Dass die Cyberbedrohung für Unternehmen immer weiter zunimmt, rückt mittlerweile auch bei KMU‘s immer stärker ins Bewusstsein. Dabei wird auch immer mehr Unternehmern klar, dass die Mitarbeitenden oft die größte Schwachstelle darstellen – oft unfreiwillig und unabsichtlich. Dies liegt vor allem daran, dass Kriminelle gezielt mit Social Engineering Mitarbeiter manipulieren.
Die Schäden für Unternehmen sind häufig groß, nicht zuletzt dadurch, da sich Betroffene schämen und ihre Erlebnisse nur ungern öffentlich machen. Gegenmaßnahmen können dementsprechend nur verzögert entwickelt und gestartet werden.
Cyberverbrecher haben somit weiterhin leichtes Spiel, da sie ihr Vorgehen nicht anpassen müssen. Hierdurch laufen immer mehr Firmen Gefahr selber Opfer von Angriffen zu werden, da ihren Mitarbeiter die Erkenntnisse aus den Erfahrungen anderer fehlt – ein sehr großes Defizit. Dass es jeden treffen kann, auch vermeintliche Experten, zeigt ein aktueller Fall aus Fernost.
Umstände exemplarisch verdeutlichen
Es gilt die Sensibilität für Cybersicherheit in den verschiedenen Branchen zu stärken, am besten durch genaueres Beleuchten der Vorgänge. So kann eine erfolgreiche Manipulation aussehen – nicht weit von der Realität entfernt:
Es ist ein kalter, grauer Freitagnachmittag im Februar irgendwo in Deutschland. Ein leitender Industrial Control Systems (ICS)-Systemadministrator wartet bereits den ganzen Tag auf den Beginn eines wichtigen Site Acceptance Tests (SAT). Durch die Verzögerung des Tests steigt die Frustration, die Witterung drückt auf das Gemüt und zugleich naht das Wochenende. Dennoch muss das Projekt abgeschlossen werden, nicht zuletzt da es sich um einen Auftrag im Wert von 4 Millionen für ein neues verteiltes Kontrollsystem handelt. Die Abnahmeprüfung hat Anfang Januar begonnen, und das Update des Lieferanten zu den Spezifikationen für den Rack-Raum, in dem der Schrank installiert werden soll, lässt auf sich warten. Die Sehnsucht das Projekt abschließen zu können nimmt immer weiter zu.
Als dann gegen 15:00 Uhr das Telefon klingelt stehen die Chancen nicht schlecht, dass es endlich weitergeht. Der Wunsch nach Wochenende ist Vater der Gedanken. Am anderen Ende der Leitung meldet sich eine selbstbewusste Frau, die sagt, dass sie zum Softwareentwicklungsteam des Dimensional Control System (DCS)-Anbieters gehört. Noch während sie sich vorstellt, bellt im Hintergrund ein Hund. An sich ein harmloses Detail, wenn der Admin nicht ein passionierter Hundeliebhaber wäre.
Gemeinsamkeiten machen (keine) Freunde
Beide kommen über die vermeintliche Tierliebe ins Gespräch, nicht zuletzt, um den Alltagstrott zu überstehen. Das Hundegebell existiert in diesem Zusammenhang nur als YouTube-Video von einer Hundeausstellung, welches als Köder genutzt wird. Dennoch verfehlt es seine Wirkung nicht, ein gewisses Vertrauensverhältnis aufzubauen.
Dieses vorgetäuschte Verhältnis ist entscheidend für die folgenden Schritte: Die DCS-Mitarbeiterin gibt an, dass sie wegen einer E-Mail anruft, die sie an einen Field Service Engineer für das Projekt geschickt und von dem sie noch keine Rückmeldung erhalten hat.
Grundsätzlich sind Menschen in Deutschland hilfsbereit wie aktuelle Studien zeigen. Dementsprechend wird dieses Verhalten gerne ausgenutzt, so auch hier. Denn auf Nachfrage, ob er die Mail erhalten hat, antwortet das Opfer wahrheitsgemäß mit Ja. Die Kriminelle weiß nun, dass sie den richtigen Ansprechpartner hat und treibt ihr Spiel weiter.
Auch Kriminelle machen ihre Hausaufgaben
So behauptet sie, dass sie an einem Softwareproblem arbeitet, das die Version 22 betrifft, welche die SAT des neuen DCS verwendet. Hierfür habe sie gerade ein Firmware-Update durchgeführt und die Einzelheiten per E-Mail geschickt. Der Systemadministrator möge doch bitte nun den Aufforderungen in der E-Mail-Link folgen, um Einzelheiten über das Update und wie das Softwarepaket installiert wird zu erfahren.
Dass der Link, den es anzuklicken hier gilt, auf eine Fake-Website führt, die die Website des Herstellers vortäuscht und Computer sowie Netzwerk infizieren soll, ist vermutlich kaum überraschend. Wird der Aktualisierungsvorgang durchführt, beschädigt der bereitgestellte Code den Open Platform Comunications (OPC)-Server.
Auch wenn die Risiken der Installation neuer Systeme ohne ordnungsgemäße Cybersicherheitsplanung und -tests nicht neu sind, können sie in Kombination mit fortschreitenden Social Engineering-Techniken katastrophale Folgen haben. Das Unternehmen ist den Kriminellen ausgeliefert und muss gewaltige Ressourcen aufwenden, um die Probleme, wenn sie denn zu bewältigen sind, wieder zu beheben. Datenverluste, sowohl von Originalen als auch Back-Ups können hier katastrophale Folgen haben.
