<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=286961978467565&amp;ev=PageView&amp;noscript=1">
Skip to content

So ruiniert ein Hackerangriff ein Unternehmen (Teil 1)

So ruiniert ein Hackerangriff ein Unternehmen (Teil 1)

Vermutlich haben Sie schon des Öfteren gehört, dass Hackerangriffe Unternehmen in den Ruin treiben können. Klingt erstmal ziemlich weit hergeholt. Allerdings steckt hinter dieser Aussage leider mehr Wahrheit als Sie vielleicht denken. Denn schon ganz wenige unglückliche Wendungen können dazu führen, dass ein Unternehmen innerhalb kurzer Zeit "zugrunde" geht. Im folgenden Artikel wird eine beispielhafte Geschichte erzählt, die, obwohl sie fiktiv ist, durchaus auch in Ihrem Unternehmen stattfinden könnte.

 

Die MüllerMeier Dichtring GmbH

Es soll sich im Folgenden um das fiktive Maschinenbau-Unternehmen „MüllerMeier Dichtring GmbH“ handeln, welches Teil einer Lieferkette eines großen Automobilherstellers ist. Das Unternehmen ist in der Region um Lauterburg nahe der französischen Grenze ansässig. Es produziert unter anderem Dichtringe und ist eines der führenden Unternehmen in seiner Branche. Beschäftigt sind 50 Mitarbeiter im Büro und 150 Mitarbeiter in der Produktion.

 

Was ist passiert?

Es ist Mittwochmorgen, 8 Uhr:

Der Assistent der Geschäftsleitung, Herr Schmitt, schaut sich auf Facebook die ersten Urlaubsfotos des Administrators seines Unternehmens an, der sich am letzten Freitag glücklich in seinen wohlverdienten Urlaub verabschiedet hat.

Anschließend beginnt er seine Arbeit und geht seinem Tagesgeschäft nach, wobei er eine E-Mail-Benachrichtigung vom Intranet erhält. Angesichts dessen, dass die Mitarbeiter der MüllerMeier GmbH in der Regel mehrere solcher Mails pro Woche erhalten, ist dies nichts Ungewöhnliches.

Leider handelt es sich nicht um eine echte E-Mail aus dem Intranet, sondern um eine gefälschte und entsprechend präparierte Mail eines Cyberkriminellen. Dieser weiß ganz genau, wie die Intranet-Applikation funktioniert und hat über Facebook erfahren, dass sich der Administrator der MüllerMeier Dichtring GmbH in Urlaub befindet (Social Hacking). Perfekte Voraussetzungen für einen Hackerangriff!

Mit einem einfachen und täuschend echten Link hat er die E-Mail versehen. Herr Schmitt klickt ohne Bedenken drauf. Schließlich scheint der Link ja ins Intranet zu verweisen. Doch in Wahrheit führt der Link zu einer gefälschten Webseite, auf der Herr Schmitt unwissentlich eine Downloadroutine in seinen Arbeitsspeicher herunterlädt und aktiviert (Drive-by-Download). Diese lädt dann etwa zwei Stunden später, während Herr Schmitt im Meeting sitzt und der Rechner unbenutzt läuft, im Hintergrund eine Installationsanweisung für einen Keylogger herunter und führt diese aus.

Möglich war dies, weil Herr Schmitt über Administratorrechte auf seinem PC verfügte, die aus einer vor langer Zeit entwickelten und nicht aktuell gehaltenen Softwarelösung für Dichtring-Berechnungen resultieren. Der so erfolgte Hackerangriff konnte nur deshalb stattfinden, weil der Drive-by-Download eine Sicherheitslücke im ungepatchten Internet-Browser ausnutzte.

Der auf diesem Weg installierte Keylogger protokolliert nun alle Tastatureingaben und liest im Hintergrund Passwörter und Daten mit, welche direkt an den Hacker übermittelt werden.

Bis hierhin schon fatale Ereignisse. Doch nun kommt noch hinzu, dass Herr Schmitt als Assistent der Geschäftsleitung über alle Rechte auf den firmeneigenen Dateiservern verfügt, um bei Bedarf für den Geschäftsführer auf jegliche Unternehmensdaten zuzugreifen. Somit hat der Hacker Zugriff auf sämtliche vertraulichen Daten!

 

Wie Sie sich vor Hackerangriffen schützen: 10 Tipps

 

Mittwoch, 12:30 Uhr:

Noch am gleichen Tag surft die Auszubildende Frau Fischer in Ihrer Pause im Internet. Als Auszubildende wechselt sie durch die verschiedenen Abteilungen des Unternehmens.  Und da es kein vernünftiges Rechte-Management gibt, welches dafür sorgt, dass Benutzer genau die Rechte erhalten, die sie auch benötigen, hat Frau Fischer über die Zeit umfassende Rechte angesammelt.

