Digital

Das Rezept des Appenzeller Käses ist geheim und bleibt geheim. Oder doch nicht? 
screenshot: srf

Das SRF setzt einen Profi-Hacker auf die Firma Appenzeller Käse an. Kann er das Geheimrezept erbeuten?

04.09.15, 19:01 06.09.15, 15:32

Welche Firma möchte nicht die Geschäftsgeheimnisse der Konkurrenz kennen? Welche neuen Produkte erforscht der Rivale gerade und wie steht es um seine Finanzen? Die Wissenschaftssendung Einstein des SRF wollte wissen, wie ein Hacker vorgehen würde, wenn er es auf Geschäftsgeheimnisse abgesehen hat.

Spionage ist ein lukratives Geschäft: Vertrauliche Informationen können an Konkurrenten verkauft werden oder die gehackte Firma wird erpresst. Allein in der Schweiz wird der jährliche Schaden auf mindestens 200 Millionen Franken geschätzt – es könnte auch weit mehr sein. Schweizer Firmen sind nicht verpflichtet, Online-Angriffe zu melden, es dürfte also eine grosse Dunkelziffer geben.

Das Opfer: Die Firma Appenzeller Käse

Als potentielles Opfer hat sich die aus der TV-Werbung bekannte Firma Appenzeller bereit erklärt, sich einem echten digitalen Angriff auszusetzen. Die Mitarbeiter des kleinen Ostschweizer Käsebetriebs wussten also, dass sie angegriffen werden. Wann und wie die Hacker zuschlagen würden, wussten sie hingegen nicht.

Dass ein kleines Unternehmen wie Appenzell vom SRF für den Cyber-Angriff ausgewählt wurde, kommt nicht von ungefähr. Gerade kleine und mittlere Unternehmen (KMU) sind besonders gefährdet, da sie die Gefahren der Wirtschaftsspionage eher unterschätzen und oft nicht das Wissen oder Geld haben, um sich genügend gegen Online-Angriffe abzusichern. «Die Frage ist nicht, ob es die eigene Firma trifft, sondern wann», sagt Kurz Lanz, Experte für Internetkriminalität beim Wirtschaftsverband Economiesuisse gegenüber SRF.

Auch kleine Firmen können Geheimnisse haben, die nicht in die Hände der Konkurrenz fallen dürfen.
screenshot: srf

Der Hacker: Cyrill Brunschwiler

Vom SRF als Einbrecher engagiert wurde Cyrill Brunschwiler, Geschäftsführer von Compass Security. Der Auftragshacker wird von grossen Unternehmungen dafür bezahlt, dass er bei ihnen einbricht und so Sicherheitslücken aufdeckt. 

«Appenzeller Käse war natürlich vorgängig informiert, dass sie angegriffen werden. Sie waren daher besonders wachsam, was uns die Arbeit massiv erschwert hat», erklärt Brunschwiler die knifflige Ausgangslage in der Sendung Einstein.

Bezahlte Profihacker wie Cyrill Brunschwiler testen Firmen, Bundeseinrichtungen oder Atomkraftwerke auf Sicherheitslücken.
screenshot: srf

Der Auftrag

Unerkannt die Firma Appenzeller Käse hacken und so viele Geschäftsgeheimnisse wie möglich stehlen.

Der Angriff: Mit diesen Tricks versucht der Hacker sein Glück

Brunschwiler und seine Mitarbeiter bei Compass Security nehmen zuerst die Angestellten bei Appenzeller Käse unter die Lupe. Wer arbeitet in welcher Funktion? Auf welche Mitarbeiter sollte man losgehen?

Die Hacker sammeln zuerst Informationen über die Zielfirma und suchen nach Schwachstellen.
screenshot: srf 

Ein Hinweis im öffentlich zugänglichen Geschäftsbericht, bringt den Hacker auf eine erste Idee: Deutschland ist der wichtigste Exportmarkt für Appenzeller Käse. Die Hacker geben sich daher als deutsches Feinkostgeschäft aus, das vermeintlich an Appenzeller Käse interessiert ist. Sie schicken daher eine erste harmlose E-Mail mit einer Anfrage an Appenzeller Käse.

Wichtig sind die Details in der fingierten E-Mail: Beispielsweise ein scharfes S (ß) im Text, wie es in Deutschland gebraucht wird. 
screenshot: srf

Die E-Mail landet bei Alfred Ammann, dem Leiter des Qualitätsmanagements bei Appenzeller Käse. Er antwortet freundlich auf die Anfrage und genau auf diese E-Mail haben es die Hacker abgesehen. Für sie ist allerdings nicht wichtig, was in der Antwort-Mail steht, sondern welchen Weg die E-Mail durchlaufen hat. Die versteckten Details geben ihnen wichtige Hinweise darauf, welche Mailprogramme und Betriebssysteme in der Firma genutzt werden.

