Über Cyber-Angriffe auf Unternehmen beliebiger Grösse wird beinahe täglich berichtet. Ohne Fachkenntnisse ist das häufig oberflächlich geschilderte Vorgehen der Angreifer jedoch kaum nachvollziehbar, weshalb wir heute einen typischen Cyber-Angriff konkret und gut verständlich illustrieren.
Das Unternehmer Forum Schweiz veröffentlicht jährlich eine neue Ausgabe des Buchs «Treuhand und Revision» mit topaktuellen Treuhand-Themen. Wir hatten die Gelegenheit, für das Jahrbuch 2019 das Thema Cyber-Risiko zu behandeln. Auf knapp 30 Seiten vermitteln wir einen umfassenden Überblick über die Bedrohungen aus dem Cyber-Raum, die Täter und ihre Motivation sowie wirksame, bezahlbare Abwehrmassnahmen.
Teil unserer Ausführungen ist die Illustration eines typischen Cyber-Angriffs, welche wir Ihnen hier nicht vorenthalten möchten. Anhand eines fiktiven Beispiels zeigen wir, wie ein Angreifer durch eine Kombination von Social-Engineering, Spoofing, Phishing und Ransomware Zugriff auf die Systeme eines Unternehmens erlangt.
Ein typisches Unternehmen
Die ZIG-Treuhand ist ein schweizweit operierendes Unternehmen mit mehreren Standorten, die von einer zentralen ICT-Abteilung betreut werden. Die ZIG-Treuhand verwendet moderne, teure Sicherheitssysteme, die vor einiger Zeit von einem externen Anbieter installiert wurden und seither unverändert im Betrieb sind. Das Personal der ZIG-Treuhand ist nicht mit den Details des Systems vertraut, einen expliziten Sicherheitsverantwortlichen gibt es nicht.
Social Engineering
Der Hacker «JJ» hat sich im Internet über die ZIG-Treuhand informiert und ist zum Schluss gekommen, dass sich eine Attacke durchaus lohnen könnte. […] Er ruft die Zentrale der Firma an und fragt unter einem Vorwand nach der direkten Telefonnummer der ICT-Abteilung, die man ihm auch prompt mitteilt.
Bereits an dieser Stelle hätte ein erster Fehler vermieden werden können. Der Hacker «JJ» bedient sich einer Taktik, die man «Social Engineering» nennt: «Beim Social Engineering verschafft sich ein Angreifer nicht durch Ausnutzen einer technischen Schwachstelle einen Vorteil, sondern dadurch, dass er frei verfügbare Informationen über Personen, Firmen oder Prozesse sammelt oder ein Opfer dahin gehend manipuliert, dass es freiwillig schützenswerte Informationen preisgibt, die dann für eine Attacke genutzt werden können.»
Spoofing
«JJ» findet auf der Webseite der ZIG-Treuhand den Namen und die Telefonnummer des Regionalleiters Paul. Er ruft Paul an und gibt sich als Mitarbeiter der firmeninternen ICT aus. Paul kennt «JJ» zwar nicht, schöpft aber keinen Verdacht, weil er einerseits ohnehin nicht alle ICT-Mitarbeitenden des Unternehmens persönlich kennt und weil andererseits die ihm bekannte Telefonnummer der Firmen-ICT auf seinem Telefon erscheint. Er ahnt nicht, dass diese sogenannte Caller-ID von «JJ» mit den Informationen, die ihm die Zentrale bereitwillig gegeben hat, gefälscht wurde.
Die zweite Handlung des Angreifers ist unter Fachpersonen unter dem Begriff Spoofing bekannt: «Das Ziel einer Spoofing-Attacke ist es, eine valide Identität, wie zum Beispiel eine E-Mail-Adresse oder Telefonnummer, vorzugeben, um sich daraus einen Vorteil respektive einen Zugriff zu verschaffen.»
Phishing
«JJ» erklärt Paul, dass mit grosser Wahrscheinlichkeit sein Account-Passwort kompromittiert worden sei und unverzüglich geändert werden sollte. In dieser Stresssituation ist Paul froh, dass ihm der interne ICT-Mitarbeiter («JJ») einen Link zum Self-Service-Portal seiner Firma zuschickt, auf dem er sein Passwort zurücksetzen kann. In der Aufregung merkt er nicht, dass er statt auf https://portal.zig-treuhand.ch auf https://portal.zigtreuhand.ch gelenkt wird – eine täuschend echte Phishing-Site, die «JJ» im Vorfeld aufgesetzt hat.
Der Begriff Phishing ist eine Neuprägung des Worts fishing. «Mittels manipulierter Webseiten oder E-Mails, die mitunter täuschend echt aussehen, wird versucht, das Cyber-Opfer dazu zu bringen, vertrauliche Informationen preiszugeben.»
