SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

EuroCIS 2018
27.02.18 - 01.03.18
In Düsseldorf, Messe Halle 9 und 10

BIG DATA Marketing Day
27.02.18 - 27.02.18
In Wien

AUTOMATE IT 2018
01.03.18 - 01.03.18
In Hamburg, Schwanenwik 38

DIGITAL FUTUREcongress
01.03.18 - 01.03.18
In Frankfurt, Messe

HackerWenige Tage nach dem breit angelegten Angriff auf ein bestimmtes Routersystem, das unter anderem auch die Telekom einsetzt, erschüttert der nächste Sicherheitszwischenfall die Medien. Bei der von ThyssenKrupp gemeldeten Cyber-Attacke gelang es sehr gut organisierten Angreifern, das Netzwerk des bekannten Stahl-Giganten zu infiltrieren. 

Angreifer drangen in das Netzwerk des Konzerns ein, um an strategisch relevanten Systemen Hintertüren einzubauen, die zur anschließenden Ausleitung unternehmenskritischer Daten dienen sollten. „Just another data breach“ könnte man meinen, doch obwohl bisher keine Details zu den verwendeten Angriffsvektoren und Methoden bekannt sind, ist der Fall höchst interessant. Zum einen ist es zunächst einmal nicht selbstverständlich, dass Konzerne an die Öffentlichkeit gehen, wenn sie erfolgreich angegriffen wurden. ThyssenKrupp hat dies getan, ohne unmittelbar dazu gezwungen zu sein. Die nächste Besonderheit besteht darin, dass es der Cyber-Abwehr des Konzerns gelungen ist, den Angriff, der wohl bereits im Februar begann, in einer frühen Phase zu entdecken, nämlich bereits im April. Zwei Monate sind eine lange Zeit, könnte man meinen. Aber oft vergehen mehrere hundert Tage, bevor Infiltration und Datendiebstahl aufgedeckt werden.

Den IT-Sicherheitsexperten des Konzerns sind bereits im Frühjahr Anomalien aufgefallen, denen sie konsequent nachgingen. Jedoch wurden die Angreifer nicht direkt aus dem Firmennetz ausgesperrt, sondern es folgte eine sechsmonatige Abwehrschlacht, die wir so bisher nur selten beobachten konnten.

Angreifer im Profil

ThyssenKrupp gab bekannt, dass die ersten Angriffe bereits im Februar stattfanden, jedoch erst im April durch mehrfache gescheiterter Serveranmeldungen entdeckt wurden. Kann man sicher sagen, wer die Täter sind und welche Ziele sie verfolgen?

1. Ursprung: Aufgrund der Zeiten, zu denen die Angriffe durchgeführt wurden, geht das Unternehmen davon es, dass die Angreifer ihren Ursprung in Südostasien haben. Eine eindeutige Rückverfolgung der Angreifer ist jedoch nur in seltenen Fällen möglich, da sich die Täter zum Beispiel per Proxy, verteilt über mehrere Hosts, mit den Opfersystemen verbinden können. Eine eindeutige Rückverfolgung ist somit nicht sichergestellt.

2. Professionalität: Die forensischen Analysen sollen aufgrund der Professionalität des Angriffs angeblich darauf hindeuten, dass die Täter staatlich unterstützt wurden. Heute werden zunehmend sogenannte Advanced Persistent Threats (APTs) verwendet, um nicht nur einzelne Systeme, sondern das gesamte Unternehmensnetzwerk heimlich zu infiltrieren. Der oder die Angreifer versuchen dabei, ihre Spuren so zu verwischen, dass sie möglichst lange unentdeckt bleiben, damit sie sich im Netzwerk ausbreiten und weitere Systeme infizieren können. Dahinter stehen hoch entwickelte Geschäftsmodelle, bei denen Angriffsspezialisten für die Infiltration und die Ausleitung von Daten zuständig sind und Vertriebseinheiten die erbeuteten Daten verkaufen. Somit kommen nicht nur staatlich gesponserte Gruppen, sondern auch private Unternehmen in Betracht.

3. Motivation: Nach jüngsten Erkenntnissen des Stahlkonzerns galt der Angriff dem Diebstahl von technischem Knowhow, wie zum Beispiel streng vertraulichen Bauplänen für Anlagen und Gebäude. Den Angreifern ist es gelungen, Informationen in Form „einiger Datensätze“ aus dem Firmennetz auszuleiten. Hinweise auf Sabotage oder Datenmanipulation, wie bei Ransomware-Angriffen üblich, wurden nicht entdeckt. Sensible Bereiche wie Kraftwerke, Hochöfen und die für den U-Boot-Bau zuständige Sparte Marine Systeme seien nicht betroffen.

