Soccer team in a huddle

Cyberspionage: Die Angriffsszenarien

Feature | 10. August 2015 von Andreas Schmitz 0

Angriffe, die Unternehmen richtig Geld kosten und manchmal auch die wirtschaftliche Existenz bedrohen, sind sogenannte Advanced Persistent Threats (APT). Hier geht es den Angreifern vor allem um Betriebsgeheimnisse. Die Methoden selbst sind nicht neu, ihre Kombination allerdings schon.

Schon tagelang stand das abgedunkelte Fahrzeug in Funkreichweite vor der Firma, im Innern ein Mann mit Laptop auf dem Schoß. Ein Anruf im Cyber Allianz Zentrum (CAZ) Bayern rief Cyberexperten auf den Plan, die sich die Aktivitäten des vermeintlichen Hackers etwas genauer ansahen. Allerdings ließen sich keine Unregelmäßigkeiten feststellen. Der Grund: Die Aufmerksamkeit des Mannes im Auto galt nicht dem Unternehmen, das den Vorfall gemeldet hatte, sondern einer kleinen Firma, die auch im Gebäude untergebracht war. „Es handelte sich um einen Privatdetektiv, der einen zivilrechtlichen Fall bearbeitete“, erläutert Florian Seitner (34) aus dem CAZ Bayern.

Dieser Fehlalarm zeigt zweierlei: Einerseits ist es lohnenswert, sich mit einem Laptop bewaffnet in der Nähe einer Firma aufzuhalten, um von dort ins Unternehmensnetz zu gelangen. Andererseits wird klar, dass einige Unternehmen inzwischen sehr sensibel und aufmerksam sind und derartige Auffälligkeiten direkt melden.

Cyber Allianz Zentrum Bayern: Knapp 200 Einzelanfragen in zwei Jahren

Knapp 200 Einzelanfragen registrierte das Cyber Allianz Zentrum Bayern bisher, zwei Jahre nach seiner Gründung Mitte 2013. Das bisher einzige Cyber Allianz Zentrum auf Landesebene in Deutschland ist dafür da, Vorfälle aus den Unternehmen entgegenzunehmen, etwaige Angriffe zu beobachten, zu bewerten und zu erforschen, wer hinter den Angriffen steckt. Sämtliche Anfragen werden dabei anonym behandelt: „Wir garantieren dem Unternehmen, dass nichts von dem Vorfall an die Öffentlichkeit gerät“, erläutert Seitner, „denn das würde mit Reputationsverlust einhergehen.“ Kein Unternehmen würde sich sonst beim CAZ melden.

Die wichtigsten Angriffsszenarien sind durchdacht, von langer Hand geplant und mit Geduld ausgeführt.

1. Advanced Persistent Threat (APT):

Umfangreiches Social Engineering, detaillierte Vorrecherchen über die Produkte des Unternehmens, deren Firmen- und Führungsstruktur: Das ist die Voraussetzung etwa für ausländische Nachrichtendienste, sehr gezielt einzelne Unternehmen anzugreifen. Detailinformationen über Konstruktionspläne, Konzepte für Markteinführungen und Entwicklungen sind einige der Informationen, die in der Wirtschaftsspionage gefragt sind. „Die Angriffe sind präzise vorbereitet“, erläutert Seitner vom Bayerischen Landesamt für Verfassungsschutz in München. Letztlich geht es darum, eine Schadsoftware im System zu platzieren, die die Eintrittskarte ins Unternehmen darstellen. „Früher haben Nachrichtendienste Mitarbeiter ins Unternehmen eingeschleust, heute sind es Viren und Trojaner“, sagt Seitner, der bereits nachrichtendienstliche Erfahrungen aus vorhergehenden Tätigkeiten mitbringt.

2. Watering Hole:

Die Angreifer identifizieren Systeme von Unternehmen oder Institutionen, die vom anvisierten Opfer genutzt werden. Wie an einem Wasserloch in der Wüste, zu dem alle wilden Tiere nacheinander kommen, um zu trinken, warten die Angreifer geduldig, um ein Opfer auszumachen. Großkonzerne sind zumeist mit modernster Cyberabwehr ausgestattet. Sie bemerken Angriffe in der Regel schneller und können darauf reagieren. Doch nicht bei allen der unzähligen Zulieferer ist das auch so. Ist eine Lieferung geplant, hat sich der Angreifer bereits in die für ihn uninteressanten Systeme des Zulieferers geschlichen, um von dort auf interessante Informationen des Auftraggebers zu „warten“. Über diese Kommunikation entsteht möglicherweise ein Sicherheitsleck, auf das der Angreifer nur gewartet hat. Und die Schadsoftware breitet sich auch beim Auftraggeber des Zulieferers aus.

Hackerstrategie: Professionelle Angreifer arbeiten mit vielfältigen Methoden

Damit diese ausgetüftelten Angriffe Erfolg haben, kombinieren die Angreifer verschiedene Methoden, wie etwa

  • dem Phishing: eine Mail, die vermeintlich von einem Freund stammt oder einfach Interesse weckt, enthält Schadsoftware, die durch das Öffnen eines Anhangs oder den Klick auf einen Link den Rechner infiziert;
  • dem „social engineering“: per Telefon und persönlichen Kontakt werden Auskünfte eingeholt, die helfen, Zugang zum System zu bekommen;
  • der Identifikation von Schwachstellen, die bislang noch nicht bekannt sind, von Experten „zero days“ genannt. Keinen einzigen Tag sind die Sicherheitslücken bekannt, die Hacker allerdings schon ausnutzen. Ein Unternehmen kann sich darauf nicht vorbereiten und kann allenfalls schnell reagieren;
  • dem Einschleusen von Schadsoftware über einen USB-Stick.

Wer einmal in das System eines Unternehmens gelangt ist, hat entweder Interesse an geheimen Informationen (Spionage) oder aber daran, Daten zu verändern (Sabotage). Die unbefugte oder falsche Verwendung von Daten sowie Eingriffe in die Prozesse (Computerbetrug) ist nach der E-Crime-Studie 2015 von KPMG in Deutschland das häufigste IT-Sicherheitsdelikt (37 Prozent), gefolgt vom Ausspähen von Daten (32 Prozent), der Manipulation von Finanz- und Kundendaten (29 Prozent) und dem Datendiebstahl (15 Prozent).

„Gefährdet sind vor allem kleine und mittelständische Unternehmen“, erläutert CAZ-Mann Seitner, „sie haben einfach nicht die finanziellen Möglichkeiten, sich sicherheitstechnisch optimal aufzustellen – wie etwa ein Konzern.“ Hinzu kommt, so eine weitere Erfahrung, dass manche kleinere Unternehmen sich kaum vorstellen können, selbst betroffen zu sein: „Wir sind so klein, brauchen das Internet doch kaum und fallen doch gar nicht in den Fokus der Nachrichtendienste.“ Um im Bild des „Watering Hole“-Szenarios zu bleiben, sind solche Unternehmen das gefundene Fressen.

 

Bildquelle: Shutterstock

Tags: ,

Leave a Reply