Beim Surfen lädt sie unbemerkt, ebenfalls per Drive-by-Download, einen Krypto-Trojaner (Erpressungstrojaner) herunter. Dieser konnte unbemerkt durch die in die Jahre gekommene Firewall gelangen, die nicht auf dem neuesten Stand ist.

Erst kürzlich wurde nämlich in einen neuen Laserschneider investiert, weshalb die neue Firewall im Investitionsbudget zurückgestellt wurde. Die vorhandene Firewall konnte nicht auf den neuesten Firmware-Stand gebracht werden, da die technischen Voraussetzungen (Arbeitsspeicher und CPU) nicht mehr vorhanden sind. Die Entscheidung, den Laserschneider zuerst zu kaufen, rächt sich nun an anderer Stelle!

Wie eingangs bereits erwähnt hat der Administrator gerade Urlaub, weshalb das Virenschutzprogramm auf dem PC von Frau Fischer gerade nicht aktuell ist. Es wurde nämlich nicht für eine professionelle und eingewiesene Vertretung gesorgt, die den Virenschutz überwacht und aktuell hält. Trotz all dem passiert momentan nichts, was den Arbeitsalltag des Unternehmens beeinträchtigen würde. Der Keylogger liest unbemerkt Daten mit, der Krypto-Trojaner „schläft“ und wartet auf seinen Einsatz.

 

Gratis Checkliste: 25 Prüfpunkte für einen entspannten Administratorurlaub

 

Zwischenfazit

Lassen wir die Ereignisse nun also Revue passieren: Was waren die Hauptursachen dafür, dass sich die MüllerMeier Dichtring GmbH den Krypto-Trojaner und den Keylogger eingefangen hat?

 

Ungeschulte Mitarbeiter

Die Mitarbeiter waren nicht geschult und können gefälschte E-Mails nicht erkennen. Zudem wusste Frau Fischer nicht, was im Unternehmen erlaubt ist, und wie Sie sicher im Internet surft. Probleme, denen Sie relativ einfach mit einer Security Awareness Training vorbeugen können!

 

Jetzt über das myBIT Managed IT-Security Training informieren!

 

Fehlendes Rechte-Management

Weiterhin war nicht vernünftig geregelt, wer welche Rechte auf seinem PC hat bzw. haben sollte. Nur dadurch, dass Frau Fischer und Herr Schmitt viel zu umfassende Rechte hatten, konnte der Keylogger überhaupt erst installiert werden. Wiederum eine Sicherheitslücke, die durch ein ordentliches Rechte-Management hätte geschlossen werden können.

 

Vorhandene Sicherheitslücken

Dazu kam, dass der Internet-Browser nicht auf dem neuesten Stand war und somit offene Sicherheitslücken enthielt, die offensichtlich ausgenutzt wurden. Ein simpler Schwachstellenscan oder ein regelmäßiges Inventory in Kombination mit einem professionellen Patchmanagement hätte verhindern können, dass der Internet-Browser nicht aktuell ist. Man hätte also leicht dafür sorgen können, dass der Keylogger erst gar nicht auf den PC gelangt!

 

 

Mein Tipp

Sie werden feststellen, dass doch recht viele aber nicht gerade ungewöhnliche Probleme bei der MüllerMeier Dichtring GmbH vorliegen. Wenn Sie einen Überblick über den Sicherheitsstand Ihres Unternehmens haben wollen, unterstützt BRANDMAUER IT Security Sie gerne mit der IT Sicherheitsbasisprüfung. Sie erhalten Gewissheit über den Stand Ihrer IT Sicherheit und stellen, im Gegensatz zur „MüllerMeier Dichtring GmbH“, kein leichtes Angriffsziel für einen Hackerangriff dar!

 

 

Alle genannten Ereignisse kommen immer wieder im Arbeitsalltag vor und sind daher durchaus realistisch. Täglich surfen Ihre Mitarbeiter im Netz und die wenigsten Unternehmen haben die Benutzerrechte ordentlich organisiert. Dazu kommt, dass sicherheitstechnische Systeme nicht immer auf dem neuesten Stand sind und auch der Administrator mal nicht erreichbar ist, sodass eine organisatorische Lücke im IT Betrieb entsteht. Eine gefährliche Kombination wie Sie im zweiten Teil der Geschichte sehen werden!

 

»So ruiniert ein Hackereingriff ein Unternehmen (Teil 2)