Mit den eigenen Daten verantwortlich umgehen
In diesem Beispiel ist die ganze Situation hausgemacht, denn der betroffene Mitarbeiter hatte über die SAT getwittert, und in einer Stellenausschreibung des Unternehmens waren die Spezifikationen des DCS-Anbieters aufgeführt. Das Wissen über seine Vorliebe für Hunde konnte nach einer kurzen Recherche seiner Instagram-Storys und Facebook-Bilder gewonnen werden.
SMS-Phishing, gefälschte Telefonanrufe, Imitationen und Video-Phishing sind zunehmend raffinierte Taktiken, die in gut durchdachten, mehrstufigen Angriffen auf Unternehmen eingesetzt werden. Während die Erkundung von Zielen für Social Engineering-Angriffe Monate dauern kann, können die Entwicklung des Codes für die Malware-Nutzlast und die gefälschten Anlagen gleichzeitig erfolgen. Ist alles vorbereitet, lässt sich ein direkter Angriff auf das Zielunternehmen innerhalb weniger Minuten durchführen. Oftmals müssen Kriminelle nicht einmal sonderlich begabt im Programmieren sein, gewisse Kenntnisse des Darknets reichen aus.
KI – künstlich oder kriminell
Künstliche Intelligenz verschärft das Risiko, welches ICS-Eigentümer und -Betreiber gerade erst zu analysieren und zu messen beginnen. Wie Axios berichtet hat, wird KI beim Social Engineering eingesetzt. Ziel ist es auf Daten im Dark Web zuzugreifen und diese zu analysieren, E-Mails zu schreiben und Stimmen für Telefonanrufe zu kopieren und zu fälschen. Zwischen November 2021 und Oktober 2022 beinhalteten 74 Prozent der Datenlecks ein „menschliches Element durch Fehler, Missbrauch von Privilegien, Social Engineering oder die Verwendung gestohlener Anmeldeinformationen“.
Betreiber, Techniker und Ingenieure von industriellen Prozessen können gleichzeitig davon ausgehen, dass ihre Unternehmen und Prozesse nicht den gleichen Social Engineering-Angriffen ausgesetzt sind, wie sie beispielsweise bei Big-Data-Plattformen wie Social Media vorkommen. Wie das obige Szenario zeigt, verlassen sich Kriminelle auf öffentlich verfügbare Tools und legitime Software in Kombination mit Malware, die in Untergrundforen zum Kauf angeboten wird. So beschreibt z.B. Mandiant spezifische Tactics, Techniques, and Procedures (TTPs), die mit Gruppen wie UNC3944 in Zusammenhang mit kombinierten Social-Engineering-Bemühungen und zusätzlichen Cyberangriffstaktiken stehen.
Social Engineering ist für alle da
Social Engineering und andere Angriffstechniken überschneiden sich zudem immer mehr. Verbrecherische Banden konzentrieren zunehmend auf Firmen, die auf Geschäftsabläufe ausgerichtet sind, welche wenig bis keine Ausfallzeiten tolerieren. Auch Geschäftsmodelle mit Just-in-Time-Fertigung haben sich für sie als lukrativ erwiesen.
Die via Social Engineering verteilte Ransomware und ähnliche Angriffe treffen dementsprechend mittlerweile alle Branchen, darunter Unternehmen aus den Bereichen Fertigung, Einzelhandel, Gesundheitswesen, Lebensmittel und Getränke, Pharmazie, Energie und Wasser.
Generell sollten alle Unternehmen daher eine Reihe von Maßnahmen – nicht nur technischer Art – treffen, um das Risiko zu minimieren, Opfer eines Angriffs zu werden. Dazu gehören unter anderem:
- die Sensibilisierung für E-Mail-Kontakte, -Angebote und -Links,
- die Multifaktor-Authentifizierung,
- die Warnung vor verlockenden oder Angeboten mit überraschend kurzer Laufzeit
- die Aktualisierung von Antiviren- und Intrusion-Detection-Software.
Mehr Bewusstsein für sich und die Welt
Neben diesen grundlegenden Maßnahmen müssen Risikomanagement-Experten, Chief Information Security Officers, Betriebs- und Wartungsleiter ihre Prozesse überprüfen, allgemein und speziell sicherheitstechnisch. Ziel ist es, Schwachstellen in ihrer allgemeinen Sicherheitslage, ihren Plänen und Richtlinien zu identifizieren.
Wo herkömmliche Verteidigungs- und Segmentierungspraktiken durch Social-Engineering-Taktiken unterlaufen werden können, sind zusätzliche Kontrollen und Abgleiche in der Lage den Unterschied zwischen einem erfolgreichen Angriff und einem vereitelten Versuch auszumachen. Die Schulung der Mitarbeiter über den Lebenszyklus von Social Engineering ist ein erster Schritt. Zusätzlich müssen sie darüber unterrichtet werden, wann und wie verdächtige Aktivitäten zu melden sind. Auch wie das Änderungsmanagement und das Genehmigungsverfahren vollzogen werden, muss angepasst werden.
Vor allem aber müssen die Mitarbeiter in den Werken, Fabriken und Prozessen auf etwas äußert wichtiges aufmerksam gemacht werden: Ihre Informationen sind für potenzielle Angreifer ebenso verlockend wie geistiges Eigentum oder sensible Geschäftsinformationen.
Autor: Will Stefan Roth, VP DACH, EE, Baltics bei Nozomi Networks
de.nozominetworks.com/