• Home
    • e-Health-Check
    • Cyber-Sicherheits-Check
    • Standard-Checks
    • ISO-Checks
    • SAP-Checks
    • Spezialprüfungen
    • ISAE/SOC Attestierungen
    • ISO Zertifizierungen
  • Blog
  • Glossar
    • Unternehmen
    • Team
    • Partner
    • Referenzen
  • Kontakt
Menu

bprex group ag

  • Home
  • Dienstleistungen
    • e-Health-Check
    • Cyber-Sicherheits-Check
    • Standard-Checks
    • ISO-Checks
    • SAP-Checks
    • Spezialprüfungen
    • ISAE/SOC Attestierungen
    • ISO Zertifizierungen
  • Blog
  • Glossar
  • Über uns
    • Unternehmen
    • Team
    • Partner
    • Referenzen
  • Kontakt
Hacker vor mehreren Computermonitoren im Dunkeln

Illustration eines typischen Cyber-Angriffs

June 13, 2019

Über Cyber-Angriffe auf Unternehmen beliebiger Grösse wird beinahe täglich berichtet. Ohne Fachkenntnisse ist das häufig oberflächlich geschilderte Vorgehen der Angreifer jedoch kaum nachvollziehbar, weshalb wir heute einen typischen Cyber-Angriff konkret und gut verständlich illustrieren.

Das Unternehmer Forum Schweiz veröffentlicht jährlich eine neue Ausgabe des Buchs «Treuhand und Revision» mit topaktuellen Treuhand-Themen. Wir hatten die Gelegenheit, für das Jahrbuch 2019 das Thema Cyber-Risiko zu behandeln. Auf knapp 30 Seiten vermitteln wir einen umfassenden Überblick über die Bedrohungen aus dem Cyber-Raum, die Täter und ihre Motivation sowie wirksame, bezahlbare Abwehrmassnahmen.

Teil unserer Ausführungen ist die Illustration eines typischen Cyber-Angriffs, welche wir Ihnen hier nicht vorenthalten möchten. Anhand eines fiktiven Beispiels zeigen wir, wie ein Angreifer durch eine Kombination von Social-Engineering, Spoofing, Phishing und Ransomware Zugriff auf die Systeme eines Unternehmens erlangt.

Ein typisches Unternehmen

Die ZIG-Treuhand ist ein schweizweit operierendes Unternehmen mit mehreren Standorten, die von einer zentralen ICT-Abteilung betreut werden. Die ZIG-Treuhand verwendet moderne, teure Sicherheitssysteme, die vor einiger Zeit von einem externen Anbieter installiert wurden und seither unverändert im Betrieb sind. Das Personal der ZIG-Treuhand ist nicht mit den Details des Systems vertraut, einen expliziten Sicherheitsverantwortlichen gibt es nicht.

Social Engineering

Der Hacker «JJ» hat sich im Internet über die ZIG-Treuhand informiert und ist zum Schluss gekommen, dass sich eine Attacke durchaus lohnen könnte. […] Er ruft die Zentrale der Firma an und fragt unter einem Vorwand nach der direkten Telefonnummer der ICT-Abteilung, die man ihm auch prompt mitteilt.

Bereits an dieser Stelle hätte ein erster Fehler vermieden werden können. Der Hacker «JJ» bedient sich einer Taktik, die man «Social Engineering» nennt: «Beim Social Engineering verschafft sich ein Angreifer nicht durch Ausnutzen einer technischen Schwachstelle einen Vorteil, sondern dadurch, dass er frei verfügbare Informationen über Personen, Firmen oder Prozesse sammelt oder ein Opfer dahin gehend manipuliert, dass es freiwillig schützenswerte Informationen preisgibt, die dann für eine Attacke genutzt werden können.»

Spoofing

«JJ» findet auf der Webseite der ZIG-Treuhand den Namen und die Telefonnummer des Regionalleiters Paul. Er ruft Paul an und gibt sich als Mitarbeiter der firmeninternen ICT aus. Paul kennt «JJ» zwar nicht, schöpft aber keinen Verdacht, weil er einerseits ohnehin nicht alle ICT-Mitarbeitenden des Unternehmens persönlich kennt und weil andererseits die ihm bekannte Telefonnummer der Firmen-ICT auf seinem Telefon erscheint. Er ahnt nicht, dass diese sogenannte Caller-ID von «JJ» mit den Informationen, die ihm die Zentrale bereitwillig gegeben hat, gefälscht wurde.

