Anzeige

Anzeige

VERANSTALTUNGEN

DIGITAL FUTUREcongress
14.02.19 - 14.02.19
In Frankfurt, Congress Center Messe

SAMS 2019
25.02.19 - 26.02.19
In Berlin

INTERNET WORLD EXPO
12.03.19 - 13.03.19
In Messe München

secIT 2019 by Heise
13.03.19 - 14.03.19
In Hannover

IAM CONNECT 2019
18.03.19 - 20.03.19
In Berlin, Hotel Marriott am Potsdamer Platz

Anzeige

Anzeige

HackerWenige Tage nach dem breit angelegten Angriff auf ein bestimmtes Routersystem, das unter anderem auch die Telekom einsetzt, erschüttert der nächste Sicherheitszwischenfall die Medien. Bei der von ThyssenKrupp gemeldeten Cyber-Attacke gelang es sehr gut organisierten Angreifern, das Netzwerk des bekannten Stahl-Giganten zu infiltrieren. 

Angreifer drangen in das Netzwerk des Konzerns ein, um an strategisch relevanten Systemen Hintertüren einzubauen, die zur anschließenden Ausleitung unternehmenskritischer Daten dienen sollten. „Just another data breach“ könnte man meinen, doch obwohl bisher keine Details zu den verwendeten Angriffsvektoren und Methoden bekannt sind, ist der Fall höchst interessant. Zum einen ist es zunächst einmal nicht selbstverständlich, dass Konzerne an die Öffentlichkeit gehen, wenn sie erfolgreich angegriffen wurden. ThyssenKrupp hat dies getan, ohne unmittelbar dazu gezwungen zu sein. Die nächste Besonderheit besteht darin, dass es der Cyber-Abwehr des Konzerns gelungen ist, den Angriff, der wohl bereits im Februar begann, in einer frühen Phase zu entdecken, nämlich bereits im April. Zwei Monate sind eine lange Zeit, könnte man meinen. Aber oft vergehen mehrere hundert Tage, bevor Infiltration und Datendiebstahl aufgedeckt werden.

Den IT-Sicherheitsexperten des Konzerns sind bereits im Frühjahr Anomalien aufgefallen, denen sie konsequent nachgingen. Jedoch wurden die Angreifer nicht direkt aus dem Firmennetz ausgesperrt, sondern es folgte eine sechsmonatige Abwehrschlacht, die wir so bisher nur selten beobachten konnten.

Angreifer im Profil

ThyssenKrupp gab bekannt, dass die ersten Angriffe bereits im Februar stattfanden, jedoch erst im April durch mehrfache gescheiterter Serveranmeldungen entdeckt wurden. Kann man sicher sagen, wer die Täter sind und welche Ziele sie verfolgen?

1. Ursprung: Aufgrund der Zeiten, zu denen die Angriffe durchgeführt wurden, geht das Unternehmen davon es, dass die Angreifer ihren Ursprung in Südostasien haben. Eine eindeutige Rückverfolgung der Angreifer ist jedoch nur in seltenen Fällen möglich, da sich die Täter zum Beispiel per Proxy, verteilt über mehrere Hosts, mit den Opfersystemen verbinden können. Eine eindeutige Rückverfolgung ist somit nicht sichergestellt.

2. Professionalität: Die forensischen Analysen sollen aufgrund der Professionalität des Angriffs angeblich darauf hindeuten, dass die Täter staatlich unterstützt wurden. Heute werden zunehmend sogenannte Advanced Persistent Threats (APTs) verwendet, um nicht nur einzelne Systeme, sondern das gesamte Unternehmensnetzwerk heimlich zu infiltrieren. Der oder die Angreifer versuchen dabei, ihre Spuren so zu verwischen, dass sie möglichst lange unentdeckt bleiben, damit sie sich im Netzwerk ausbreiten und weitere Systeme infizieren können. Dahinter stehen hoch entwickelte Geschäftsmodelle, bei denen Angriffsspezialisten für die Infiltration und die Ausleitung von Daten zuständig sind und Vertriebseinheiten die erbeuteten Daten verkaufen. Somit kommen nicht nur staatlich gesponserte Gruppen, sondern auch private Unternehmen in Betracht.

3. Motivation: Nach jüngsten Erkenntnissen des Stahlkonzerns galt der Angriff dem Diebstahl von technischem Knowhow, wie zum Beispiel streng vertraulichen Bauplänen für Anlagen und Gebäude. Den Angreifern ist es gelungen, Informationen in Form „einiger Datensätze“ aus dem Firmennetz auszuleiten. Hinweise auf Sabotage oder Datenmanipulation, wie bei Ransomware-Angriffen üblich, wurden nicht entdeckt. Sensible Bereiche wie Kraftwerke, Hochöfen und die für den U-Boot-Bau zuständige Sparte Marine Systeme seien nicht betroffen.

