ThyssenKrupp-Hack – Bemerkenswertes Vorgehen

HackerWenige Tage nach dem breit angelegten Angriff auf ein bestimmtes Routersystem, das unter anderem auch die Telekom einsetzt, erschüttert der nächste Sicherheitszwischenfall die Medien. Bei der von ThyssenKrupp gemeldeten Cyber-Attacke gelang es sehr gut organisierten Angreifern, das Netzwerk des bekannten Stahl-Giganten zu infiltrieren. 

Angreifer drangen in das Netzwerk des Konzerns ein, um an strategisch relevanten Systemen Hintertüren einzubauen, die zur anschließenden Ausleitung unternehmenskritischer Daten dienen sollten. „Just another data breach“ könnte man meinen, doch obwohl bisher keine Details zu den verwendeten Angriffsvektoren und Methoden bekannt sind, ist der Fall höchst interessant. Zum einen ist es zunächst einmal nicht selbstverständlich, dass Konzerne an die Öffentlichkeit gehen, wenn sie erfolgreich angegriffen wurden. ThyssenKrupp hat dies getan, ohne unmittelbar dazu gezwungen zu sein. Die nächste Besonderheit besteht darin, dass es der Cyber-Abwehr des Konzerns gelungen ist, den Angriff, der wohl bereits im Februar begann, in einer frühen Phase zu entdecken, nämlich bereits im April. Zwei Monate sind eine lange Zeit, könnte man meinen. Aber oft vergehen mehrere hundert Tage, bevor Infiltration und Datendiebstahl aufgedeckt werden.

Anzeige

Den IT-Sicherheitsexperten des Konzerns sind bereits im Frühjahr Anomalien aufgefallen, denen sie konsequent nachgingen. Jedoch wurden die Angreifer nicht direkt aus dem Firmennetz ausgesperrt, sondern es folgte eine sechsmonatige Abwehrschlacht, die wir so bisher nur selten beobachten konnten.

Angreifer im Profil

ThyssenKrupp gab bekannt, dass die ersten Angriffe bereits im Februar stattfanden, jedoch erst im April durch mehrfache gescheiterter Serveranmeldungen entdeckt wurden. Kann man sicher sagen, wer die Täter sind und welche Ziele sie verfolgen?

1. Ursprung: Aufgrund der Zeiten, zu denen die Angriffe durchgeführt wurden, geht das Unternehmen davon es, dass die Angreifer ihren Ursprung in Südostasien haben. Eine eindeutige Rückverfolgung der Angreifer ist jedoch nur in seltenen Fällen möglich, da sich die Täter zum Beispiel per Proxy, verteilt über mehrere Hosts, mit den Opfersystemen verbinden können. Eine eindeutige Rückverfolgung ist somit nicht sichergestellt.

2. Professionalität: Die forensischen Analysen sollen aufgrund der Professionalität des Angriffs angeblich darauf hindeuten, dass die Täter staatlich unterstützt wurden. Heute werden zunehmend sogenannte Advanced Persistent Threats (APTs) verwendet, um nicht nur einzelne Systeme, sondern das gesamte Unternehmensnetzwerk heimlich zu infiltrieren. Der oder die Angreifer versuchen dabei, ihre Spuren so zu verwischen, dass sie möglichst lange unentdeckt bleiben, damit sie sich im Netzwerk ausbreiten und weitere Systeme infizieren können. Dahinter stehen hoch entwickelte Geschäftsmodelle, bei denen Angriffsspezialisten für die Infiltration und die Ausleitung von Daten zuständig sind und Vertriebseinheiten die erbeuteten Daten verkaufen. Somit kommen nicht nur staatlich gesponserte Gruppen, sondern auch private Unternehmen in Betracht.