Die zweite Handlung des Angreifers ist unter Fachpersonen unter dem Begriff Spoofing bekannt: «Das Ziel einer Spoofing-Attacke ist es, eine valide Identität, wie zum Beispiel eine E-Mail-Adresse oder Telefonnummer, vorzugeben, um sich daraus einen Vorteil respektive einen Zugriff zu verschaffen.»

Phishing

«JJ» erklärt Paul, dass mit grosser Wahrscheinlichkeit sein Account-Passwort kompromittiert worden sei und unverzüglich geändert werden sollte. In dieser Stresssituation ist Paul froh, dass ihm der interne ICT-Mitarbeiter («JJ») einen Link zum Self-Service-Portal seiner Firma zuschickt, auf dem er sein Passwort zurücksetzen kann. In der Aufregung merkt er nicht, dass er statt auf https://portal.zig-treuhand.ch auf https://portal.zigtreuhand.ch gelenkt wird – eine täuschend echte Phishing-Site, die «JJ» im Vorfeld aufgesetzt hat.

Der Begriff Phishing ist eine Neuprägung des Worts fishing. «Mittels manipulierter Webseiten oder E-Mails, die mitunter täuschend echt aussehen, wird versucht, das Cyber-Opfer dazu zu bringen, vertrauliche Informationen preiszugeben.»

In Sicherheit wähnt sich Paul auch, weil das Phishing-Portal ein Zertifikat besitzt, das eine verschlüsselte Verbindung ermöglicht. Dass ein solches Zertifikat innert Minuten kostenlos besorgt werden kann und nur sicherstellt, dass die Kommunikation zwischen Nutzer und Webseite für Dritte nicht lesbar ist, weiss Paul nicht.

Paul gibt auf dem Phishing-Portal sein Passwort ein, das nun an «JJ» weitergeleitet wird. Dieser kann sich mit Pauls Zugriffsrechten auf den Systemen der ZIG-Treuhand einloggen. Dort platziert er einen Crypto-Trojaner, der die Inhalte der ZIG-Treuhand-Server verschlüsselt. Die Antiviren-Scanner, seit Wochen nicht aktualisiert, können die Schadsoftware nicht stoppen.

Ransomware

Grundsätzlich müsste man davon ausgehen können, dass der Systembenutzer Paul keine Berechtigungen hat, um auf den Firmenservern eine Software zu installieren. Doch Paul hat sich als Regionalleiter in der Vergangenheit von der ICT gewisse zusätzliche Rechte erteilen lassen, um umständliche Sicherheitsprüfungen umgehen zu können, die ihn, aus seiner Sicht betrachtet, nur am Arbeiten hinderten. So kann sich der von «JJ» installierte Trojaner mit Pauls erweiterten Rechten an die Arbeit machen – und am kommenden Morgen werden die Systemnutzer der ZIG-Treuhand mit [einer Lösegeldforderung zur Entschlüsselung der Systeme konfrontiert.]

Die von «JJ» eingesetzte Schadsoftware wird auch Ransomware genannt. Ransomware ist «eine Form von Malware, die dem Cyber-Opfer durch Verschlüsselung den Zugang zu seinen Daten verunmöglicht. Oft verlangen die Angreifer ein Lösegeld in Form von Krypto-Währungen zum Entschlüsseln der Daten.»

Schadensbegrenzung

Wenn es zum Super-GAU kommt, weil alle Sicherheitsvorkehrungen versagt haben oder ein Mitarbeitender den «Türöffner» spielte, so bleibt nur zu hoffen, dass die betroffene Organisation über ein funktionierendes und ausgetestetes Backup- und Recovery-Konzept im Rahmen der Business Continuity sowie über eine Cyber-Versicherung verfügt, um die wirtschaftlichen Folgen des Schadens zu minimieren.

