Missing Link: Wie ein Unternehmen bei einem Cyberangriff die Kontrolle verlor
Eigentlich fühlt sich der IT-Chef recht sicher. Bis Hacker mitten am Tag in die Firma marschieren – und unbehelligt wieder raus. Die Beute: volle Kontrolle.
Auf einen physischen Angriff war das Unternehmen nicht vorbereitet.
(Bild: heise online/Midjourney)
"Servus", grüßt er am Eingang. Dieser Tag wird ein guter für Immanuel Bär werden. Das Firmengelände kennt er von Satellitenaufnahmen, das Gebäude nur von außen. Tagsüber ist er zum ersten Mal hier. Zielstrebig und ohne, dass ihn jemand aufhält, geht er am Empfang vorbei und stößt die Tür zu einem Konferenzraum auf. "Guten Morgen, wir müssen hier mal kurz was überprüfen", sagt er zu einem Mitarbeiter. Ja, kein Problem, lautet die Antwort. Sekunden später ist Bär mit einem Firmennetzwerk verbunden und hat die ersten Daten auf seinem Bildschirm.
Der Angestellte tippt weiter auf seiner Tastatur und lässt den Fremden mit Laptop und LAN-Kabel auf dem Arm arbeiten. Zwischenzeitlich beantwortet er hilfsbereit die eine oder andere Frage. Was er nicht ahnt: Immanuel Bär ist weder ein Kollege noch soll er etwas an der IT-Infrastruktur überprüfen. Der höflich-souveräne Mann mit dem gemusterten Hemd ist ein Einbrecher. Sein Begehren: die volle Kontrolle der Unternehmens-IT. Sein Vorgehen: riskant. Dreist. Im laufenden Betrieb. Seine Aktion: ein voller Erfolg.
(Bild: heise online/Midjourney)
Der Eingang
Immanuel Bär arbeitet für Prosec, eine Cyber-Security-Firma aus Deutschland. Was er an diesem Tag in der Firma eines Kunden aus Österreich zeigt, ist eine Nachstellung für die Presse. Wenige Wochen zuvor wuchs die echte Aktion zum Beinahe-Albtraum des IT-Verantwortlichen Gustav Schneider, der eigentlich anders heißt. Einziger Trost: Bär und seine Kollegen waren als White-Hat-Hacker auf Einladung Schneiders da, um etwaige Sicherheitslücken zu entdecken. "Ich habe ihnen eine Du-kommst-aus-dem-Gefängnis-frei-Karte gegeben", sagt Schneider. "Sie sollten alles mitnehmen, was möglich wäre – außer mir wusste niemand Bescheid, nicht einmal die Geschäftsleitung." Das Ausmaß der Beute erschüttert Schneider. "Ich habe schon damit gerechnet, dass sie vielleicht in eines unserer Netzwerke kommen. Aber dass sie uns so aufs Kreuz legen, habe ich nicht für möglich gehalten", erklärt er bedrückt.
Und auch beim zweiten Anlauf erweckt Immanuel Bär – nun in Presse-Begleitung – kein Misstrauen. Er sichert die Namen von mehr als 276 Devices, den Zugang zur Zeiterfassung und einige Herstellerinformationen auf seinem Rechner, räumt zusammen und bedankt sich bei dem Mitarbeiter im Konferenzraum. Dass zwei Menschen mit einer Kamera den Fremden begleiten, scheint den Angestellten nicht zu irritieren. Bär macht sich auf den Weg, weitere Informationen zu beschaffen. Sein Ziel: Domain-Admin-Rechte. Am Ende des Tages wird das Team mehrfach im Unternehmen ein und aus gegangen sein, mehrere Dienstwagen gestohlen sowie die IT aus ihrem eigenen System ausgesperrt haben und am Abend mit der totalen Kontrolle über das Firmensystem den Laptop zu klappen.
Die Teeküche
(Bild: heise online/Midjourney)
Bär geht weiter in den Verwaltungstrakt, grüßt entgegenkommende Menschen, wirft einen Blick in die offenen Postfächer neben offenstehenden Bürotüren. In der Teeküche findet er einen Drucker. Den Kolleginnen vor Ort sagt er: "Lassen Sie sich nicht stören, ich muss nur kurz was überprüfen." Bär findet alte Druckaufträge, kann die Kontakte über "per Mail an mich selbst senden" auslesen. Aus dem Mülleimer neben dem Drucker zieht er flüchtig zusammengeknüllte Maschinendaten. "Zerknülltes und Zerrissenes ist immer am interessantesten", sagt er, steckt die Unterlagen ein und geht weiter.
"Vor acht Jahren haben wir 35.000 Euro in einen Antivirenschutz investiert und das war die Security", holt Gustav Schneider aus. Das reiche inzwischen bei Weitem nicht mehr. "Letztes Jahr waren es 380.000 Euro, dieses Jahr 500.000 Euro." Die Firma habe zu Beginn besonders intensiv auf Awareness gesetzt, Mitarbeitenden Phishing-Mails geschickt, aufgeklärt, geübt. "Letztes Jahr haben wir dann in der Hard- und der Software den äußeren Ring gestärkt, meine Mannschaft war's satt'", berichtet Schneider. "Viele hatten die Einstellung, uns könne nun nichts mehr passieren." Um das zu testen, beauftragt Schneider die Security-Firma für einen Penetration-Test. Das Unternehmen ist gut gerüstet, denkt er, viel kann nicht passieren. Wenig später stellt sich heraus: Schneider hat sich getäuscht. Und zwar gewaltig.
Das Vertrauen
Bär und sein Team haben im Vorfeld die größte Schwachstelle des Unternehmens entdeckt, die er nun schamlos ausnutzt: Virtuell sei die Firma gut gegen Angreifer gerüstet – das Werksgelände vor Ort hat jedoch nicht einmal einen Zaun. In der Gegend begegneten sich die Menschen offen, es herrsche gegenseitiges Vertrauen, erklärt Schneider das ungesicherte Firmengelände. Auf einen Angriff von Innen ist die IT nicht vorbereitet. "Wir haben ein bis zwei Tage geplant, das Firmengelände gecheckt, geschaut, von wo wir kommen können", erläutert Bär. Besonders verwundbar sei etwa ein Anbau. "Oft ist das Schließsystem dann hinfällig."
Weitere Infos zieht sich das Team aus Social-Media-Posts. Systematisch suchen sie nach Fotos und Videos, auf denen ein Druckertyp zu erkennen ist, ein Namensschild erscheint oder ein Besucherausweis zu sehen ist. "Gibt es eine Mitarbeitendenveranstaltung, eine Raucherecke, einen Lieferanteneingang, wo steht oft eine Tür offen?", zählt Bär auf. "Oft fällt ein Unternehmen durch einen Holzkeil in der Tür." Auch den Müll durchsuchte das Team in einem heimlichen Moment. "Zeig mir deinen Müll und ich zeige dir deine Identität." Unter anderem in einem Video über eine Veranstaltung aus der Corona-Pandemie werden Bär und sein Team fündig. Zum Tag X haben sie ein Klemmbrett mit dem Herstellerlogo von Druckern dabei, gefälschte Besucherausweise, Warnweste und LAN- bzw. Druckerkabel.
