YB - stock.adobe.com
Was passiert wirklich bei einer Cyberattacke?
Wenn ein Unternehmen angegriffen wurde, ist häufig gar nicht klar, was genau passiert ist. Social Engineering? Ausgenutzte Schwachstelle? Hier beginnt die Ermittlungsarbeit.
Ein Unternehmen wurde gehackt – und die Medien sind voll von Berichten über erfolgreiche Attacken. Doch meist ist am Anfang in nicht offensichtlich, was wirklich im Detail passiert ist. Schließlich ist die Angriffsfläche bei Unternehmen groß und Angreifer können mannigfaltige Wege wählen, um ihr Ziel zu erreichen. Hier beginnt die akribische Ermittlungsarbeit von Cyberexperten: Was ist passiert? Wie kam es zu dem erfolgreichen Angriff und welche Gegenmaßnahmen sind erforderlich?
Der Fall
Die Handwerksmeisterei, ein Fertigungsbetrieb, bestellt Schrauben bei der Schraubenhuber AG. Obwohl der geschilderte Fall real ist, sind beide Namen – man könnte es vermuten – fiktiv. Nachdem die Schraubenhuber AG ihre Ware geliefert und die Rechnung geschickt hat, wundert sie sich, dass keine Zahlung eingegangen ist, und erkundigen sich bei ihrem Kunden. Die Handwerksmeisterei beteuert, die Überweisungen getätigt zu haben – und zwar auf das neue Bankkonto der Schraubenhuber AG. Von Schraubenhuber hatten sie eine E-Mail erhalten: „Leider können wir kein Geld mehr auf unserem deutschen Konto erhalten. Bitte schicken Sie das Geld jetzt an unser neues, britisches Konto.“ Tatsächlich hat der Schraubenhersteller eine solche Nachricht nie verschickt. Hier nehmen die Cyberexperten die Fährte auf.
Die Ermittlung
Erst einmal geht es darum, die Lage zu verstehen. Im beschriebenen Fall wurden zunächst die eingegangenen E-Mails und deren Quelltext analysiert. Es konnte auf Anhieb kein Indicator of Compromise (IoC) gefunden werden. Die Dokumente und E-Mails bei der Handwerksmeisterei sahen legitim aus. Die einzige Abweichung im Verlauf war das britische Konto. Daraus ließ sich schließen, dass der Bedrohungsakteur Zugriff auf die echten E-Mails bei der Schraubenhuber AG gehabt haben muss.
Außerdem konnte festgestellt werden, dass die E-Mails von einer echten E-Mail-Adresse der Schraubenhuber AG an den Kunden geschickt wurden. Der Threat Actor hat die E-Mails also entweder gespoofed – das ist eine Angriffstechnik, bei der sich Cyberkriminelle Zugang verschaffen, indem sie eine vertrauenswürdige Identität vortäuschen – oder von einem gehackten Postfach geschickt. So konnten die Täter sich unbemerkt in den E-Mail-Verkehr einschalten. Die echten Antworten der Schraubenhuber AG sind zudem entweder nie bei dem Kunden angekommen oder gelöscht worden.
Außerdem gab es weitere Hinweise auf eine Manipulation des Nachrichtenverlaufs: So ergab eine genauere Analyse, dass die E-Mail, anders als sonst, nicht von einem Microsoft Server verschickt wurde, sondern von websitewelcome.com und webhostbox.net. Außerdem wurde die Reply-To-Zeile manipuliert und lautete schließlich „Reply-To: Schraubenhuber AG [email protected]“, hier mit zwei „f“ statt einem geschrieben. Damit wurden die Antworten umgelenkt und sind Nachrichten nicht bei dem eigentlich beabsichtigten Absender gelandet, sondern bei den Hackern, wodurch die Mitarbeitenden der Schraubenhuber AG sich nichtsahnend lediglich nach einiger Zeit wunderten, dass die Zahlungen des Kunden auf sich warten ließen.
Im Normalfall würden SPF-Regeln (Sender Policy Framework) gegen solch ein Vorgehen schützen. Allerdings konnte festgestellt werden, dass diese vom Kunden nicht angewendet wurden, obwohl die Schraubenhuber AG diese richtig konfiguriert hatte.
