Vermutlich haben Sie schon des Öfteren gehört, dass Hackerangriffe Unternehmen in den Ruin treiben können. Klingt erstmal ziemlich weit hergeholt. Allerdings steckt hinter dieser Aussage leider mehr Wahrheit als Sie vielleicht denken. Denn schon ganz wenige unglückliche Wendungen können dazu führen, dass ein Unternehmen innerhalb kurzer Zeit „zugrunde“ geht. Im folgenden Artikel wird eine beispielhafte Geschichte erzählt, die, obwohl sie fiktiv ist, durchaus auch in Ihrem Unternehmen stattfinden könnte.

Die MüllerMeier Dichtring GmbH

Es soll sich im Folgenden um das fiktive Maschinenbau-Unternehmen „MüllerMeier
Dichtring GmbH“ handeln, welches Teil einer Lieferkette eines großen
Automobilherstellers ist. Das Unternehmen ist in der Region um Lauterburg nahe der
französischen Grenze ansässig. Es produziert unter anderem Dichtringe und ist eines der
führenden Unternehmen in seiner Branche. Beschäftigt sind 50 Mitarbeiter im Büro und
150 Mitarbeiter in der Produktion.

Was ist passiert?

Es ist Mittwochmorgen, 8 Uhr:
Der Assistent der Geschäftsleitung, Herr Schmitt, schaut sich auf Facebook die ersten
Urlaubsfotos des IT Administrators seines Unternehmens an, der sich am letzten Freitag
glücklich in seinen wohlverdienten Urlaub verabschiedet hat.
Anschließend beginnt er seine Arbeit und geht seinem Tagesgeschäft nach, wobei er eine
E-Mail-Benachrichtigung vom Intranet-Server erhält. Angesichts dessen, dass die
Mitarbeiter der MüllerMeier Dichtring GmbH in der Regel mehrere solcher Mails pro
Woche erhalten, ist dies nichts Ungewöhnliches.

Leider handelt es sich nicht um eine echte E-Mail aus dem Intranet, sondern um eine
gefälschte und entsprechend präparierte Mail eines Cyberkriminellen. Dieser weiß ganz
genau, wie die Intranet-Applikation funktioniert und hat über Facebook erfahren, dass
sich der Administrator der MüllerMeier Dichtring GmbH in Urlaub befindet (Social
Hacking). Perfekte Voraussetzungen für einen Hackerangriff!

Mit einem einfachen und täuschend echten Link hat er die E-Mail versehen. Herr Schmitt
klickt ohne Bedenken drauf. Schließlich scheint der Link ja ins Intranet zu verweisen. Doch
in Wahrheit führt der Link zu einer gefälschten Webseite, auf der Herr Schmitt
unwissentlich eine Downloadroutine in seinen Arbeitsspeicher herunterlädt und aktiviert
(Drive-by-Download). Diese lädt dann etwa zwei Stunden später, während Herr Schmitt
im Meeting sitzt und der Rechner unbenutzt läuft, im Hintergrund eine Installationsanweisung für einen Keylogger herunter und führt diese aus.

Möglich war dies, weil Herr Schmitt über Administratorrechte auf seinem PC verfügte,
die aus einer vor langer Zeit entwickelten und nicht aktuell gehaltenen Softwarelösung
für Dichtring-Berechnungen resultieren. Der so erfolgte Hackerangriff konnte nur deshalb
stattfinden, weil der Drive-by-Download eine Sicherheitslücke im ungepatchten Internet-
Browser ausnutzte.

Der auf diesem Weg installierte Keylogger protokolliert nun alle Tastatureingaben und
liest im Hintergrund Passwörter und Daten mit, welche direkt an den Hacker übermittelt
werden. Bis hierhin schon fatale Ereignisse. Doch nun kommt noch hinzu, dass Herr Schmitt als Assistent der Geschäftsleitung über alle Rechte auf den firmeneigenen Dateiservern verfügt, um bei Bedarf für den Geschäftsführer auf jegliche Unternehmensdaten zuzugreifen. Somit hat der Hacker Zugriff auf sämtliche vertrauliche Daten!

Mittwoch, 12:30 Uhr:
Noch am gleichen Tag surft die Auszubildende Frau Fischer in Ihrer Pause im Internet. Als
Auszubildende wechselt sie durch die verschiedenen Abteilungen des Unternehmens.
Und da es kein vernünftiges Rechte-Management gibt, welches dafür sorgt, dass
Benutzer genau die Rechte erhalten, die sie auch benötigen, hat Frau Fischer über ihre
dreijährige Ausbildungszeit umfassende Rechte angesammelt.

