Sie kommen am Montagmorgen nach einem erholsamen Wochenende zurück ins Büro und stellen fest: Ihr ganzes Unternehmen steht still – ein Hackerangriff. Wüssten Sie, was zu tun ist?
In den Medien lesen wir regelmässig von grösseren Firmen, die es erwischt hat. Hackerangriffe betreffen aber nicht nur die grossen Fische, sondern auch KMUs. Selbst bei gut geschützten Netzwerken lassen sich Möglichkeiten finden, um einzudringen.
Wir bei iTrust können zwei solche Hackerangriff-Geschichten von KMUs erzählen. Sie erfahren mehr über die Masche der Hacker, unser Vorgehen nach dem Angriff und was Sie daraus lernen können.
Fall 2: Brute-Force-Angriff: Der «Passwort-Aufdecker»
Das Schweizer Handelsunternehmen diga möbel ag mit über 150 Mitarbeitenden war zum Zeitpunkt des Hackerangriffs erst seit kurzer Zeit unser Kunde. Wir waren mitten in der Analysephase, als wir direkt von 0 auf 100 starten mussten. Achtung: Brute-Force-Angriff.
Brute-Force-Angriff: So kam es dazu
Hö? Ein Brute-was?
Bei der Brute-Force-Methode versucht der Angreifer das Passwort zu erraten, um sich dadurch Zugriff auf die Daten zu verschaffen. Dadurch werden wahllos verschiedene Buchstabenfolgen oder Zeichenketten automatisiert ausprobiert.
In unserem Fall wurde ein Admin-Passwort aufgedeckt. Dadurch hatte der Angreifer viele Zugriffsberechtigungen und nutzen diese, um alle Daten zu verschlüsseln und dadurch unbrauchbar zu machen.
Das passierte an einem Samstag und dadurch hatte das eingeschleuste Crypto-Virus das ganze Wochenende Zeit, Schaden anzurichten. Als die Mitarbeitenden am Montag ins Büro kamen, funktionierte nichts mehr. Das Unternehmen war lahmgelegt.
Richtig handeln bei Brute-Force-Angriff
Grundsätzlich gab es in diesem Fall zwei Möglichkeiten, um zu reagieren:
- Option 1: Ein Backup von vor dem Angriff wiederherstellen
- Option 2: Neuaufbau der gesamten IT
Die Geschäftsleitung der diga möbel ag hat sich für den totalen Neuaufbau entschieden, weil die Backups lückenhaft waren und das Unternehmen ein enormes Entwicklungspotenzial in diesem Bereich sah.
Insgesamt zehn Tage war das Unternehmen komplett ohne funktionsfähige IT und das, obwohl das Unternehmen sofort die richtigen Behörden und Partner einschaltete. Der Wiederaufbau dauerte mehrere Monate. Vielen Firmen hätte ein solcher Ausfall das Genick gebrochen, in diesem Fall konnte sich das Unternehmen erholen. Die Geschäftsleitung hatte eine Versicherung abgeschlossen, die einen Teil des finanziellen Schadens deckte.
Doch der Schock sitzt noch tief in den Knochen. Philipp Diethelm, Managing Director der diga möbel ag, berichtet im iTrust-Talk mit Patrick Müller, wie er den Vorfall wahrgenommen hat:
Mit dem Laden des Videos akzeptierst du die Datenschutzerklärung von YouTube.
Mehr InformationenSicherheitsmassnahmen: So schützen Sie Ihr Unternehmen gegen Hackerangriffe
Welche Learnings nehmen wir aus diesen Geschichten mit?
Schützen Sie Ihr Unternehmen, indem Sie die folgenden Aspekte beachten und entsprechende Massnahmen treffen:
Mitarbeitende sensibilisieren
Es fällt auf, dass die Social-Engineering-Angriffe zunehmen. Der Mensch, als schwächstes Glied im System, wird zum Ziel der Angreifer. Mitarbeitende werden dabei zu einer Handlung aufgefordert, die dem Virus den Weg ins Netzwerk ebnet. Darum ist die Schulung von Mitarbeitenden ein zentraler Punkt. Hier finden Sie eine kurze Checkliste, um die «Alarmglocken» zu trainieren:
- Seien Sie auf der Hut, wenn
- viel Druck ausgeübt wird.
- Ihnen der Anrufer suspekt vorkommt (Sprache, Akzent).
- Stellen Sie Rückfragen, um mehr Informationen zu erhalten.
- Achten Sie bei Mails oder Meldungen auf Schreibfehler.
- Ziehen Sie Ihre IT-Abteilung oder Ihren IT-Partner bei.
Gerade beim letzten Punkt ist entscheidend, dass Sie nicht zu lange zögern. Kommt Ihnen etwas komisch vor, dann überlassen Sie das Feld den Profis.
