weiteren Angriff durchzuführen. In diesem Jahr haben wir einige Fälle bearbeitet, bei denen der Angreifer in dieser Phase ein noch viel lohnenderes Ziel entdeckte als das ursprünglich an­visierte. Dabei wurden ursprünglich KMU infiltriert, die aber nur als Sprungbrett zu einem grösseren Unternehmen missbraucht wurden.

Der eigentliche Angriff, sprich die Entwendung von sensitiven Unternehmensdaten und die Verschlüsselung des Netzwerks, geschieht jeweils sehr schnell. Nur wenige Minuten nach der ersten Kontaktaufnahme mit dem C2-Server werden die ersten Daten entwendet. In den darauffolgenden Tagen folgen weitere Files. Damit der Vorgang möglichst unerkannt bleibt, handelt es sich jeweils nur um relativ kleine Datenvolumen. Hat der Angreifer die gewünschten Informationen entwendet, startet der zweite Teil des Angriffs – die Verschlüsselung von Systemen im Unternehmensnetzwerk, vorrangig Server-Systeme.

Was danach folgt, kennt man aus entsprechenden Medienberichten: Erpressung in Millionenhöhe, die in Bitcoins zu bezahlen ist. Bei Nichtbezahlung drohen die Erpresser mit der Veröffentlichung der entwendeten Daten. Diese Forderung ist durchaus ernst zu nehmen, denn oft wird ein Teil dieser Daten kurzzeitig im Darknet publiziert, was den Druck auf das betroffene Unternehmen zusätzlich erhöht.

Unternehmen sind gut beraten, sich konsequent mit aktuellen und neuen Cyberrisiken auseinanderzusetzen und der Informationssicherheit das nötige Gewicht beizumessen. Dabei darf man sich nicht nur auf die eigentliche Abwehr sprich IT-Sicherheitsmassnahmen fokussieren. Angreifer werden früher oder später einen Weg finden, diese zu umgehen. Und so können Sicherheitsvorfälle jederzeit eintreten. Bei der Bewältigung einer solchen Situation braucht das betroffene Unternehmen den sofortigen Zugriff auf Spezialisten. Oft fehlt es intern aber an Know-how und Ressourcen, um so eine Situation entsprechend managen zu können. Denn nebst technischen Hürden gilt es, auch die Kunden, Geschäftspartner und nicht zuletzt die Mitarbeitenden sowie eventuell die Öffentlichkeit zu informieren. Daher empfiehlt es sich, frühzeitig einen geeig­neten Partner zu evaluieren und die vertraglichen Details für die Unterstützung bei der Bewältigung eines Cyber­angriffs vorab zu klären.

Unternehmen müssen heute von erfolgreichen Cyberattacken ausgehen. Deshalb reichen präventive Massnahmen nicht mehr aus. Sicherheitsverantwortliche sollten eine Strategie für Incident Detection & Response ausarbeiten – trotz der Herausforderungen bei der Umsetzung.

Die Cybersecurity-Strategie bildet dabei den bereichsübergreifenden, strategischen Rahmen. Ein systematischer Sicherheitsansatz ist das A und O erfolgreicher Cybersecurity. Dabei müssen sowohl das Risikomanagement, der Schutz der Informationen, die Erkennung und Reaktion auf Sicherheitsvorkommnisse als auch die Wiederherstellung und Optimierung berücksichtigt werden. Internationale Standards wie ISO 27001 oder das NIST Cyber Security Framework bieten dazu anerkannte Modelle für die Errichtung, Umsetzung, Überprüfung und kontinuierliche Verbesserung der eigenen Cyber Resilience. Mithilfe eines CSIRT in einem dedizierten Cyber Defence Center lassen sich die Dauer eines Sicherheitsvorfalls und der dadurch verursachte Schaden minimieren. Ein Cyber Defence Center sollte aber nicht nur auf Gefahren reagieren, sondern aktiv nach Bedrohungen und Anzeichen eines Angriffs suchen.

Da sich die Risikosituation stetig ändert, ist Cybersecurity auch keine einmalige Angelegenheit. Es gilt daher, die aktuelle Bedrohungslage zu beobachten und das Sicherheitsdispositiv kontinuierlich zu verbessern – eine äusserst anspruchsvolle Aufgabe, insbesondere in Zeiten des Fachkräftemangels. Daher empfiehlt es sich, professionelle Unterstützung in Form eines Managed Security Services beizuziehen, um die Cyber Resilience zu stärken sowie den Schutz der Unternehmenswerte zielgerichtet sowie nachhaltig zu verbessern.