<img src="https://d5nxst8fruw4z.cloudfront.net/atrk.gif?account=JtC/o1IWx810bm" style="display:none" height="1" width="1" alt="">
Brandmauer-it-security_Verlauf_heller_1920-x-600-px-Banner.jpg

BRANDMAUER IT Security Blog

So bleiben Sie in Sachen IT und IT Sicherheit stets auf dem neuesten Stand

So ruiniert ein Hackerangriff ein Unternehmen (Teil 1)

Eric Weis | 14.11.2017 17:54:05 | Lesezeit ca. 5 Minuten

Vermutlich haben Sie schon des Öfteren gehört, dass Hackerangriffe Unternehmen in den Ruin treiben können. Klingt erstmal ziemlich weit hergeholt. Allerdings steckt hinter dieser Aussage leider mehr Wahrheit als Sie vielleicht denken. Denn schon ganz wenige unglückliche Wendungen können dazu führen, dass ein Unternehmen innerhalb kurzer Zeit "zugrunde" geht. Im folgenden Artikel wird eine beispielhafte Geschichte erzählt, die, obwohl sie fiktiv ist, durchaus auch in Ihrem Unternehmen stattfinden könnte.

 

Die MüllerMeier Dichtring GmbH

Es soll sich im Folgenden um das fiktive Maschinenbau-Unternehmen „MüllerMeier Dichtring GmbH“ handeln, welches Teil einer Lieferkette eines großen Automobilherstellers ist. Das Unternehmen ist in der Region um Lauterburg nahe der französischen Grenze ansässig. Es produziert unter anderem Dichtringe und ist eines der führenden Unternehmen in seiner Branche. Beschäftigt sind 50 Mitarbeiter im Büro und 150 Mitarbeiter in der Produktion.

 

Was ist passiert?

Es ist Mittwochmorgen, 8 Uhr:

Der Assistent der Geschäftsleitung, Herr Schmitt, schaut sich auf Facebook die ersten Urlaubsfotos des Administrators seines Unternehmens an, der sich am letzten Freitag glücklich in seinen wohlverdienten Urlaub verabschiedet hat.

Anschließend beginnt er seine Arbeit und geht seinem Tagesgeschäft nach, wobei er eine E-Mail-Benachrichtigung vom Intranet erhält. Angesichts dessen, dass die Mitarbeiter der MüllerMeier GmbH in der Regel mehrere solcher Mails pro Woche erhalten, ist dies nichts Ungewöhnliches.

Leider handelt es sich nicht um eine echte E-Mail aus dem Intranet, sondern um eine gefälschte und entsprechend präparierte Mail eines Cyberkriminellen. Dieser weiß ganz genau, wie die Intranet-Applikation funktioniert und hat über Facebook erfahren, dass sich der Administrator der MüllerMeier Dichtring GmbH in Urlaub befindet (Social Hacking). Perfekte Voraussetzungen für einen Hackerangriff!

Mit einem einfachen und täuschend echten Link hat er die E-Mail versehen. Herr Schmitt klickt ohne Bedenken drauf. Schließlich scheint der Link ja ins Intranet zu verweisen. Doch in Wahrheit führt der Link zu einer gefälschten Webseite, auf der Herr Schmitt unwissentlich eine Downloadroutine in seinen Arbeitsspeicher herunterlädt und aktiviert (Drive-by-Download). Diese lädt dann etwa zwei Stunden später, während Herr Schmitt im Meeting sitzt und der Rechner unbenutzt läuft, im Hintergrund eine Installationsanweisung für einen Keylogger herunter und führt diese aus.

Möglich war dies, weil Herr Schmitt über Administratorrechte auf seinem PC verfügte, die aus einer vor langer Zeit entwickelten und nicht aktuell gehaltenen Softwarelösung für Dichtring-Berechnungen resultieren. Der so erfolgte Hackerangriff konnte nur deshalb stattfinden, weil der Drive-by-Download eine Sicherheitslücke im ungepatchten Internet-Browser ausnutzte.

Der auf diesem Weg installierte Keylogger protokolliert nun alle Tastatureingaben und liest im Hintergrund Passwörter und Daten mit, welche direkt an den Hacker übermittelt werden.

Bis hierhin schon fatale Ereignisse. Doch nun kommt noch hinzu, dass Herr Schmitt als Assistent der Geschäftsleitung über alle Rechte auf den firmeneigenen Dateiservern verfügt, um bei Bedarf für den Geschäftsführer auf jegliche Unternehmensdaten zuzugreifen. Somit hat der Hacker Zugriff auf sämtliche vertraulichen Daten!

 

Wie Sie sich vor Hackerangriffen schützen: 10 Tipps

 

Mittwoch, 12:30 Uhr:

Noch am gleichen Tag surft die Auszubildende Frau Fischer in Ihrer Pause im Internet. Als Auszubildende wechselt sie durch die verschiedenen Abteilungen des Unternehmens.  Und da es kein vernünftiges Rechte-Management gibt, welches dafür sorgt, dass Benutzer genau die Rechte erhalten, die sie auch benötigen, hat Frau Fischer über die Zeit umfassende Rechte angesammelt.

Beim Surfen lädt sie unbemerkt, ebenfalls per Drive-by-Download, einen Krypto-Trojaner (Erpressungstrojaner) herunter. Dieser konnte unbemerkt durch die in die Jahre gekommene Firewall gelangen, die nicht auf dem neuesten Stand ist.

Erst kürzlich wurde nämlich in einen neuen Laserschneider investiert, weshalb die neue Firewall im Investitionsbudget zurückgestellt wurde. Die vorhandene Firewall konnte nicht auf den neuesten Firmware-Stand gebracht werden, da die technischen Voraussetzungen (Arbeitsspeicher und CPU) nicht mehr vorhanden sind. Die Entscheidung, den Laserschneider zuerst zu kaufen, rächt sich nun an anderer Stelle!