3. Motivation: Nach jüngsten Erkenntnissen des Stahlkonzerns galt der Angriff dem Diebstahl von technischem Knowhow, wie zum Beispiel streng vertraulichen Bauplänen für Anlagen und Gebäude. Den Angreifern ist es gelungen, Informationen in Form „einiger Datensätze“ aus dem Firmennetz auszuleiten. Hinweise auf Sabotage oder Datenmanipulation, wie bei Ransomware-Angriffen üblich, wurden nicht entdeckt. Sensible Bereiche wie Kraftwerke, Hochöfen und die für den U-Boot-Bau zuständige Sparte Marine Systeme seien nicht betroffen.

Die Untersuchungen des Angriffs, der über ein halbes Jahr anhielt, sind noch nicht abgeschlossen. In den nächsten Tagen wissen wir mehr, denn ein Reporter der Wirtschaftswoche hatte die Möglichkeit, die Abwehrschlacht der ThyssenKrupp zu begleiten. 

Observe, Orient, Decide and Act

Die Umstände die zur Entdeckung geführt haben sind nicht näher bekannt. Allerdings sollen sich die Angreifer nicht direkt selbst verraten haben und nahezu perfekt getarnt gewesen sein. Wie ist es also gelungen hier deutlich erfolgreicher zu sein, als die meisten anderen Unternehmen in einer ähnlichen Situation? ThyssenKrupp gibt dazu an, man habe eine Stecknadel im Heuhaufen gefunden, weil man aktiv danach gesucht habe und Anomalien konsequent nachgehe. Das heißt, hier sind Angreifer wahrscheinlich nicht durch herkömmliche präventive Schutzmaßnahmen oder konventionelle Methoden zur Angriffserkennung aufgefallen.

Stattdessen wurde hier wohl eine Technik verwendet, die auch als Cyber Adversary Hunting oder Cyber Threat Hunting bezeichnet wird. Man nimmt an, dass eine Infiltration bereits stattgefunden hat und versucht, dem Angreifer auf die Spur zu kommen, indem man nach Anomalien im Netzwerkverkehr, im System- oder Benutzerverhalten sucht. Die Entscheidung, die aufgenommene Spur konsequent zu verfolgen und den Ablauf des Angriffs zu beobachten, um sich eine Strategie zur nachhaltigen Bekämpfung der Angreifer zurechtzulegen, diese über sechs Monate zu folgen und sie dann gezielt umzusetzen, ohne zwischenzeitlich in blindem Aktionismus den Stecker zu ziehen und damit die Spur des Angreifers zu verlieren, lässt auf eine ausgereifte Incident Response Strategie schließen.

Bewährte Vorgehensmodelle unterscheiden hier zwischen einer Immediate Response und einer Later Response – also einer sofortigen Reaktion zum Stoppen und Eindämmen des Angriffs und einer längerfristigen Reaktion zur Beseitigung der Folgen eines Sicherheitsvorfalls. Ähnlich wie Angreifer zielgerichtet ein Unternehmen auf Schwachstellen untersuchen, diese ausnutzen, sich lateral ausbreiten und schließlich Daten ausleiten, hat das Security Incident Response Team (SIRT) von ThyssenKrupp ebenso zielgerichtete auf den beobachteten Angriff reagiert.

Vielleicht können dieser Angriff und die darauf folgenden Maßnahmen einmal als Praxisbeispiel für erfolgreiches Security Incident Management dienen. Vielleicht wird sich aber auch zeigen, dass eine große Portion Glück dabei war. Eins ist aber jetzt schon sicher: Der Angriff auf ThyssenKrupp bleibt kein Einzelfall und nicht nur milliardenschwere Konzerne sind davon betroffen. Auch mittelständische Unternehmen werden sich vermehrt damit auseinandersetzen müssen, wie sie auf ähnlich geartete Fälle reagieren würden und sich dafür rüsten können.

Andreas Günther, Cyber Security Analyst, iT-CUBE SYSTEMS & Matthias Röhr, Lead Consultant, iT-CUBE SYSTEMS

www.it-cube.net
 

 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.