Industriespionage 2015: Gekommen, um zu bleiben - IT-Sicherheit im Unternehmen - Heise Partnerzones IT-Sicherheit im Unternehmen . IT-Security, Industriespionage, Enterprise Mobility Management, IT-Sicherheit, c't . Herzlich willkommen zur c't-Sonderausgabe "IT-Security im Fokus" online. /styles/zones/basis.css

Industriespionage 2015: Gekommen, um zu bleiben

Kriminelle legen es beim Eindringen in Unternehmensnetze auf dauerhafte Präsenz an – und werden selten oder sehr spät entdeckt. Vor allem deutsche Unternehmen aus der Energiebranche und Automobilzulieferer stehen derzeit im Fokus von Industriespionen. So gut wie immer ist das Einfallstor ins Netzwerk der ausgespähten Firmen ein schwer zu schützender Unternehmensteil: der Mensch.

Autor: Uli Ries

 - 

Quelle: sdecored - Fotolia.com

Der Begriff klingt nicht gerade nach der hohen Kunst der Verführung: Social Engineering. Dabei ist diese Technik das wichtigste Werkzeug von Kriminellen auf dem Weg ans Ziel. Sie verleiten per Social Engineering Mitarbeiter des betroffenen Unternehmens dazu, Passwörter auf perfekt nachgeahmten Phishing-Seiten einzugeben oder auf vergiftete E-Mail-Anhänge zu klicken.

So gut wie alle aufgeklärten Fälle von Industriespionage lassen sich auf Social Engineering zurückführen. Erst wenn der Mensch überlistet wurde, setzen die Angreifer Software ein – die in vielen Fällen schon auf den Systemen ihrer Opfer vorinstalliert ist und somit unter dem Radar gewöhnlicher Antiviren-Software fliegt. James Lyne, Chef-Malware forscher bei Sophos, sagt für die kommenden Jahre sogar noch eine weitere Professionalisierung der Social-Engineering-Angriffe voraus. Der Grund: Immer höhere Codequalität in Anwendungen und Betriebssystemen sowie Schutzmechanismen wie der seit Windows 8.1 Update 3 verfügbare Control Flow Guard. Sie machen das Finden und Missbrauchen von Schwachstellen in Software schwieriger, so dass sich Angreifer laut Lyne auf das weichere Ziel Mensch konzentrieren.

Wer sich nun über die vermeintliche Unwissenheit der Opfer amüsiert und solche Angriffe abtut, der begeht einen gefährlichen Irrtum: Die Spear-Phishing-Nachrichten sind keinesfalls vergleichbar mit den plumpen Phishing-Versuchen, die in den Postfächern von privaten Nutzern landen. Sie basieren auf sorgfältig recherchierten Informationen, die der angegriffenen Person durchaus glaubhaft erscheinen können.

So berichtet Antiviren-Experte Lyne von einer Social-Engineering-Attacke, die selbst ihn beinahe hinters Licht führte: Ihn erreichte vor einer tatsächlich stattfindenden Geschäftsreise eine E-Mail, die vermeintlich von einem Kollegen stammte. Der Inhalt der Nachricht schlug ein Treffen vor Ort vor. Im Anhang: Eine im Text der E-Mail erwähnte Word-Datei mit der Beschreibung der Reiseroute des Kollegen und ein Vorschlag zum Treffpunkt. Das Word-Dokument hätte beim Öffnen mittels Makro die eigentliche Schadsoftware heruntergeladen, die dann – ganz ohne Exploit oder Admin-Rechte – die Maschine des Opfers übernommen hätte. Die Angreifer machten sich vor dem Versand der Spear-Phishing-Nachricht offensichtlich kundig, wo Lyne demnächst sein würde und mit wem er eventuell zusammenarbeitet.