Lösegeld zu zahlen ist in den allermeisten Fällen eine schlechte Option.
a) Es besteht keine Sicherheit, dass die Daten und Systeme danach vollständig und korrekt entschlüsselt sind und vollumfänglich zur Verfügung stehen.
b) Die Kriminellen kommen zu Geld, das wiederum zur Verbesserung der Angriffstechniken genutzt werden kann.
c) Es wird ein motivierendes Signal an Kriminelle ausgesendet, die allenfalls auf denselben Zug aufspringen möchten.

Sicherheitsvorkehrungen

Bevor geeignete Massnahmen zur wirksamen Abwehr von Cyber-Angriffen getroffen werden können empfiehlt sich eine Standortbestimmung. Mit unserem Cyber-Sicherheits-Check ermitteln wir gemeinsam mit Ihnen die Cyber-Sicherheits-Risiken Ihres Unternehmens, sodass anschliessend geeignete, bezahlbare Massnahmen getroffen werden können.

Dabei beginnen wir mit Interviews Ihrer Mitarbeiter und gegebenenfalls Ihrer Geschäftsleitung zwecks Ermittlung des Ist-Zustands. Anschliessend analysieren wir die erfassten Daten, um schliesslich mit Ihnen das Protokoll der Befragung, die Auswertung und Empfehlungen zum weiteren Vorgehen zu besprechen. Nach der Durchführung des Cyber-Sicherheits-Checks haben Sie eine präzise Kenntnis der Cyber-Sicherheits-Risiken Ihres Unternehmens und können Ihre IT-Systeme und IT-Netzwerke wirksam absichern.

Konnten wir Ihr Interesse am Thema Cyber-Sicherheit wecken? Kontaktieren Sie uns für ein unverbindliches Erstgespräch. Wir freuen uns auf Ihre Kontaktaufnahme.

Leseempfehlung

Das Buch «Treuhand und Revision – Jahrbuch 2019» können wir Ihnen wärmstens empfehlen. Neben dem von uns verfassten Kapitel «Kennen Sie das Cyber-Risiko für Ihr Unternehmen?» werden weitere topaktuelle Themen in den Bereichen Steuern, Recht, Revision und Rechnungswesen behandelt. Das Buch kann über obigen Link direkt beim Verlag WEKA bestellt werden.

(Titelfoto: Jefferson Santos / Unsplash)

Tags Cyber-Angriff, Cyber-Risiko, Cyber-Sicherheit, Cyber-Sicherheits-Check
← Online- versus PräsenzunterrichtSkizzieren Sie Ihre IT-Umgebung →
Featured
Online- versus Präsenzunterricht
Apr 30, 2021
Online- versus Präsenzunterricht
Apr 30, 2021

In den kommenden Jahren wird ein spannender, hochgradig interaktiver Wissens- und Erfahrungsaustausch in den Kursen von ITACS Training, einem Partnerunternehmen von bprex group ag, weiterhin eine wichtige Rolle spielen.

Apr 30, 2021
Illustration eines typischen Cyber-Angriffs
Jun 13, 2019
Illustration eines typischen Cyber-Angriffs
Jun 13, 2019

Über Cyber-Angriffe auf Unternehmen beliebiger Grösse wird beinahe täglich berichtet. Ohne Fachkenntnisse ist das häufig oberflächlich geschilderte Vorgehen der Angreifer jedoch kaum nachvollziehbar, weshalb wir heute einen typischen Cyber-Angriff konkret und gut verständlich illustrieren.

Jun 13, 2019
Skizzieren Sie Ihre IT-Umgebung
Apr 29, 2019
Skizzieren Sie Ihre IT-Umgebung
Apr 29, 2019

In unserem ersten Artikel zum Datenschutz ging es darum, alle Daten zu bestimmen und zu kategorisieren, die sich in Ihrem Besitz befinden. Wie aber stellen Sie sicher, dass Sie keine dieser Daten vergessen? Dies geht am besten mit einer Visualisierung Ihrer IT-Umgebung.

