«Absolute Sicherheit gibt es im Cyber-Bereich einfach nicht»

«Absolute Sicherheit gibt es im Cyber-Bereich einfach nicht»

4. April 2020 - Einer der grössten und folgenschwersten Cyber-Angriffe der Schweizer Wirtschaft betraf im Sommer 2019 das Haustechnik-Unternehmen Meier Tobler. Der CIO des Unternehmens schildert den Fall, die Learnings und zieht Parallelen zur heutigen Corona-Krise.
Artikel erschienen in IT Magazine 2020/04
In den letzten Jahren und Monaten las und hörte man regelmässig von Schweizer Unternehmen, die von Cyber-Angriffen heimgesucht wurden. Massgeblich unterscheiden sich aber die Kommunikationsstrategien während und nach den Angriffen. Sehr offen kommuniziert und daher medial recht präsent war unter anderem der Fall Meier Tobler: Das Unternehmen für Haustechnik wurde im Sommer 2019 Opfer einer schwerwiegenden Ransomware-Attacke, die massiven Schaden anrichtete und das Unternehmen für mehrere Tage handlungsunfähig machte. Im Gespräch geht Claude Urbani, seit September 2019 CIO bei Meier Tobler, tiefer auf den Breach und dessen Folgen ein und erklärt, wie es das Unternehmen, das rund 1300 Mitarbeiter beschäftigt, aus der Krise geschafft hat und wo die Stolpersteine auf diesem Weg lagen.

Wie im Krimi

Zuerst aber eine Rekonstruktion des Falls: Zu einem noch immer unbekannten Zeitpunkt verschaffen sich Hacker, wohl über Phishing-Mails, den Zugang zur IT-Umgebung von Meier Tobler. Damit ist das Tor zur Umgebung des Unternehmens geöffnet. Daraufhin werden die Zugangsdaten im Dark Net gehandelt und schliesslich auch gekauft. Heute nachvollziehbar ist, dass seit 2018 E-Mails gesammelt wurden. Offenbar eine Vorbereitung auf das Spear- und Dynamit-Phishing, also sehr gezieltes E-Mail-Phishing, das exakt auf das Opfer zugeschnitten ist.

Ab April 2019 verschickt sich der eingeschleuste Trojaner Emotet schliesslich selbst als Teil modifizierter, vergangener E-Konversationen. Emotet ist nur schwer zu erkennen, da er im Wochentakt mutiert und sich geschickt versteckt. Im Fall Meier Tobler passiert der entscheidende Fehler dann mit einer E-Mail: Der betroffene Mitarbeiter kennt den Absender, die E-Mail bezieht sich direkt auf seine Arbeit, die Signatur in der E-Mail scheint glaubwürdig – damit ist die E-Mail nur äusserst schwer als Gefahr erkennbar. Im Anhang – einem Word-File – ist dann wahrsten Sinne des Wortes der Wurm drin. Nachfolgend wird von den Angreifern das Angriffswerkzeug Cobalt Strike geladen, welches eine solide Operationsbasis für den Angriff legt und eine Verbreitung im Firmennetzwerk ermöglicht. Zum Schluss folgt die Verschlüsselungs-Software namens Mega Cortex und verschlüsselt massgebliche Teile der IT-Umgebung. Verschont werden wenigstens das ERP-System und die Back­ups. Damit sind zwei essenzielle Punkte schnell klar: Zum einen sind keine Kundendaten betroffen, zum anderen würden die ­Backups zurückgespielt werden können.
 
Seite 1 von 5

Neuen Kommentar erfassen

Anti-Spam-Frage Wieviele Zwerge traf Schneewittchen im Wald?
Antwort
Name
E-Mail
SPONSOREN & PARTNER