Sichere Passwörter und Multi-Faktor-Authentifizierung
Die Komplexität der Passwörter ist entscheidend für einen guten Schutz. Das weiss eigentlich die ganze Welt und trotzdem haben diesbezüglich viele Unternehmen noch Luft nach oben. Nur schnell zum Sichergehen: admin1234 ist KEIN sicheres Passwort. 😉
Zusätzlich empfehlen wir eine Multi-Faktor-Authentifizierung, wie Sie das beispielsweise vom E-Banking bereits kennen. Diese mehrstufige Identifizierung erschwert das Leben der Angreifer enorm, da sie im Besitz des Gerätes sein müssen, welches den zeitlich begrenzten «Schlüssel» generiert. Heute wird oft das persönliche Smartphone für die zweite Authentifizierung eingesetzt.
Offline-Backup
Setzen Sie auf ein abgetrenntes Backup, das sich nicht im gleichen Netzwerk befindet, wie die restlichen Daten. So bleibt dieses im Falle eines Angriffs mit grösserer Wahrscheinlichkeit unversehrt.
Firewall härten und Risikoanalyse machen
Eine gute Konfiguration der Firewall ist entscheidend, wie sich auch in unserem Fall 1 zeigte. Vergessen Sie ebenfalls nicht, eine Risikoanalyse zu erstellen und einen Notfallplan auszufeilen. So haben Sie für Notfälle einen Plan in der Schublade.
Hackerangriff: Es kann jeden treffen
IT-Sicherheit? Ein wichtiges Thema. Das zeigen die beiden beschriebenen Fälle. Hackerangriffe können verheerende Folgen haben und sind schnell passiert, wenn Sie Ihr Unternehmen zu wenig schützen. Die totale Sicherheit gibt’s nicht, aber Sie können sich bestmöglich auf allfällige Angriffe vorbereiten.
Denken Sie nicht, dass es genau Sie NICHT treffen wird. Handeln Sie besser früher als später. Sie brauchen Unterstützung dabei? Dann freue ich mich von Ihnen zu hören. Wir helfen Ihnen gerne.
Patrick Müller
Owner & Chairman
Fall 1: Social-Engineering-Angriff: Der «böse» Anrufer
Der erste Fall betraf einen Kunden aus der Finanzbranche. Wir betreuen diesen Kunden schon mehrere Jahre. Es gelten erhöhte Sicherheitsmassnahmen, die wir immer umgesetzt haben. Es wurde viel in die Sicherheit investiert. Trotzdem hat es dieses Unternehmen erwischt – ein Hackerangriff, der zum Glück glimpflich verlief.
Social-Engineering-Angriff: So kam es dazu
Bei einem Social-Engineering-Angriff nutzt der Angreifer das schwächste Glied im System aus – den Menschen. In unserem Fall bekam die Empfangsdame einen Anruf von einem deutschsprechenden Mann. Er sagte, er habe ein dringendes Paket für den CEO abzugeben. Der Mann sprach den eher komplizierten Namen des CEOs aus, als wäre es das Natürlichste der Welt.
Die Dame am Empfang reagierte sehr dienstleistungsorientiert und fragte: «Gut, was muss ich tun?» Der Anrufer meinte: «Ich sende Ihnen ein Mail und Sie müssen via Link kurz bestätigen, dass das Paket dem CEO zugeschickt werden kann.»
Das seriös wirkende Mail war schnell im Posteingang der Empfangsdame, die dann auf einen Link klickte. Es öffnete sich ein Google-Dokument – und in diesem Moment hatte sie die Schadsoftware bereits unbewusst installiert.
Anschliessend bekam die Frau immer wieder sehr suspekt wirkende Meldungen für Windows-Updates auf ihrem PC. Sie wurde unsicher und machte genau das Richtige: Sie rief den IT-Partner an, in diesem Fall uns. Sofort war ein IT-Spezialist von uns zur Stelle.
Richtig handeln bei Social-Engineering-Angriff
Erster Schritt: Computer vom Netzwerk trennen. Unser ICT Engineer Tom Erhart zog das Netzwerk-Kabel, liess den Virenschutz über den PC laufen und schaute sich die Firewall an. Schnell war klar: Es handelt sich tatsächlich um einen Hackerangriff.
Wir haben sofort unsere Partnerfirma ins Boot geholt – eine Forensikfirma, die sich auf Hackerangriffe spezialisiert hat. Die gemeinsame Analyse hat gezeigt, dass das Virus zum Glück nicht im ganzen Firmennetzwerk verteilt wurde. Nur der Computer der Empfangsdame war «befallen».
Zu verdanken ist das unserem Spezialisten Daniel Bosshard, der die Firewall im Vorfeld entsprechend konfiguriert hatte. So wurden ausgehende Anfragen, die nicht klar zugewiesen werden können, automatisch geblockt. Das Virus konnte sich darum nicht weiter ausbreiten.
Bei vielen KMUs ist eine solche Konfiguration nicht Standard. Das ist eine erhöhte Sicherheitsstufe, die sich aber lohnen kann, wie dieser Fall zeigt.
Der Spuk war somit schnell vorbei. Der betroffene Computer wurde neu aufgesetzt und damit war das Problem, ohne grossen Schaden zu verursachen, behoben. Das ist aber nicht immer so, wie unser zweiter Fall beweist.