In Sicherheit wähnt sich Paul auch, weil das Phishing-Portal ein Zertifikat besitzt, das eine verschlüsselte Verbindung ermöglicht. Dass ein solches Zertifikat innert Minuten kostenlos besorgt werden kann und nur sicherstellt, dass die Kommunikation zwischen Nutzer und Webseite für Dritte nicht lesbar ist, weiss Paul nicht.
Paul gibt auf dem Phishing-Portal sein Passwort ein, das nun an «JJ» weitergeleitet wird. Dieser kann sich mit Pauls Zugriffsrechten auf den Systemen der ZIG-Treuhand einloggen. Dort platziert er einen Crypto-Trojaner, der die Inhalte der ZIG-Treuhand-Server verschlüsselt. Die Antiviren-Scanner, seit Wochen nicht aktualisiert, können die Schadsoftware nicht stoppen.
Ransomware
Grundsätzlich müsste man davon ausgehen können, dass der Systembenutzer Paul keine Berechtigungen hat, um auf den Firmenservern eine Software zu installieren. Doch Paul hat sich als Regionalleiter in der Vergangenheit von der ICT gewisse zusätzliche Rechte erteilen lassen, um umständliche Sicherheitsprüfungen umgehen zu können, die ihn, aus seiner Sicht betrachtet, nur am Arbeiten hinderten. So kann sich der von «JJ» installierte Trojaner mit Pauls erweiterten Rechten an die Arbeit machen – und am kommenden Morgen werden die Systemnutzer der ZIG-Treuhand mit [einer Lösegeldforderung zur Entschlüsselung der Systeme konfrontiert.]
Die von «JJ» eingesetzte Schadsoftware wird auch Ransomware genannt. Ransomware ist «eine Form von Malware, die dem Cyber-Opfer durch Verschlüsselung den Zugang zu seinen Daten verunmöglicht. Oft verlangen die Angreifer ein Lösegeld in Form von Krypto-Währungen zum Entschlüsseln der Daten.»
Schadensbegrenzung
Wenn es zum Super-GAU kommt, weil alle Sicherheitsvorkehrungen versagt haben oder ein Mitarbeitender den «Türöffner» spielte, so bleibt nur zu hoffen, dass die betroffene Organisation über ein funktionierendes und ausgetestetes Backup- und Recovery-Konzept im Rahmen der Business Continuity sowie über eine Cyber-Versicherung verfügt, um die wirtschaftlichen Folgen des Schadens zu minimieren.
Lösegeld zu zahlen ist in den allermeisten Fällen eine schlechte Option.
a) Es besteht keine Sicherheit, dass die Daten und Systeme danach vollständig und korrekt entschlüsselt sind und vollumfänglich zur Verfügung stehen.
b) Die Kriminellen kommen zu Geld, das wiederum zur Verbesserung der Angriffstechniken genutzt werden kann.
c) Es wird ein motivierendes Signal an Kriminelle ausgesendet, die allenfalls auf denselben Zug aufspringen möchten.
Sicherheitsvorkehrungen
Bevor geeignete Massnahmen zur wirksamen Abwehr von Cyber-Angriffen getroffen werden können empfiehlt sich eine Standortbestimmung. Mit unserem Cyber-Sicherheits-Check ermitteln wir gemeinsam mit Ihnen die Cyber-Sicherheits-Risiken Ihres Unternehmens, sodass anschliessend geeignete, bezahlbare Massnahmen getroffen werden können.
Dabei beginnen wir mit Interviews Ihrer Mitarbeiter und gegebenenfalls Ihrer Geschäftsleitung zwecks Ermittlung des Ist-Zustands. Anschliessend analysieren wir die erfassten Daten, um schliesslich mit Ihnen das Protokoll der Befragung, die Auswertung und Empfehlungen zum weiteren Vorgehen zu besprechen. Nach der Durchführung des Cyber-Sicherheits-Checks haben Sie eine präzise Kenntnis der Cyber-Sicherheits-Risiken Ihres Unternehmens und können Ihre IT-Systeme und IT-Netzwerke wirksam absichern.
Konnten wir Ihr Interesse am Thema Cyber-Sicherheit wecken? Kontaktieren Sie uns für ein unverbindliches Erstgespräch. Wir freuen uns auf Ihre Kontaktaufnahme.
Leseempfehlung
Das Buch «Treuhand und Revision – Jahrbuch 2019» können wir Ihnen wärmstens empfehlen. Neben dem von uns verfassten Kapitel «Kennen Sie das Cyber-Risiko für Ihr Unternehmen?» werden weitere topaktuelle Themen in den Bereichen Steuern, Recht, Revision und Rechnungswesen behandelt. Das Buch kann über obigen Link direkt beim Verlag WEKA bestellt werden.
(Titelfoto: Jefferson Santos / Unsplash)