f+h fördern und heben 1-2/2018

PERSPEKTIVEN Montag, 11

PERSPEKTIVEN Montag, 11 Uhr Nachdem man festgestellt hat, dass man nicht an die Daten des Backups kommt, da niemand die Software korrekt bedienen kann, beginnt eine hektische Zeit voller Telefonanrufe bei diversen IT- Dienstleistern. Die bekannten IT-Dienstleister in der unmittelbaren Umgebung sind nicht in der Lage, sich um das Problem zu kümmern, da sie voll ausgelastet sind und keine Ressourcen verfügbar haben. Montag, 12:30 Uhr Endlich wurde ein IT-Dienstleister gefunden, der allerdings aus einiger Entfernung zu erhöhten Kosten anreisen muss und daher erst in einer Stunde eintrifft. Montag, 13:30 Uhr Der Dienstleister beginnt seine Arbeit, stellt aber nach kurzer Zeit fest, dass niemand weiß, wo die für den Restore der verschlüsselten Backupdaten benötigten Passwörter liegen. Es muss also unbedingt der Administrator kontaktiert werden. Dieser liegt zurzeit am Strand in Thailand und ist nicht zu erreichen. Wertvolle Zeit geht verloren, während man verzweifelt versucht, den Administrator zu erreichen. Die Zeitverschiebung von sieben Stunden erschwert das ganze Vorhaben enorm. Dienstag, 17 Uhr Der Betrieb kann nun seit fast zwei Tagen nicht mehr arbeiten. Zum Glück hat man mittlerweile den Administrator erreicht und versucht nun den Restore durchzuführen. Dass der Administrator angesichts einer Flugzeit von ca. 14 Stunden nicht zurückkommen kann und unglücklicherweise keinen PC zur Verfügung hat, macht die Sache nicht leichter. Hinzu kommt, dass die letzte erfolgreiche Sicherung vor zehn Tagen stattgefunden hat (also am letzten Arbeitstag des Administrators). Da das Backup nicht überwacht wurde, ließ sich der Fehler leider nicht früher entdecken. Somit steht ein Datenverlust von rund zehn Tagen bevor. Mittwoch, 9 Uhr Der Restore konnte mithilfe des Administrators und des IT-Dienstleisters endlich gestartet werden. Da es sich allerdings um Datenmengen im Terabyte-Bereich handelt, nimmt dieser Vorgang rund zwei Tage in Anspruch. Die von dem benötigten Zeitaufwand und dem zu erwartenden Datenverlust vollkommen überraschte Geschäftsleitung versteht die (IT-)Welt nicht mehr. Der Geschäftsführer ist nervlich am Ende! Freitag, 8 Uhr Der Restore konnte endlich alle Daten vom Backup wiederherstellen. Nach nunmehr vier Tagen, an denen das Unternehmen praktisch stillstand, liegen die Nerven bei allen Mitarbeitern blank. Freitag, 14 Uhr Da der Logistikdienstleister mittlerweile seit einer Woche nicht mehr lieferfähig ist, ließen sich entsprechende Verträge nicht einhalten. Der Automobilhersteller, einer der wichtigsten Kunden des Dienstleisters, muss infolgedessen seine Produktion stoppen, da bei der Müller-Meier-Logistik GmbH weder ein- noch ausgelagert werden kann und in Zeiten von „just in time“ kein Vorrat vorhanden ist. Freitag, 15 Uhr Dass ein großer Automobilhersteller seine Produktion wegen Problemen in der Lieferkette stoppen muss, bleibt natürlich nicht lange unbemerkt. Die Presse hat über die Vorgänge der letzten Tage berichtet. DER ANFANG VOM ENDE Samstag, 16 Uhr Der Hacker, der den Keylogger auf dem PC von Herrn Schmitt installiert hat, hat mittlerweile auch mitbekommen, was dem Unternehmen passiert ist. Er schlussfolgert präzise, dass das Unternehmen aktuell im Krisenmodus ist. Auf diese Gelegenheit hat er gewartet. Der ideale Zeitpunkt für den finalen Angriff ist greifbar. Der Hacker analysiert nun die von seinem Keylogger übermittelten Daten und findet im Tastaturprotokoll die Eingabe der Zeichenkette „firma\mueller2“, welche darauf schließen lässt, dass Herr Schmitt sich in das firmeneigene Intranet eingeloggt hat. Die darauffolgenden Zeichen „jwhsgge345dss!