In den E-Mails verborgene Meta-Informationen geben den Hackern Hinweise auf die Software, die in der attackierten Firma genutzt wird.
screenshot: srf

Nun startet Brunschwiler den ersten Angriff mit einem verseuchten USB-Stick. Darauf ist Schadsoftware versteckt, die sich beim Opfer auf dem PC einnisten soll. Er schreibt einen Brief im Namen einer fiktiven Firma Axona, die angeblich Events für Touristen veranstaltet. Dem Brief wird der USB-Stick beigelegt. Jemand bei Appenzeller soll den verseuchten Stick einstecken und den Angreifern so unwissentlich Zugang zu den Computersystemen verschaffen. 

Mit dem USB-Stick umgeht der Hacker die Firewall, welche PCs gegen Online-Angriffe von aussen schützt. Wird der Trojaner auf dem USB-Stick vom Virenscanner nicht erkannt, kann der Hacker unbemerkt Dokumente klauen.
screenshot: srf

Die gefährliche Post landet bei Monika Walser, der Marketingleiterin. Wir erinnern uns: Compass Security hat die Firma Appenzeller vorgängig durchleuchtet. Hacker Brunschwiler ist daher bestens informiert, an welche Zielperson er den fiktiven Brief adressieren muss, um das grösstmögliche Interesse zu wecken und somit die Chance zu erhöhen, dass der USB-Stick benutzt wird. Doch die Marketingleiterin ist sich der Gefahr durch fremde USB-Sticks bewusst und wirft ihn weg. Der erste Angriffsversuch ist gescheitert.

Brunschwiler versucht es jetzt mit einem Phishing-Angriff. Er baut die Webmail-Internetseite der Firma Appenzeller haargenau nach. Welchen E-Mail-Dienst die Firma Appenzeller Käse nutzt, weiss er, da er bereits zuvor eine Antwortmail erhalten hat. 

Der Hacker baut eine täuschend echte Kopie des Webmail-Zugangs der Firma Appenzeller Käse nach.
screenshot: srf

Der perfide Kniff folgt jetzt: Brunschwiler registriert für die Fake-Outlookseite die Internetadresse mail.appenzeiler.ch, die von der echten Internetadresse kaum zu unterscheiden ist. Nun schickt er eine E-Mail mit dieser gefälschten Internetadresse an sämtliche Appenzeller-Angestellte. Die Mitarbeiter sehen einen täuschend echten Link. Das kleine «i» in der Adresse hat der Hacker durch ein grosses «I» ersetzt, das vom kleinen «l», wie es im Wort Appenzeller vorkommt, nicht zu unterscheiden ist. Klickt nun ein einziger Mitarbeiter auf den gefälschten Link und gibt sein Passwort auf der kopierten Outlook-Webmail-Seite ein, kann es der Hacker unbemerkt mitlesen.

mail.appenzeiler.ch statt mail.appenzeller.ch
screenshot: srf

Das Risiko, dass mindestens ein Mitarbeiter auf einen gut gemachten Phishing-Angriff hereinfällt, ist hoch. Bei Appenzeller Käse haben die vorgewarnten Angestellten den Phishing-Versuch jedoch erwartet, wohl deshalb hat niemand den Link angeklickt.

Die Hackerfirma geht daher zum nächsten Angriff über: Sie erstellt eine fiktive Blindbewerbung. Im Word-Dokument versteckt sie einen Trojaner. Sollte jemand die Word-Datei öffnen, installiert sich der Trojaner und die Hacker haben Zugriff auf das Firmennetzwerk.

Die Hacker lassen die verräterische Datei-Endung .exe verschwinden. Nun sieht die Bewerbung ganz harmlos aus.
screenshot: srf

Firmen möchten verständlicherweise sehen, wer sich bei ihnen bewirbt. Die mit einem Trojaner präparierte Word-Datei wurde daher geöffnet. Dieser eine fatale Klick gibt den Hackern Zugriff auf das Firmennetz und somit auch auf die Passwortliste, die in einer Excel-Tabelle zu finden ist. Mit diesen Passwörtern, die offenbar nicht verschlüsselt waren, haben die Hacker Zugriff auf sämtliche Geschäftsgeheimnisse: Interne Bilanzen, Preislisten, Lohnlisten und so weiter und so fort.

Diese mit einem Trojaner präparierte Bewerbung schickten die Hacker an Appenzeller Käse.
screenshot: srf

Cybercrime: Wie sicher ist das Know-how der Schweiz?