Die Untersuchungen des Angriffs, der über ein halbes Jahr anhielt, sind noch nicht abgeschlossen. In den nächsten Tagen wissen wir mehr, denn ein Reporter der Wirtschaftswoche hatte die Möglichkeit, die Abwehrschlacht der ThyssenKrupp zu begleiten. 

Observe, Orient, Decide and Act

Die Umstände die zur Entdeckung geführt haben sind nicht näher bekannt. Allerdings sollen sich die Angreifer nicht direkt selbst verraten haben und nahezu perfekt getarnt gewesen sein. Wie ist es also gelungen hier deutlich erfolgreicher zu sein, als die meisten anderen Unternehmen in einer ähnlichen Situation? ThyssenKrupp gibt dazu an, man habe eine Stecknadel im Heuhaufen gefunden, weil man aktiv danach gesucht habe und Anomalien konsequent nachgehe. Das heißt, hier sind Angreifer wahrscheinlich nicht durch herkömmliche präventive Schutzmaßnahmen oder konventionelle Methoden zur Angriffserkennung aufgefallen.

Stattdessen wurde hier wohl eine Technik verwendet, die auch als Cyber Adversary Hunting oder Cyber Threat Hunting bezeichnet wird. Man nimmt an, dass eine Infiltration bereits stattgefunden hat und versucht, dem Angreifer auf die Spur zu kommen, indem man nach Anomalien im Netzwerkverkehr, im System- oder Benutzerverhalten sucht. Die Entscheidung, die aufgenommene Spur konsequent zu verfolgen und den Ablauf des Angriffs zu beobachten, um sich eine Strategie zur nachhaltigen Bekämpfung der Angreifer zurechtzulegen, diese über sechs Monate zu folgen und sie dann gezielt umzusetzen, ohne zwischenzeitlich in blindem Aktionismus den Stecker zu ziehen und damit die Spur des Angreifers zu verlieren, lässt auf eine ausgereifte Incident Response Strategie schließen.

Bewährte Vorgehensmodelle unterscheiden hier zwischen einer Immediate Response und einer Later Response – also einer sofortigen Reaktion zum Stoppen und Eindämmen des Angriffs und einer längerfristigen Reaktion zur Beseitigung der Folgen eines Sicherheitsvorfalls. Ähnlich wie Angreifer zielgerichtet ein Unternehmen auf Schwachstellen untersuchen, diese ausnutzen, sich lateral ausbreiten und schließlich Daten ausleiten, hat das Security Incident Response Team (SIRT) von ThyssenKrupp ebenso zielgerichtete auf den beobachteten Angriff reagiert.

Vielleicht können dieser Angriff und die darauf folgenden Maßnahmen einmal als Praxisbeispiel für erfolgreiches Security Incident Management dienen. Vielleicht wird sich aber auch zeigen, dass eine große Portion Glück dabei war. Eins ist aber jetzt schon sicher: Der Angriff auf ThyssenKrupp bleibt kein Einzelfall und nicht nur milliardenschwere Konzerne sind davon betroffen. Auch mittelständische Unternehmen werden sich vermehrt damit auseinandersetzen müssen, wie sie auf ähnlich geartete Fälle reagieren würden und sich dafür rüsten können.

Andreas Günther, Cyber Security Analyst, iT-CUBE SYSTEMS & Matthias Röhr, Lead Consultant, iT-CUBE SYSTEMS

www.it-cube.net
 

 
GRID LIST
Tb W190 H80 Crop Int 022fcb3300800252d034b5a8c131ecf2

Der Virenrückblick Dezember 2018

Im Dezember 2018 standen verschiedene PC-Schädlinge, die insbesondere für das…
Tb W190 H80 Crop Int D2cac016e9d69b9200475c19f0b416ac

Forscher decken Sicherheitslücken in Fortnite auf

Sicherheitsforscher von Check Point gaben Details der Sicherheitslücken bekannt, die für…
Tb W190 H80 Crop Int 18912600147da16a52b96d162a055dfc

So lassen Sie Phishing-Attacken ins Leere laufen

Sicherheitstipps haben sich in den letzten Jahren kaum verändert. Geräte wurden zwar…
Karsten Glied

Zu unbedarfter Umgang mit der IT-Sicherheit?

Zum jüngsten Hacker-Angriff auf Politiker, Journalisten und bekannten Persönlichkeiten…
Security Concept

Verantwortung für die IT-Security der eigenen Geräte übernehmen

Auf der CES werden wie jedes Jahr eine Vielzahl neuer Geräte vorgestellt. Passend dazu…
Tb W190 H80 Crop Int 5f246ccbf6b1305119a03e5f5f5f3175

CEO & Co. als Zielscheibe von Cyberkriminellen

Die Wellen in Politik und Presse schlagen hoch, wenn persönliche Daten von Personen des…
Smarte News aus der IT-Welt