Beim Surfen lädt sie unbemerkt, ebenfalls per Drive-by-Download, einen Krypto-Trojaner
(Erpressungstrojaner) herunter. Dieser konnte unbemerkt durch die in die Jahre
gekommene Firewall gelangen, die nicht auf dem neuesten Stand ist.
Erst kürzlich wurde nämlich in einen neuen Laserschneider investiert, weshalb die neue
Firewall im Investitionsbudget zurückgestellt wurde. Die vorhandene Firewall konnte
nicht auf den neuesten Firmware-Stand gebracht werden, da die technischen
Voraussetzungen (Arbeitsspeicher und CPU) nicht mehr vorhanden sind. Die
Entscheidung, den Laserschneider zuerst zu kaufen, rächt sich nun an anderer Stelle!

Wie eingangs bereits erwähnt hat der Administrator gerade Urlaub, weshalb das
Virenschutzprogramm auf dem PC von Frau Fischer gerade nicht aktuell ist. Es wurde
nämlich nicht für eine professionelle und eingewiesene Vertretung gesorgt, die den
Virenschutz überwacht und aktuell hält. Trotz all dem passiert momentan nichts, was den
Arbeitsalltag des Unternehmens beeinträchtigen würde. Der Keylogger liest unbemerkt
Daten mit, der Krypto-Trojaner „schläft“ und wartet auf seinen Einsatz.

Montag, 8 Uhr:
Da Frau Fischer Ihren Rechner am Freitag nicht heruntergefahren hat, konnte der Krypto-
Trojaner gestern um 01:34 Uhr aktiviert werden und hat über Nacht sämtliche Daten auf
den File-Servern verschlüsselt, auf die Frau Fischer Zugriffsrechte hatte.
Sämtliche Produktionspläne, Konstruktionspläne, Kundendaten, Lieferdaten und alle
zentralen Netzwerk-Applikationen die die Firma benötigt, sind aufgrund der Verschlüsselung nicht mehr verfügbar.

Das Unternehmen steht still!

Die Forderung des Cyberkriminellen auf dem PC von Frau Fischer lautet, 10 Bitcoins (ca.
70.000 Euro, Stand 11/2017) an ein anonymes Bitcoin-Wallet zu überweisen. Im
Gegenzug würden dann die Unternehmensdaten wieder entschlüsselt.
Nach einer hektischen Beratung mit der Geschäftsleitung und anschließendem Kontakt
mit der Polizei wird beschlossen, nicht an den Erpresser zu zahlen.

Montag, 10 Uhr:
Glücklicherweise hat man ja ein Backup der Daten.
Der Plan steht: Restore der Daten durchführen, um so schnell wie möglich wieder
arbeitsfähig zu sein.
Haken an der Sache: Niemand im Unternehmen weiß, wie mit der Backuplösung ein
Restore durchgeführt wird. Der Vertreter des Administrators ist mangels Einweisung
nicht in der Lage, die Daten wiederherzustellen.

Montag, 11 Uhr:
Nachdem man festgestellt hat, dass man nicht an die Daten des Backups kommt, da
niemand die Software korrekt bedienen kann, beginnt eine hektische Zeit voller
Telefonanrufe bei diversen IT Dienstleistern. Die bekannten IT Dienstleister in der
unmittelbaren Umgebung sind leider nicht in der Lage sich um das Problem zu kümmern,
da sie gerade voll ausgelastet sind und keine Ressourcen verfügbar haben.

Montag, 12:30 Uhr:
Endlich wurde ein IT Dienstleister gefunden, der allerdings aus einiger Entfernung zu
erhöhten Kosten anreisen muss und daher erst in einer Stunde eintrifft.

Montag, 13:30 Uhr:
Der Dienstleister beginnt seine Arbeit, stellt aber nach kurzer Zeit fest, dass niemand
weiß, wo die für den Restore der verschlüsselten Backupdaten benötigten Passwörter
liegen. Es muss also unbedingt der Administrator kontaktiert werden. Dieser liegt gerade am Strand in Thailand und ist nicht zu erreichen. Es vergeht wertvolle Zeit, während man
verzweifelt versucht, den Administrator zu erreichen. Die Zeitverschiebung von 7 Stunden
erschwert das ganze Vorhaben natürlich enorm.

