Wenige Tage nach dem breit angelegten Angriff auf ein bestimmtes Routersystem, das unter anderem auch die Telekom einsetzt, erschüttert der nächste Sicherheitszwischenfall die Medien. Bei der von ThyssenKrupp gemeldeten Cyberattacke gelang es sehr gut organisierten Angreifern, das Netzwerk des bekannten Stahlgiganten zu infiltrieren.
Angreifer drangen in das Netzwerk des Konzerns ein, um an strategisch relevanten Systemen Hintertüren einzubauen, die zur anschließenden Ausleitung unternehmenskritischer Daten dienen sollten. »Just another data breach« könnte man meinen, doch obwohl bisher keine Details zu den verwendeten Angriffsvektoren und Methoden bekannt sind, ist der Fall höchst interessant. Zum einen ist es zunächst einmal nicht selbstverständlich, dass Konzerne an die Öffentlichkeit gehen, wenn sie erfolgreich angegriffen wurden. ThyssenKrupp hat dies getan, ohne unmittelbar dazu gezwungen zu sein. Die nächste Besonderheit besteht darin, dass es der Cyberabwehr des Konzerns gelungen ist, den Angriff, der wohl bereits im Februar begann, in einer frühen Phase zu entdecken, nämlich bereits im April. Zwei Monate sind eine lange Zeit, könnte man meinen. Aber oft vergehen mehrere hundert Tage, bevor Infiltration und Datendiebstahl aufgedeckt werden.
Den IT-Sicherheitsexperten des Konzerns sind bereits im Frühjahr Anomalien aufgefallen, denen sie konsequent nachgingen. Jedoch wurden die Angreifer nicht direkt aus dem Firmennetz ausgesperrt, sondern es folgte eine sechsmonatige Abwehrschlacht, die wir so bisher nur selten beobachten konnten.
screeen (c) thyssenkrupp
Angreifer im Profil
ThyssenKrupp gab bekannt, dass die ersten Angriffe bereits im Februar stattfanden, jedoch erst im April durch mehrfache gescheiterter Serveranmeldungen entdeckt wurden. Kann man sicher sagen, wer die Täter sind und welche Ziele sie verfolgen?
- Ursprung: Aufgrund der Zeiten, zu denen die Angriffe durchgeführt wurden, geht das Unternehmen davon es, dass die Angreifer ihren Ursprung in Südostasien haben. Eine eindeutige Rückverfolgung der Angreifer ist jedoch nur in seltenen Fällen möglich, da sich die Täter zum Beispiel per Proxy, verteilt über mehrere Hosts, mit den Opfersystemen verbinden können. Eine eindeutige Rückverfolgung ist somit nicht sichergestellt.
- Professionalität: Die forensischen Analysen sollen aufgrund der Professionalität des Angriffs angeblich darauf hindeuten, dass die Täter staatlich unterstützt wurden. Heute werden zunehmend sogenannte Advanced Persistent Threats (APTs) verwendet, um nicht nur einzelne Systeme, sondern das gesamte Unternehmensnetzwerk heimlich zu infiltrieren. Der oder die Angreifer versuchen dabei, ihre Spuren so zu verwischen, dass sie möglichst lange unentdeckt bleiben, damit sie sich im Netzwerk ausbreiten und weitere Systeme infizieren können. Dahinter stehen hoch entwickelte Geschäftsmodelle, bei denen Angriffsspezialisten für die Infiltration und die Ausleitung von Daten zuständig sind und Vertriebseinheiten die erbeuteten Daten verkaufen. Somit kommen nicht nur staatlich gesponserte Gruppen, sondern auch private Unternehmen in Betracht.
- Motivation: Nach jüngsten Erkenntnissen des Stahlkonzerns galt der Angriff dem Diebstahl von technischem Know-how, wie zum Beispiel streng vertraulichen Bauplänen für Anlagen und Gebäude. Den Angreifern ist es gelungen, Informationen in Form »einiger Datensätze« aus dem Firmennetz auszuleiten. Hinweise auf Sabotage oder Datenmanipulation, wie bei Ransomware-Angriffen üblich, wurden nicht entdeckt. Sensible Bereiche wie Kraftwerke, Hochöfen und die für den U-Boot-Bau zuständige Sparte Marine Systeme seien nicht betroffen.