So wurde die Firma Appenzeller Käse gehackt.
video: srf

Was sind die typischen Fehler von Firmen, die sich gegen Hacker schützen wollen?

Auftragshacker Chris Nickerson im Interview mit watson: «Es scheitert oft schon an den elementaren Sicherheitsvorkehrungen: Schwache Passwörter, veraltete Software mit Sicherheitslücken und ungeschützter Zugang zum Firmengelände. Wenn ich weiss, dass ich problemlos in die Büros komme, verwanze ich die wichtigen Räume und höre die Konkurrenz einfach ab. Bei vielen Mitarbeitern hapert's auch beim Verständnis, welche Informationen öffentlich sind und welche auf keinen Fall nach Aussen dringen dürfen. Das grundlegende Problem ist: Die meisten Firmen konzentrieren sich auf den Schutz der kritischen Systeme und vernachlässigen dabei grundlegende Schutzvorkehrungen. Aufwändige Sicherheitslösungen können immer von irgendwem überlistet werden, wichtig wäre aber, dass man den Angreifer nicht einfach ins Gebäude laufen lässt.»

Welche weiteren Methoden haben Hacker, um in Firmen einzudringen?

Falls die gängigen Tricks mit verseuchten USB-Sticks, Trojanern in Word-Dokumenten oder Phishing-Mails nicht fruchten, könnten Hacker zum Beispiel versuchen, in Firmengebäude einzudringen, um Schadsoftware auf Firmen-PCs zu installieren. Hierzu müssen sie nicht einmal den PC oder Mac starten, da sich Schadsoftware direkt über die USB- oder Thunderbolt-Schnittstelle einnisten kann. Die Schadsoftware ist so selbst für Anti-Virenprogramme kaum zu entdecken.

Thunderbolt-Anschluss an einem MacBook von Apple: Schadsoftware kann bei Macs und Windows-PCs über Computerzubehör eingeschleust werden.
bild: matthias kremp

Abgesehen von wenigen spektakulären Einzelfällen wie dem Sony-Hack, der von den Hackern publik gemacht wurde, bleiben die allermeisten Firmen-Hacks im Dunkeln. Selbst der Gigant Sony hat über Monate nicht bemerkt, dass Unmengen von vertraulichen Dokumenten abgezügelt worden sind. Wie oft und wie viele Geschäftsgeheimnisse weltweit gestohlen werden, ist unbekannt, da die Opfer den Diebstahl in der Regel nicht bemerken. Wenn sie es doch tun, werden sie den Datenklau aus Imagegründen verschweigen.

Wie schützen sich Firmen und Private gegen Hacker-Angriffe?

Die Melde- und Analysestelle Informationssicherung MELANI informiert auf ihrer Webseite über die Tricks der Internet-Kriminellen und wie man sich schützen kann.

Was sind Auftragshacker?

Im Fachjargon spricht man von Penetrationtests. Auftragshacker geben sich im Auftrag von Kunden als kriminelle Hacker aus, und versuchen in das Unternehmen einzubrechen. Dabei simulieren sie physische und elektronische Einbrüche. Sie sammeln Informationen über den Konzern, suchen nach Sicherheitslücken oder senden Mitarbeitern infizierte E-Mails, um Zugriff auf den PC und das Firmennetzwerk zu erhalten. Braucht es physischen Zugriff, verkleiden sie sich zum Beispiel als Sicherheitspersonal, um auf das Firmengelände zu gelangen. Nach dem simulierten Angriff informieren sie ihre Kunden über gefundene Schwachstellen, die beispielsweise von der Konkurrenz ausgenutzt werden könnten.

Die sieben eindrücklichsten Hacker-Attacken

Dir gefällt diese Story? Dann like uns doch auf Facebook! Vielen Dank! 💕

Hol dir die App!

Brikne, 20.7.2017
Neutrale Infos, Gepfefferte Meinungen. Diese Mischung gefällt mir.
Abonniere unseren NewsletterNewsletter-Abo
16
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 72 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
16Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Turbi 06.09.2015 11:23
    Highlight Ist wohl hacken für Anfänger (script kiddies, Behörden und andere Nachtwächter). Ein Profi kennt da viel subtilere und effizientere Methoden
    2 5 Melden
  • Gelöschter Benutzer 06.09.2015 10:59
    Highlight Und wie ist das Geheimrezept nun?
    7 0 Melden
  • Don Huber 05.09.2015 06:10
    Highlight Wer macht schon eine .exe Datei auf ? Aber stimmt schon. Die meisten schauen nur aufs Symbol (in diesem Fall ein Word Symbol)
    4 13 Melden
    • User01 05.09.2015 09:13
      Highlight Ich gehe davon aus, dass eine weisse Box über die Dateiendung .exe gelegt wurde, sodass nur noch "Bewerbung.doc" anstatt "Bewerbung.doc.exe" zu lesen war.
      21 2 Melden
  • Prince-nicocin 04.09.2015 22:55
    Highlight Ziemlich dumm eine Passwort liste ungeschützt auf dem firmen Netz liegen zu haben.
    17 5 Melden
    • cille-chille 05.09.2015 15:40
      Highlight Haben wir auch.