Dienstag, 17 Uhr:
Der Betrieb kann nun seit fast 2 Tagen nicht mehr arbeiten. Zum Glück hat man
mittlerweile den Administrator erreicht und versucht nun den Restore durchzuführen.
Dass der Administrator angesichts einer Flugzeit von ca. 14 Stunden nicht zurückkommen
kann und unglücklicherweise keinen PC zur Verfügung hat, macht die Sache nicht leichter.
Hinzu kommt noch, dass die letzte erfolgreiche Sicherung vor 10 Tagen stattgefunden hat
(also am letzten Arbeitstag des Administrators). Da das Backup nicht überwacht wurde,
konnte der Fehler leider nicht früher entdeckt werden. Somit steht ein Datenverlust von
rund 10 Tagen bevor.

Mittwoch, 9 Uhr:
Der Restore konnte mit Hilfe des Administrators und des IT Dienstleisters endlich
gestartet werden. Da es sich allerdings um Datenmengen im Terabyte-Bereich handelt,
nimmt dieser Vorgang rund 2 Tage in Anspruch. Die von dem benötigten Zeitaufwand
und dem zu erwartenden Datenverlust vollkommen überraschte Geschäftsleitung
versteht die (IT) Welt nicht mehr. Der Geschäftsführer ist nervlich am Ende!

Freitag, 8 Uhr:
Der Restore konnte endlich alle Daten vom Backup wiederherstellen. Nach nunmehr 4
Tagen, an denen das Unternehmen praktisch stillstand, liegen die Nerven natürlich bei
allen Mitarbeitern blank

Freitag, 14 Uhr:
Da man mittlerweile seit einer Woche nicht mehr produziert hat, ist es dem
Unternehmen nicht mehr möglich, seine Lieferverträge einzuhalten. Der zu Beginn
erwähnte Automobilhersteller muss infolgedessen ebenfalls seine Produktion stoppen,
da ein wichtiger Dichtring fehlt und in Zeiten von just-in-time natürlich kein Vorrat
vorhanden ist.

Freitag, 15 Uhr:
Dass ein großer Automobilhersteller seine Produktion wegen Problemen in der
Lieferkette stoppen muss, bleibt natürlich nicht lange unbemerkt. Es gibt, in denen die
Vorgänge der letzten Tage veröffentlicht werden.

Der Anfang vom Ende

Samstag, 16 Uhr:
Der Hacker, der den Keylogger auf dem PC von Herrn Schmitt installiert hat, hat
mittlerweile auch mitbekommen, was dem Unternehmen passiert ist. Er schlussfolgert
präzise, dass das Unternehmen aktuell im Krisenmodus ist.
Auf diese Gelegenheit hat er gewartet. Der ideale Zeitpunkt für den finalen Angriff ist
greifbar.

Er analysiert nun die von seinem Keylogger übermittelten Daten und findet im
Tastaturprotokoll die Eingabe der Zeichenkette „firma\mueller2“, welche darauf
schließen lässt, dass Herr Schmitt sich in das firmeneigene Intranet eingeloggt hat. Die
darauffolgenden Zeichen „jwhsgge345dss!“ sind dann mit hoher Wahrscheinlichkeit das
dazugehörige Passwort für den Account mueller2. Im Anschluss entdeckt er sogar noch
einen Online-Banking-Account und das dazugehörige Passwort. Ein erfolgreiches Login
auf der Webmailseite des Unternehmens bzw. der Internetseite der Bank bestätigt die
Echtheit der Login-Daten und versetzt den Hacker in Hochstimmung.

Diese Daten scheinen dem Kriminellen auf den ersten Blick keinen großartigen Nutzen zu
bringen, da er schließlich ohne eine gültige TAN keine Überweisung tätigen kann. Das
einzige, was er mit den Online-Banking-Daten machen kann: den Kontostand des
Unternehmens in Erfahrung bringen. Doch genau diese vermeintliche
Geheiminformation eröffnet dem Kriminellen eine durchaus reelle Chance, an das Geld
zu kommen.