Die Untersuchungen des Angriffs, der über ein halbes Jahr anhielt, sind noch nicht abgeschlossen. In den nächsten Tagen wissen wir mehr, denn ein Reporter der Wirtschaftswoche hatte die Möglichkeit, die Abwehrschlacht der ThyssenKrupp zu begleiten.
Observe, Orient, Decide and Act
Die Umstände die zur Entdeckung geführt haben sind nicht näher bekannt. Allerdings sollen sich die Angreifer nicht direkt selbst verraten haben und nahezu perfekt getarnt gewesen sein. Wie ist es also gelungen hier deutlich erfolgreicher zu sein, als die meisten anderen Unternehmen in einer ähnlichen Situation? ThyssenKrupp gibt dazu an, man habe eine Stecknadel im Heuhaufen gefunden, weil man aktiv danach gesucht habe und Anomalien konsequent nachgehe. Das heißt, hier sind Angreifer wahrscheinlich nicht durch herkömmliche präventive Schutzmaßnahmen oder konventionelle Methoden zur Angriffserkennung aufgefallen.
Cyber Adversary Hunting oder Cyber Threat Hunting
Stattdessen wurde hier wohl eine Technik verwendet, die auch als Cyber Adversary Hunting oder Cyber Threat Hunting bezeichnet wird. Man nimmt an, dass eine Infiltration bereits stattgefunden hat und versucht, dem Angreifer auf die Spur zu kommen, indem man nach Anomalien im Netzwerkverkehr, im System- oder Benutzerverhalten sucht. Die Entscheidung, die aufgenommene Spur konsequent zu verfolgen und den Ablauf des Angriffs zu beobachten, um sich eine Strategie zur nachhaltigen Bekämpfung der Angreifer zurechtzulegen, diese über sechs Monate zu folgen und sie dann gezielt umzusetzen, ohne zwischenzeitlich in blindem Aktionismus den Stecker zu ziehen und damit die Spur des Angreifers zu verlieren, lässt auf eine ausgereifte Incident-Response-Strategie schließen.
Immediate Response oder Later Response
Bewährte Vorgehensmodelle unterscheiden hier zwischen einer Immediate Response und einer Later Response – also einer sofortigen Reaktion zum Stoppen und Eindämmen des Angriffs und einer längerfristigen Reaktion zur Beseitigung der Folgen eines Sicherheitsvorfalls. Ähnlich wie Angreifer zielgerichtet ein Unternehmen auf Schwachstellen untersuchen, diese ausnutzen, sich lateral ausbreiten und schließlich Daten ausleiten, hat das Security Incident Response Team (SIRT) von ThyssenKrupp ebenso zielgerichtete auf den beobachteten Angriff reagiert.
Security Incident Management
Vielleicht können dieser Angriff und die darauf folgenden Maßnahmen einmal als Praxisbeispiel für erfolgreiches Security Incident Management dienen. Vielleicht wird sich aber auch zeigen, dass eine große Portion Glück dabei war. Eins ist aber jetzt schon sicher: Der Angriff auf ThyssenKrupp bleibt kein Einzelfall und nicht nur milliardenschwere Konzerne sind davon betroffen. Auch mittelständische Unternehmen werden sich vermehrt damit auseinandersetzen müssen, wie sie auf ähnlich geartete Fälle reagieren würden und sich dafür rüsten können.
Andreas Günther, Matthias Röhr
Andreas Günther, Cyber Security Analyst, iT-CUBE SYSTEMS; Matthias Röhr, Lead Consultant, iT-CUBE SYSTEMS
IT-Sicherheitstrends 2017: Expertenmangel bremst die Initiativen der Unternehmen
IT-Sicherheitstrends 2017: Datenschutz ist für die Wirtschaft am wichtigsten
Sicherheit 2017: IoT-getriebene DDoS-Angriffe und SCADA-Vorfälle werden 2017 für Schlagzeilen sorgen
Die fünf häufigsten Phishing-Köder und was man dagegen tun kann
Datendiebstahl per USB-Stick: Wie Unternehmen und Behörden diese Gefahr verhindern können
Datendiebstahl bei Apple-Accounts – Jailbreaking erleichtert Gaunern das Handwerk
Nahezu Resignation in Sachen IT-Sicherheit und Datendiebstahl
Jeder Zweite teilt Passwörter mit Kollegen und Dienstleistern
Biometrische Authentifizierung – Balance zwischen Komfort, Sicherheit und Datenschutz