Die Auflösung
Was genau ist passiert? Die Ermittlungen ergaben, dass es sich bei diesem Sicherheitsvorfall um einen klassischen Fall von Business E-Mail Compromise (BEC) handelt. Dies ist eine Methode des Cyberbetrugs, in der Cyberkriminelle E-Mails nutzen, um geschäftsentscheidende Daten abzugreifen oder Finanztransaktionen unbemerkt unter ihre Kontrolle zu bringen. Die Angreifer gehen dabei meist sehr geschickt vor und machen es Anwendern extrem schwer, den Angriff als solchen zu erkennen. So geben sich Cyberkriminelle als Finanzabteilung eines Kunden oder Partners aus, um Mitarbeitende per E-Mail dazu zu bringen, Geld auf ein falsches Konto zu überweisen. Erscheint die Anfrage berechtigt – man stand ohnehin schon mit dem Zulieferer in Kontakt, die E-Mail-Adresse sah auf den ersten Blick auch legitim aus – vermuten die Mitarbeitenden keinen Betrug und entsprechen der Aufforderung – wie auch in diesem Fall.
Häufig werden außergewöhnliche Ereignisse wie Bankpleiten von Hackern für entsprechende Attacken ausgenutzt. Doch auch jedes kleine oder mittelständische Unternehmen kann zum Opfer werden – insbesondere dann, wenn in Krisenzeiten die Unsicherheit der Belegschaft groß ist. Dann wächst die Wahrscheinlichkeit, sich zu unüberlegten oder vorschnellen Handlungen verleiten zu lassen, und entsprechend häufen sich erfolgreiche BEC- und Social-Engineering-Angriffe.
Was tun?
Weil nach ausgiebiger Analyse in diesem Fall keine weiteren Kompromittierungen wie die Ausnutzung einer Schwachstelle erkannt und die Unversehrtheit weiterer Systeme bestätigt wurden, mussten keine akuten Security-Maßnahmen getroffen werden. Die Geschädigten können versuchen, die Überweisungen zurückzubuchen. Das ist vielfach jedoch nicht möglich, weil die Kriminellen Vorkehrungen treffen und die Gelder schnell weitertransferieren.
Um sich jedoch gegen zukünftige BEC-Fälle zu schützen, sollten Unternehmen für die eigene Domain starke SPF-Regeln erstellen. Dabei sollte die Prüfung der SPF-Regeln durchgespielt und für fremde Domains angewendet werden (siehe auch Schutz vor Phishing mit SPF, DKIM und DMARC).
„Generell gilt: Alle verdächtigen Aktivitäten sollten lückenlos an den oder die Sicherheitsverantwortlichen des Unternehmens zur Überprüfung gemeldet werden.“
Fabian Lochmann, Arctic Wolf
Außerdem sollten sowohl Mitarbeitende als auch Geschäftspartner für Cyberrisiken sensibilisiert und zu Vorsichtsmaßnahmen animiert werden: Wenn wichtige Daten wie Bankkonten oder Ansprechpartner geändert werden sollen, sollten sie sich unbedingt per Anruf bei einer bekannten und berechtigten Person rückversichern, dass die geschickten Aufforderungen legitim sind. Zudem ist Wachsamkeit geboten im „An-Feld“ von E-Mails beziehungsweise dem „Reply-To-Header“. Kleine Abweichungen können schnell übersehen werden. Und generell gilt: Alle verdächtigen Aktivitäten sollten lückenlos an den oder die Sicherheitsverantwortlichen des Unternehmens zur Überprüfung gemeldet werden.
Unterstützung einbeziehen
Genau das ist häufig jedoch das Problem: Viele haben keine eigenen Sicherheitsexperten im Haus. Der Markt an IT-Security-Experten ist hart umkämpft und die Beschäftigung qualifizierter Fachkräfte teuer. Stattdessen sind Generalisten beschäftigt, die breit aufgestellt sind und viele Aufgabenbereiche der IT abdecken. Im Falle eines akuten Angriffs mitsamt Ermittlungsarbeiten und schneller Gegenmaßnahmen sind diese Teams – oder Einzelkämpfer – verständlicherweise überfordert. Die Angriffe werden immer raffinierter, die IT-Infrastrukturen komplexer. Daher kann es sinnvoll sein, sich als Unternehmen für die IT-Security externe Unterstützung zu holen. Spezialisierte Security-Partner stellen Cyberexperten, Know-how und die Technologie bereit, um nicht nur im Falle eines akuten Sicherheitsvorfalls zu intervenieren, sondern auch um die IT-Sicherheitslage des Unternehmens langfristig in enger Zusammenarbeit mit deren Expertenteams zu verbessern.
Doch egal ob intern oder mit einem externen Partner: Wachsamkeit und das Bewusstsein immer am „kriminellen Puls der Cybergangster“ bleiben zu müssen, sind entscheidend, um nicht selbst zu einem True-Cyber-Crime-Fall zu werden.
Über den Autor:
Fabian Lochmann ist Manager Security Services bei Arctic Wolf und SOC- sowie Cyber-Defense-Experte.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