Über das firmeneigene E-Mail-System sendet der Hacker nun nämlich eine detaillierte
Handlungsanweisung an die Buchhaltung mit dem Hinweis auf strikte Vertraulichkeit. Es
seien 2 Überweisungen zu je 250.000 EUR an zwei ausländische geheime Bankkonten zu
überweisen, um Rücklagen für Löhne usw. zu haben, falls es zu einer
Schadensersatzklage des Automobilherstellers kommt. In der Mail nutzt er den genauen
Kontostand, um das Vertrauen der Buchhaltung zu erwecken.

Im Endeffekt hat die Buchhaltung also einen nachvollziehbaren Auftrag vor sich, der sogar
unternehmensinterne Informationen enthält, die nur dem Geschäftsführer oder dessen
Assistent bekannt sein sollten. Die Buchhaltung hat demnach kaum eine Chance, diesen
Betrug zu bemerken, und führt den vorliegenden Auftrag wie angeordnet aus.

Montag, 8 Uhr:
Zwei Tage später steht die monatliche Lohn- und Gehaltszahlung an. Wegen fehlender
Deckung werden zahlreiche SEPA Überweisungen nicht ausgeführt. Die für die
Gehaltszahlung zuständige Mitarbeiterin Frau Sommer wundert sich und fragt in der
Buchhaltung nach. Da man dort von der vorausgegangenen mit strikter Geheimhaltung
versehenen Anweisung Kenntnis hat, verweist man Frau Sommer direkt an den
Geschäftsführer. Wenige Minuten später stellt sich heraus, dass man mit Hilfe der
Buchhaltung und der fingierten E-Mail von Herrn Schmitt das Firmenkonto bis auf wenige
Euro geplündert hat.
Was bleibt von dem Unternehmen wohl übrig? Werden die Gesellschafter den
angestellten Geschäftsführer auf Schadensersatz verklagen?

Fazit: Was können wir daraus lernen?

Sie werden mit Sicherheit sagen, dass dieses Szenario zu unwahrscheinlich ist, um
überhaupt vorkommen zu können. Auf den ersten Blick erscheint es auch
unwahrscheinlich, dass alle Ereignisse gleichzeitig und in diesem Ausmaß auftreten.
Aber merken Sie sich Folgendes: Ein Cyberkrimineller überlässt nichts dem Zufall! Wenn
Sie ins Visier eines Cyberkriminellen geraten, beispielsweise, weil bekannt wird, dass Ihre
IT Sicherheit nicht leistungsfähig ist, wird dieser alles versuchen, Sie genau dann
anzugreifen, wenn Ihre Verteidigung am schwächsten ist.

In diesem Fall war der Administrator in Urlaub und einige Systeme waren strukturbedingt
nicht auf dem neuesten Stand. Alles Informationen, die sich mit wenig Aufwand in
Erfahrung bringen lassen. Allein die Urlaubsfotos des Administrators in Facebook konnten
dem Cyberkriminellen die Information geben, dass das Unternehmen nun angreifbar ist.
Im Endeffekt kann diese zwar fiktive aber dennoch realistische Geschichte auch Ihrem
Unternehmen passieren. Denn ein paar wenige Unachtsamkeiten wie z.B. nicht für eine
professionelle Urlaubsvertretung für den Administrator gesorgt zu haben können fatale
Folgen haben.

Eine einzelne Schwachstelle in der Rechteverwaltung kann Cyberkriminellen den Zugang
zu Ihren Systemen verschaffen. Und wenn dann noch sicherheitskritische Faktoren wie
z.B. die erwähnte nicht geregelte Rechte-Verteilung des Auszubildenden dazu kommen,
steht ein Unternehmen ganz schnell mit dem Rücken zur Wand!

Wie können Sie einen solchen Hackerangriff verhindern?

Wie verhindern Sie, dass dieses Schicksal auch Ihrem Unternehmen wiederfährt? Indem
Sie für eine professionelle IT Sicherheit sorgen! Der finale Angriff des Hackers, der den
Keylogger installiert hat, konnte nur mittels Social Hacking stattfinden. Vermutlich hätte
die Firma sich mit ein wenig Glück noch einmal von den Folgen des Krypto-Trojaners
erholt. So aber hatte Sie keine Chance! Man kann der Buchhaltung keine Vorwürfe machen, da ein Angriff per Social Hacking für das ungeschulte Auge nur schwer zu
erkennen ist.

Mit den geeigneten Security Schulungen hätte die Geschäftsführung aber das Risiko
erheblich verringern können, dass Mitarbeiter Opfer eines solchen Angriffs werden!
Seite