      Im Sozialwesen wird zwar jeder Käse aufgeschrieben, aber nciht Appenzeller.... !

      lol
      4 0 Melden
  • Pokus 04.09.2015 22:10
    Highlight Sehr interessant, leider erwas lang geraten 😛
    Thunderbolt ist von Intel, nicht von Apple.
    13 10 Melden
    • Teslaner 05.09.2015 00:13
      Highlight Das Macbook aber nicht!
      3 3 Melden
    • Schema 05.09.2015 09:03
      Highlight Thunderbolt wurde von Intel und Apple entwickelt. Thinderbolt verwendet auch die gleiche Schnittstelle wie der Mini DisplayPort, welcher von Apple entwickelt wurde.
      9 3 Melden
  • @cyclingsimon 04.09.2015 19:47
    Highlight cooler und sehr infomativer Bericht. weiter so watson

    Habe leider auch schon feststellen müssen, dass vermeindlich gut ausgebildete (BA/MAS) non-IT-Leute leider gegen Tipps aus dem IT Departement ziemlich resistent sind, da sie ja eh schon alles wissen...
    59 4 Melden
  • OnkelBen 04.09.2015 19:40
    Highlight "Hierzu müssen sie nicht einmal den PC oder Mac starten"
    Wieso sollte ein Mac kein Personcal Computer sein?
    8 10 Melden
    • Oliver Wietlisbach 04.09.2015 20:09
      Highlight Du hast recht. Ein Mac ist auch ein PC. Umgangssprachlich verstehen aber wohl die meisten Menschen unter PC einen Windows-Computer. Das vermute ich zumindest.
      53 2 Melden
    • OnkelBen 04.09.2015 20:42
      Highlight Das stimmt, die Frage ist woher das kommt?
      Ironischerweise hat ja Apple bzw. Wozniak einen der ersten Personal Computer überhaupt hergestellt...
      18 3 Melden
    • kEINKOmmEnTAR 04.09.2015 20:47
      Highlight Das ist korrekt, aber müsst ihr den Falschinformationen weiterverbreiten?
      "Hierzu müssen sie nicht einmal den Windows-Rechner oder Mac starten" <- zum Beispiel
      7 11 Melden
    • SirJoe 04.09.2015 22:36
      Highlight Naja, Apple selber hat mit einer grossen Werbekampagne dazu beigetragen diese Falschinformation in den Köpfen zu zementieren.
      "Hello I'm a Mac." "And I'm a PC."

      Es scheint also zumindest Apple nicht zu stören, dass sie "keine" PC's verkaufen, dann kanns uns doch auch Wurst sein ;)
      29 1 Melden
    • Lukas Röllin 05.09.2015 18:41
      Highlight Früher gab's die Unterscheidung, weil der PC (vom Ur-PC von IBM abstammend) mit der x86/x64 Architektur lief und der Mac mit Motorolas PowerPC. Seit Apple nun Intel in den Macs verbaut, sind es technisch genau dieselben Geräte, daher macht die Unterscheidung technisch nicht mehr viel Sinn.
      1 0 Melden

Palliativärztin über ihre Arbeit: «Manchmal fragt das Kind, ob es nun sterben muss»

Jedes Jahr sterben in der Schweiz rund 500 schwerkranke Kinder. Eva Bergsträsser ist Palliativmedizinerin am Universitäts-Kinderspital Zürich. Sie erzählt, warum es in ihrer Arbeit um das Sterben geht, jedoch besonders um das Leben.

Er wollte noch einmal Weihnachten feiern – und bat dazu um Post aus aller Welt. Die Geschichte des krebskranken neunjährigen Jacob aus Amerika berührte Menschen rund um den Globus. Vor einer Woche ist Jacob verstorben. Auch in der Schweiz sterben pro Jahr rund 500 schwerkranke Kinder.

Eva Bergsträsser ist Kinderonkologin und Palliativmedizinerin am Universitäts-Kinderspital Zürich. Fast jede Woche stirbt einer ihrer kleinen Patienten.

Bergsträsser gilt als Pionierin in der Pädiatrischen …

Artikel lesen