Welche Firma möchte nicht die Geschäftsgeheimnisse der Konkurrenz kennen? Welche neuen Produkte erforscht der Rivale gerade und wie steht es um seine Finanzen? Die Wissenschaftssendung Einstein des SRF wollte wissen, wie ein Hacker vorgehen würde, wenn er es auf Geschäftsgeheimnisse abgesehen hat.
Spionage ist ein lukratives Geschäft: Vertrauliche Informationen können an Konkurrenten verkauft werden oder die gehackte Firma wird erpresst. Allein in der Schweiz wird der jährliche Schaden auf mindestens 200 Millionen Franken geschätzt – es könnte auch weit mehr sein. Schweizer Firmen sind nicht verpflichtet, Online-Angriffe zu melden, es dürfte also eine grosse Dunkelziffer geben.
Als potentielles Opfer hat sich die aus der TV-Werbung bekannte Firma Appenzeller bereit erklärt, sich einem echten digitalen Angriff auszusetzen. Die Mitarbeiter des kleinen Ostschweizer Käsebetriebs wussten also, dass sie angegriffen werden. Wann und wie die Hacker zuschlagen würden, wussten sie hingegen nicht.
Dass ein kleines Unternehmen wie Appenzell vom SRF für den Cyber-Angriff ausgewählt wurde, kommt nicht von ungefähr. Gerade kleine und mittlere Unternehmen (KMU) sind besonders gefährdet, da sie die Gefahren der Wirtschaftsspionage eher unterschätzen und oft nicht das Wissen oder Geld haben, um sich genügend gegen Online-Angriffe abzusichern. «Die Frage ist nicht, ob es die eigene Firma trifft, sondern wann», sagt Kurz Lanz, Experte für Internetkriminalität beim Wirtschaftsverband Economiesuisse gegenüber SRF.
Vom SRF als Einbrecher engagiert wurde Cyrill Brunschwiler, Geschäftsführer von Compass Security. Der Auftragshacker wird von grossen Unternehmungen dafür bezahlt, dass er bei ihnen einbricht und so Sicherheitslücken aufdeckt.
«Appenzeller Käse war natürlich vorgängig informiert, dass sie angegriffen werden. Sie waren daher besonders wachsam, was uns die Arbeit massiv erschwert hat», erklärt Brunschwiler die knifflige Ausgangslage in der Sendung Einstein.
Unerkannt die Firma Appenzeller Käse hacken und so viele Geschäftsgeheimnisse wie möglich stehlen.
Brunschwiler und seine Mitarbeiter bei Compass Security nehmen zuerst die Angestellten bei Appenzeller Käse unter die Lupe. Wer arbeitet in welcher Funktion? Auf welche Mitarbeiter sollte man losgehen?
Ein Hinweis im öffentlich zugänglichen Geschäftsbericht, bringt den Hacker auf eine erste Idee: Deutschland ist der wichtigste Exportmarkt für Appenzeller Käse. Die Hacker geben sich daher als deutsches Feinkostgeschäft aus, das vermeintlich an Appenzeller Käse interessiert ist. Sie schicken daher eine erste harmlose E-Mail mit einer Anfrage an Appenzeller Käse.
Die E-Mail landet bei Alfred Ammann, dem Leiter des Qualitätsmanagements bei Appenzeller Käse. Er antwortet freundlich auf die Anfrage und genau auf diese E-Mail haben es die Hacker abgesehen. Für sie ist allerdings nicht wichtig, was in der Antwort-Mail steht, sondern welchen Weg die E-Mail durchlaufen hat. Die versteckten Details geben ihnen wichtige Hinweise darauf, welche Mailprogramme und Betriebssysteme in der Firma genutzt werden.
Nun startet Brunschwiler den ersten Angriff mit einem verseuchten USB-Stick. Darauf ist Schadsoftware versteckt, die sich beim Opfer auf dem PC einnisten soll. Er schreibt einen Brief im Namen einer fiktiven Firma Axona, die angeblich Events für Touristen veranstaltet. Dem Brief wird der USB-Stick beigelegt. Jemand bei Appenzeller soll den verseuchten Stick einstecken und den Angreifern so unwissentlich Zugang zu den Computersystemen verschaffen.
Die gefährliche Post landet bei Monika Walser, der Marketingleiterin. Wir erinnern uns: Compass Security hat die Firma Appenzeller vorgängig durchleuchtet. Hacker Brunschwiler ist daher bestens informiert, an welche Zielperson er den fiktiven Brief adressieren muss, um das grösstmögliche Interesse zu wecken und somit die Chance zu erhöhen, dass der USB-Stick benutzt wird. Doch die Marketingleiterin ist sich der Gefahr durch fremde USB-Sticks bewusst und wirft ihn weg. Der erste Angriffsversuch ist gescheitert.