“ sind dann mit hoher Wahrscheinlichkeit das dazugehörige Passwort für den Account mueller2. Im Anschluss entdeckt der Hacker sogar noch einen Online- Banking-Account und das dazugehörige Passwort. Ein erfolgreiches Log-in auf der Webmailseite des Unternehmens bzw. der Internetseite der Bank bestätigt die Echtheit der Log-in-Daten und versetzt den Hacker in Hochstimmung. Diese Daten scheinen dem Kriminellen auf den ersten Blick keinen großartigen Nutzen zu bringen, da er schließlich ohne eine gültige TAN keine Überweisung tätigen kann. Das einzige, was er mit den Online-Banking-Daten machen kann: den Kontostand des Unternehmens in Erfahrung bringen. Doch genau diese vermeintliche CHRONIK EINES CYBERANGRIFFS Mitarbeiter aktiviert über präparierte E-Mail eines Cyberkriminellen Downloadroutine für Keylogger Mitarbeiter lädt beim Surfen im Internet Krypto-Trojaner herunter Krypto-Trojaner beginnt alle Daten auf den File-Servern zu verschlüsseln Das Unternehmen steht still Versuch mit Backuplösung ein Restore durchzuführen Niemand kann Backuplösung korrekt bedienen. Suche nach IT-Dienstleister beginnt IT-Dienstleister erreicht Mittwoch, 8 Uhr Mittwoch, 12:30 Uhr Sonntag, 1:34 Uhr Montag, 8 Uhr Montag, 10 Uhr Montag, 11 Uhr Montag, 12:30 Uhr 20 f+h 2018/01-02 www.foerdern-und-heben.de

PERSPEKTIVEN Geheiminformation eröffnet dem Kriminellen eine durchaus reelle Chance, an Geld zu kommen. Über das firmeneigene E-Mail-System sendet der Hacker nun eine detaillierte Handlungsanweisung an die Buchhaltung mit dem Hinweis auf strikte Vertraulichkeit. Es seien zwei Überweisungen zu je 250 000 Euro an zwei ausländische geheime Bankkonten zu überweisen, um Rücklagen für Löhne usw. zu haben, falls es zu einer Schadensersatzklage des Automobilherstellers kommt. In der E- Mail nutzt er den genauen Kontostand, um das Vertrauen der Buchhaltung zu erwecken. Im Endeffekt hat die Buchhaltung also einen nachvollziehbaren Auftrag vor sich, der sogar unternehmensinterne Informationen enthält, die nur dem Geschäftsführer oder dessen Assistent bekannt sein sollten. Demnach hat die Buchhaltung kaum eine Chance, diesen Betrug zu bemerken, und führt den vorliegenden Auftrag wie angeordnet aus. Montag, 8 Uhr Zwei Tage später steht die monatliche Lohn- und Gehaltszahlung an. Wegen fehlender Deckung werden zahlreiche Sepa-Überweisungen nicht ausgeführt. Die für die Gehaltszahlung zuständige Mitarbeiterin Frau Sommer wundert sich und fragt in der Buchhaltung nach. Da man dort von der vorausgegangenen mit strikter Geheimhaltung versehenen Anweisung Kenntnis hat, verweist man Frau Sommer direkt an den Geschäftsführer. Wenige Minuten später stellt sich heraus, dass man mithilfe der Buchhaltung und der fingierten E-Mail von Herrn Schmitt das Firmenkonto bis auf wenige Euro geplündert hat. Was