Apr 29, 2019
Kennen Sie das Cyber-Risiko für Ihr Unternehmen?
Oct 12, 2018
Kennen Sie das Cyber-Risiko für Ihr Unternehmen?
Oct 12, 2018

Die meisten Geschäftsprozesse hängen vom verlässlichen und fehlerfreien Funktionieren der Informations- und Kommunikationstechnik ab. ICT-Sicherheit und folglich auch Cyber-Sicherheit müssen als Teil der operationellen Risiken eines Unternehmens betrachtet werden.

Oct 12, 2018
Informationsveranstaltung «Datenschutz in sozialen Unternehmen»
Sep 14, 2018
Informationsveranstaltung «Datenschutz in sozialen Unternehmen»
Sep 14, 2018

In sozialen Unternehmen hat der Datenschutz aufgrund vieler Personendaten einen besonders hohen Stellenwert. Doch wie kann er gewährleistet werden? SUbB und INSOS Schweiz laden Sie zur gemeinsam organisierten Informationsveranstaltung ein.

Sep 14, 2018
Bringen Sie Ihre Daten in Ordnung!
Aug 17, 2018
Bringen Sie Ihre Daten in Ordnung!
Aug 17, 2018

Ja, sie bereiten Kopfzerbrechen. Und ja, sie sind kompliziert. Aber Sie kommen nicht darum herum: Sie müssen sich mit den neuen Datenschutzbestimmungen vertraut machen. Gute Neuigkeiten: Wir helfen Ihnen dabei. Unser Thema heute: das Speichern und Schützen Ihrer Daten.

Aug 17, 2018
Beurteilung der Informatik der CT Cinetrade AG
Jun 2, 2016
Beurteilung der Informatik der CT Cinetrade AG
Jun 2, 2016

Basierend auf der Arbeitshilfe “Vorgehensmodell IT-Risikoanalyse – EXPERTsuisse" führten wir mit unserer Methode ein moderiertes Controls Self Assessment durch, in welchem der Kunde in die Lage versetzt wird, die Maturität seiner IT-Prozesse selber einzustufen.

Jun 2, 2016
Auslagerung von Unternehmensaufgaben: Wo verbleibt die Verantwortung?
Jul 29, 2015
Auslagerung von Unternehmensaufgaben: Wo verbleibt die Verantwortung?
Jul 29, 2015

Dienstleistungen sind aus den täglichen Arbeitsprozessen nicht mehr wegzudenken und man erwartet, dass sie konstant, verlässlich und sicher funktionieren.

Meist nimmt man sie erst richtig wahr, wenn sie plötzlich nicht mehr zur Verfügung stehen. Immer mehr Unternehmen konzentrieren sich auf ihre Kernkompetenzen und lagern Teile ihrer Unternehmensaufgaben und -strukturen aus, beispielsweise an IT-Provider, an Treuhänder oder spezialisierte Dienstleistungszentren.

Nicht auslagerbar sind die Oberleitung, Aufsicht und Kontrolle durch den Verwaltungsrat sowie zentrale Führungsaufgaben der Geschäftsleitung.

Die Verantwortung für das Interne Kontrollsystem (IKS) verbleibt aber in jedem Falle ...

Jul 29, 2015
Neuer Webauftritt der bprex
Jul 28, 2015
Neuer Webauftritt der bprex
Jul 28, 2015

Herzlich willkommen auf der neuen Website der bprex. Nach vielen Stunden Arbeit dürfen wir Ihnen einen rundum erneuerten Webauftritt präsentieren.

Ziel des Redesigns der bprex Website war einerseits eine vereinfachte, übersichtliche und intuitive Navigation, damit Sie die gewünschten Informationen so schnell als möglich finden. In der Hauptnavigation oben rechts befinden sich Informationen über uns und unsere Dienstleistungen sowie aktuelle Veröffentlichungen und Kontaktmöglichkeiten.

Im Fussbereich der Website sind weitere Seiten wie zum Beispiel der Pressebereich oder Links zu unseren Profilen bei Sozialen Netzwerken verlinkt. Aber dazu später mehr.

Bei der Gestaltung der neuen Website war es uns wichtig, dass ...

Jul 28, 2015

Copyright © bprex group ag

Haftungsausschluss

Datenschutz

Impressum

Presse

Suche