Brunschwiler versucht es jetzt mit einem Phishing-Angriff. Er baut die Webmail-Internetseite der Firma Appenzeller haargenau nach. Welchen E-Mail-Dienst die Firma Appenzeller Käse nutzt, weiss er, da er bereits zuvor eine Antwortmail erhalten hat.
Der perfide Kniff folgt jetzt: Brunschwiler registriert für die Fake-Outlookseite die Internetadresse mail.appenzeiler.ch, die von der echten Internetadresse kaum zu unterscheiden ist. Nun schickt er eine E-Mail mit dieser gefälschten Internetadresse an sämtliche Appenzeller-Angestellte. Die Mitarbeiter sehen einen täuschend echten Link. Das kleine «i» in der Adresse hat der Hacker durch ein grosses «I» ersetzt, das vom kleinen «l», wie es im Wort Appenzeller vorkommt, nicht zu unterscheiden ist. Klickt nun ein einziger Mitarbeiter auf den gefälschten Link und gibt sein Passwort auf der kopierten Outlook-Webmail-Seite ein, kann es der Hacker unbemerkt mitlesen.
Das Risiko, dass mindestens ein Mitarbeiter auf einen gut gemachten Phishing-Angriff hereinfällt, ist hoch. Bei Appenzeller Käse haben die vorgewarnten Angestellten den Phishing-Versuch jedoch erwartet, wohl deshalb hat niemand den Link angeklickt.
Die Hackerfirma geht daher zum nächsten Angriff über: Sie erstellt eine fiktive Blindbewerbung. Im Word-Dokument versteckt sie einen Trojaner. Sollte jemand die Word-Datei öffnen, installiert sich der Trojaner und die Hacker haben Zugriff auf das Firmennetzwerk.
Firmen möchten verständlicherweise sehen, wer sich bei ihnen bewirbt. Die mit einem Trojaner präparierte Word-Datei wurde daher geöffnet. Dieser eine fatale Klick gibt den Hackern Zugriff auf das Firmennetz und somit auch auf die Passwortliste, die in einer Excel-Tabelle zu finden ist. Mit diesen Passwörtern, die offenbar nicht verschlüsselt waren, haben die Hacker Zugriff auf sämtliche Geschäftsgeheimnisse: Interne Bilanzen, Preislisten, Lohnlisten und so weiter und so fort.
Auftragshacker Chris Nickerson im Interview mit watson: «Es scheitert oft schon an den elementaren Sicherheitsvorkehrungen: Schwache Passwörter, veraltete Software mit Sicherheitslücken und ungeschützter Zugang zum Firmengelände. Wenn ich weiss, dass ich problemlos in die Büros komme, verwanze ich die wichtigen Räume und höre die Konkurrenz einfach ab. Bei vielen Mitarbeitern hapert's auch beim Verständnis, welche Informationen öffentlich sind und welche auf keinen Fall nach Aussen dringen dürfen. Das grundlegende Problem ist: Die meisten Firmen konzentrieren sich auf den Schutz der kritischen Systeme und vernachlässigen dabei grundlegende Schutzvorkehrungen. Aufwändige Sicherheitslösungen können immer von irgendwem überlistet werden, wichtig wäre aber, dass man den Angreifer nicht einfach ins Gebäude laufen lässt.»
Falls die gängigen Tricks mit verseuchten USB-Sticks, Trojanern in Word-Dokumenten oder Phishing-Mails nicht fruchten, könnten Hacker zum Beispiel versuchen, in Firmengebäude einzudringen, um Schadsoftware auf Firmen-PCs zu installieren. Hierzu müssen sie nicht einmal den PC oder Mac starten, da sich Schadsoftware direkt über die USB- oder Thunderbolt-Schnittstelle einnisten kann. Die Schadsoftware ist so selbst für Anti-Virenprogramme kaum zu entdecken.
Abgesehen von wenigen spektakulären Einzelfällen wie dem Sony-Hack, der von den Hackern publik gemacht wurde, bleiben die allermeisten Firmen-Hacks im Dunkeln. Selbst der Gigant Sony hat über Monate nicht bemerkt, dass Unmengen von vertraulichen Dokumenten abgezügelt worden sind. Wie oft und wie viele Geschäftsgeheimnisse weltweit gestohlen werden, ist unbekannt, da die Opfer den Diebstahl in der Regel nicht bemerken. Wenn sie es doch tun, werden sie den Datenklau aus Imagegründen verschweigen.
Die Melde- und Analysestelle Informationssicherung MELANI informiert auf ihrer Webseite über die Tricks der Internet-Kriminellen und wie man sich schützen kann.
Dir gefällt diese Story? Dann like uns doch auf Facebook! Vielen Dank! 💕
Habe leider auch schon feststellen müssen, dass vermeindlich gut ausgebildete (BA/MAS) non-IT-Leute leider gegen Tipps aus dem IT Departement ziemlich resistent sind, da sie ja eh schon alles wissen...