Wie eingangs bereits erwähnt hat der Administrator gerade Urlaub, weshalb das Virenschutzprogramm auf dem PC von Frau Fischer gerade nicht aktuell ist. Es wurde nämlich nicht für eine professionelle und eingewiesene Vertretung gesorgt, die den Virenschutz überwacht und aktuell hält. Trotz all dem passiert momentan nichts, was den Arbeitsalltag des Unternehmens beeinträchtigen würde. Der Keylogger liest unbemerkt Daten mit, der Krypto-Trojaner „schläft“ und wartet auf seinen Einsatz.

 

Gratis Checkliste: 25 Prüfpunkte für einen entspannten Administratorurlaub

 

Zwischenfazit

Lassen wir die Ereignisse nun also Revue passieren: Was waren die Hauptursachen dafür, dass sich die MüllerMeier Dichtring GmbH den Krypto-Trojaner und den Keylogger eingefangen hat?

 

Ungeschulte Mitarbeiter

Die Mitarbeiter waren nicht geschult und können gefälschte E-Mails nicht erkennen. Zudem wusste Frau Fischer nicht, was im Unternehmen erlaubt ist, und wie Sie sicher im Internet surft. Probleme, denen Sie relativ einfach mit einer Security Awareness Training vorbeugen können!

 

IT Security Awareness Training: Jetzt informieren

 

Fehlendes Rechte-Management

Weiterhin war nicht vernünftig geregelt, wer welche Rechte auf seinem PC hat bzw. haben sollte. Nur dadurch, dass Frau Fischer und Herr Schmitt viel zu umfassende Rechte hatten, konnte der Keylogger überhaupt erst installiert werden. Wiederum eine Sicherheitslücke, die durch ein ordentliches Rechte-Management hätte geschlossen werden können.

 

Vorhandene Sicherheitslücken

Dazu kam, dass der Internet-Browser nicht auf dem neuesten Stand war und somit offene Sicherheitslücken enthielt, die offensichtlich ausgenutzt wurden. Ein simpler Schwachstellenscan oder ein regelmäßiges Inventory in Kombination mit einem professionellen Patchmanagement hätte verhindern können, dass der Internet-Browser nicht aktuell ist. Man hätte also leicht dafür sorgen können, dass der Keylogger erst garnicht auf den PC gelangt!

 

Mehr über Schwachstellenscan erfahren

 

Mein Tipp

Sie werden feststellen, dass doch recht viele aber nicht gerade ungewöhnliche Probleme bei der MüllerMeier Dichtring GmbH vorliegen. Wenn Sie einen Überblick über den Sicherheitsstand Ihres Unternehmens haben wollen, unterstützt BRANDMAUER IT Security Sie gerne mit der IT Sicherheitsbasisprüfung. Sie erhalten Gewissheit über den Stand Ihrer IT Sicherheit und stellen, im Gegensatz zur „MüllerMeier Dichtring GmbH“, kein leichtes Angriffsziel für einen Hackerangriff dar!

 

IT Sicherheitsbasisprüfung: Jetzt informieren!

 

Alle genannten Ereignisse kommen immer wieder im Arbeitsalltag vor und sind daher durchaus realistisch. Täglich surfen Ihre Mitarbeiter im Netz und die wenigsten Unternehmen haben die Benutzerrechte ordentlich organisiert. Dazu kommt, dass sicherheitstechnische Systeme nicht immer auf dem neuesten Stand sind und auch der Administrator mal nicht erreichbar ist, sodass eine organisatorische Lücke im IT Betrieb entsteht. Eine gefährliche Kombination wie Sie im zweiten Teil der Geschichte sehen werden!

 

»So ruiniert ein Hackereingriff ein Unternehmen (Teil 2)

Themen: Cyberkriminalität

Autor: Eric Weis

Eric Weis startete 2005 seine Karriere im IT-Business. Ein klassischer Start als IT-Systemadministrator legte dabei den fachlichen Grundstein, um später in nationalen und internationalen IT-Sicherheitsprojekten als Projektleiter zu agieren. Seit 2015 ist der IT-Experte außerdem Chief Information Security Officer und Auditor der ISO/IEC 27001. Weitere Zertifizierungen nach ITQ13 und VDS zeugen von seiner Leidenschaft für die IT Sicherheit. Seine tiefgehenden IT-Kenntnisse, gepaart mit seinen kommunikativen Fähigkeiten, machen Ihn zum Bindeglied zwischen der IT Organisation und dem Management. Eric Weis kann komplexe IT-Themen verständlich in alle Zielgruppen transportieren!

Telefon: (+49) 7272 92975 200
E-Mail: e.weis@brandmauer.de

Aktuellste Beiträge

Gratis Downloads für Ihre IT Sicherheit

Blog abonnieren

7 WERKZEUGE FÜR IHRE IT SICHERHEIT
IT Sicherheits-Quickcheck
IT Sicherheits-Quickcheck BRANDMAUER IT
Mehr erfahren
IT Sicherheits-Basisprüfung
IT Sicherheits-Basisprüfung BRANDMAUER IT
Mehr erfahren
IT-Sicherheitsbeauftragter
IT-Sicherheitsbeauftragter BRANDMAUER IT
Mehr erfahren
Schwachstellen-Scanning
Schwachstellen-Scanning BRANDMAUER IT
Mehr erfahren
Penetrationstest
Penetrationstest BRANDMAUER IT
Mehr erfahren
Social Hacking
Social Hacking BRANDMAUER IT
Mehr erfahren
Security Training
IT Security Awareness Training BRANDMAUER IT
Mehr erfahren