bleibt von dem Unternehmen wohl übrig? Werden die Gesellschafter den angestellten Geschäftsführer auf Schadensersatz verklagen? FAZIT: WAS KÖNNEN WIR DARAUS LERNEN? Sie werden mit Sicherheit sagen, dass dieses Szenario zu unwahrscheinlich ist, um überhaupt vorkommen zu können. Auf den ersten Blick erscheint es auch unwahrscheinlich, dass alle Ereignisse gleichzeitig und in diesem Ausmaß auftreten. Aber merken Sie sich Folgendes: Ein Cyberkrimineller überlässt nichts dem Zufall! Wenn Sie ins Visier eines Cyberkriminellen geraten, z. B., weil bekannt wird, dass Ihre IT-Sicherheit nicht leistungsfähig ist, wird dieser alles versuchen, Sie genau dann anzugreifen, wenn Ihre Verteidigung am schwächsten ist. In diesem Fall war der IT-Administrator in Urlaub und einige Systeme waren strukturbedingt nicht auf dem neuesten Stand. Alles Unter dem nachfolgenden Link finden Sie IT-Sicherheitsmaßnahmen, bei deren Beachtung man den Cyberangriff hätte verhindern können. www.brandmauer.de/it-security/it-sicherheitsprodukte Regelmäßige Blogbeiträge und ein Newsletter für Führungskräfte zum Thema „IT-Sicherheit im Unternehmen“ finden Sie unter: www.brandmauer.de/blog/it-security Informationen, die sich mit wenig Aufwand in Erfahrung bringen lassen. Allein die Urlaubsfotos des Administrators in Facebook konnten dem Cyberkriminellen die Information geben, dass das Unternehmen nun angreifbar ist. Im Endeffekt kann diese zwar fiktive aber dennoch realistische Geschichte auch Ihrem Unternehmen passieren. Denn ein paar wenige Unachtsamkeiten z. B. nicht für eine professionelle Urlaubsvertretung für den Administrator gesorgt zu haben, können fatale Folgen haben. Eine einzelne Schwachstelle in der Rechteverwaltung kann Cyberkriminellen den Zugang zu Ihren Systemen verschaffen. Und wenn dann noch sicherheitskritische Faktoren z. B. die erwähnte nicht geregelte Rechte-Verteilung im Unternehmen dazu kommen, steht ein Unternehmen ganz schnell mit dem Rücken zur Wand! WIE KÖNNEN SIE EINEN SOLCHEN HACKERANGRIFF VERHINDERN? Wie verhindern Sie, dass dieses Schicksal auch Ihrem Unternehmen widerfährt? Indem Sie für eine professionelle IT-Sicherheit sorgen! Der finale Angriff des Hackers, der den Keylogger installiert hat, konnte nur per Social Hacking stattfinden. Vermutlich hätte die Firma sich mit ein wenig Glück noch einmal von den Folgen des Krypto-Trojaners erholt. So aber hatte Sie keine Chance! Man kann der Buchhaltung keine Vorwürfe machen, da ein Angriff per Social Hacking für das ungeschulte Auge nur schwer zu erkennen ist. Mit den geeigneten Security-Schulungen hätte die Geschäftsführung aber das Risiko erheblich verringern können, dass Mitarbeiter Opfer eines solchen Angriffs werden! Foto: Fotolia www.brandmauer.de Dienstleister beginnt seine Arbeit Versuch Restore durchzuführen scheitert Restore gestartet Restore aller Daten abgeschlossen Großkunde stellt aufgrund fehlender Teile Produktion ein Öffentlichkeit erfährt in der Presse über Cyberangriff Hacker initiiert Überweisungen Unternehmen stellt fest, dass Firmenkonto geplündert wurde Montag, 13:30 Uhr Dienstag, 17 Uhr Mittwoch, 9 Uhr Freitag, 8 Uhr Freitag, 14 Uhr Freitag, 15 Uhr Samstag, 16 Uhr Montag, 8 Uhr www.foerdern-und-heben.de f+h 2018/01-02 21