Die Untersuchungen des Angriffs, der über ein halbes Jahr anhielt, sind noch nicht abgeschlossen. In den nächsten Tagen wissen wir mehr, denn ein Reporter der Wirtschaftswoche hatte die Möglichkeit, die Abwehrschlacht der ThyssenKrupp zu begleiten. 

Observe, Orient, Decide and Act

Die Umstände die zur Entdeckung geführt haben sind nicht näher bekannt. Allerdings sollen sich die Angreifer nicht direkt selbst verraten haben und nahezu perfekt getarnt gewesen sein. Wie ist es also gelungen hier deutlich erfolgreicher zu sein, als die meisten anderen Unternehmen in einer ähnlichen Situation? ThyssenKrupp gibt dazu an, man habe eine Stecknadel im Heuhaufen gefunden, weil man aktiv danach gesucht habe und Anomalien konsequent nachgehe. Das heißt, hier sind Angreifer wahrscheinlich nicht durch herkömmliche präventive Schutzmaßnahmen oder konventionelle Methoden zur Angriffserkennung aufgefallen.

Stattdessen wurde hier wohl eine Technik verwendet, die auch als Cyber Adversary Hunting oder Cyber Threat Hunting bezeichnet wird. Man nimmt an, dass eine Infiltration bereits stattgefunden hat und versucht, dem Angreifer auf die Spur zu kommen, indem man nach Anomalien im Netzwerkverkehr, im System- oder Benutzerverhalten sucht. Die Entscheidung, die aufgenommene Spur konsequent zu verfolgen und den Ablauf des Angriffs zu beobachten, um sich eine Strategie zur nachhaltigen Bekämpfung der Angreifer zurechtzulegen, diese über sechs Monate zu folgen und sie dann gezielt umzusetzen, ohne zwischenzeitlich in blindem Aktionismus den Stecker zu ziehen und damit die Spur des Angreifers zu verlieren, lässt auf eine ausgereifte Incident Response Strategie schließen.

Bewährte Vorgehensmodelle unterscheiden hier zwischen einer Immediate Response und einer Later Response – also einer sofortigen Reaktion zum Stoppen und Eindämmen des Angriffs und einer längerfristigen Reaktion zur Beseitigung der Folgen eines Sicherheitsvorfalls. Ähnlich wie Angreifer zielgerichtet ein Unternehmen auf Schwachstellen untersuchen, diese ausnutzen, sich lateral ausbreiten und schließlich Daten ausleiten, hat das Security Incident Response Team (SIRT) von ThyssenKrupp ebenso zielgerichtete auf den beobachteten Angriff reagiert.

Vielleicht können dieser Angriff und die darauf folgenden Maßnahmen einmal als Praxisbeispiel für erfolgreiches Security Incident Management dienen. Vielleicht wird sich aber auch zeigen, dass eine große Portion Glück dabei war. Eins ist aber jetzt schon sicher: Der Angriff auf ThyssenKrupp bleibt kein Einzelfall und nicht nur milliardenschwere Konzerne sind davon betroffen. Auch mittelständische Unternehmen werden sich vermehrt damit auseinandersetzen müssen, wie sie auf ähnlich geartete Fälle reagieren würden und sich dafür rüsten können.

Andreas Günther, Cyber Security Analyst, iT-CUBE SYSTEMS & Matthias Röhr, Lead Consultant, iT-CUBE SYSTEMS

www.it-cube.net
 

 
GRID LIST
Tb W190 H80 Crop Int 55506f221ab84cba05d05865a12ffc34

Sicherheit in der „Smart City“ – worauf es ankommt

Technologien verändern unseren Alltag, das zeigt ein kurzer Blick auf die Kommunikation:…
Tb W190 H80 Crop Int 30fc4f90cd196143425331ec53049b63

Cyberkriminalität: "Den Menschen in den Mittelpunkt stellen"

Gemeinsam gegen Cyberkriminelle: Das Land Nordrhein-Westfalen intensiviert die…
Tb W190 H80 Crop Int 06f6eb4c29171a4441de1ba66103d83b

Cryptomining-Kampagne mit Jenkins Server entdeckt

Check Point Software Technologies Ltd. (NASDAQ: CHKP), entdeckt riesige…
Cyber Attack

Wenn Angreifer Admin-Tools für Cyberattacken missbrauchen

Eine der schwierigsten Aufgaben bei der Suche nach versteckten Angreifern im Netzwerk…
Tb W190 H80 Crop Int 7c77460484978a4728239d15bea143e1

Malware über Zero-Day-Schwachstelle in Telegram

Die Sicherheitsexperten von Kaspersky Lab haben Angriffe aufgedeckt, die mittels einer…
Tb W190 H80 Crop Int 18b7ca49e8f858989fae8325fe356d18

PZChao: Spionage-Infrastruktur mit Cryptominer

Der Malware-Werkzeugkasten „PZChao“, verfügt über eine umfassende Infrastruktur zur…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security