Maßgeschneiderte Giftköder

Florian Oelmaier, Leiter IT-Sicherheit & Computerkriminalität bei Corporate Trust, sieht reichlich solcher Spear-Phishing-Nachrichten und sagt: „Es wundert mich nicht, dass der jeweilige Mitarbeiter auf den Betrug hereingefallen ist. Die Nachrichten sahen legitim aus, die Informationen darin waren maßgeschneidert“. Dem E-Mail-Versand gehe in der Regel eine Recherche in sozialen Netzwerken voraus. Dort fänden die Angreifer hinreichend frei zugängliche Informationen, um die erste Nachricht an ihr Opfer überzeugend genug zu formulieren. „In aller Regel genügen zwei Tage, um so viele Infos zu sammeln, dass das potenzielle Opfer beim Lesen der ersten Spear-Phishing- Nachricht nicht misstrauisch wird“, so Oelmaier. Die weitere Vorbereitung der Attacke nehme dann aber mehr Zeit in Anspruch Dem Verizon Data Breach Report zufolge liegt die Erfolgsrate beim Spear-Phishing bei gut elf Prozent. Jede zehnte Nachricht führt also zum Erfolg. Dies bestätigt Thomas Hemker, Sicherheitsstratege bei Symantec. Ihm zufolge steige zwar die Anzahl der festgestellten gezielten Angriffe – gleichzeitig sinke aber die Zahl der hierzu versandten Nachrichten drastisch ab. So seien im Jahr 2014 pro Angriff vier Fünftel weniger Spear-Phishing-Nachrichten versandt worden als in den Jahren zuvor. Das lässt darauf schließen, dass sich die Angreifer mehr Zeit nehmen für Recherche und Vorbereitung.

Alex Cox, leitender Mitarbeiter der Threat Watch-Abteilung beim Verschlüsselungsspezialisten RSA, unterstützt die Aussagen von Oelmaier in Bezug auf die Qualität der Nachrichten. Auch er kennt reichlich Spear-Phishing-E-Mails ohne Rechtschreibfehler und mit perfekt auf den Empfänger abgestimmten Inhalten. Ihm zufolge stammten die Informationen, die der Nachricht zu Glaubwürdigkeit verhelfen, nicht nur aus frei zugänglichen Quellen. Vielmehr würden auch interne Nachrichten oder Chat-Konversationen der potenziellen Opfer abgefangen. Gängiger Weg hierbei: Ein zuvor erfolgter Angriff auf einen Geschäftspartner, der in Kontakt mit dem eigentlichen Opfer steht. Insbesondere kleinere Zulieferer hätten oftmals unzureichende Sicherheitsvorkehrungen, so dass der Umweg von den Angreifern gern in Kauf genommen wird.

Buchhalter im Visier

Ziel der Spear-Phishing-Attacke sind nicht zwingend die leitenden Mitarbeiter des auszuspähenden Unternehmens oder die Forscher, die an den von den Spionen begehrten Projekten arbeiten. Vielmehr spielen die Kriminellen über Bande und attackieren irgendeinen Mitarbeiter, über den sie zuvor hinreichend Informationen sammelten, um die Phishing-Nachricht maximal überzeugend zu formulieren. Laut Symantec-Vertreter Hemker würden vor allem Mitarbeiter angeschrieben, die im Rahmen ihrer Tätigkeit ohnehin regelmäßig Post von unbekannten, externen Sendern samt Anhang bekämen. Bei Vertretern der Personalabteilungen beispielsweise würden daher keine Alarmglocken schrillen, wenn in ihrem Postfach E-Mails inklusive Word- oder PDF-Anhang auftauchen. Ist der Rechner des nichtsahnenden Mitarbeiters dann unter der Kontrolle der Angreifer, hangeln sie sich nach und nach durchs Netzwerk. Alternativen zum Spear Phishing sind Water-Hole-Attacken –oder auch die altbekannte Bestechung, wie Florian Oelmaier weiß.

Bei den Water holes handelt es sich um an sich legitime Webseiten, die von den betreffenden Mitarbeitern oft besucht werden. Im Fall von Software-Entwicklern können dies beispielsweise beliebte Foren sein, in denen sie Code-Schnipsel suchen und posten. Diese Webserver werden von den Industriespionen mit Exploit Kits verseucht, die anschließend versuchen, den Rechner jedes einzelnen Besuchers zu infizieren. Oelmaier sind aber auch Fälle bekannt, bei denen die Kriminellen sich direkt an einen Netzwerk-Administrator des betreffenden Unternehmens wandten – und ihm eine fünfstellig Summe dafür boten, dass er seinen Rechner mit einer per E-Mail übermittelten Malware infiziert. Selbst wenn diese Infektion bei späteren forensischen Analysen auffällt, kann sich der Admin immer noch auf ein Versehen berufen. Erst wenn man die eventuell geänderten Lebensumstände – Scheidung, Alkohol- oder Spielprobleme, ein neues Auto und so weiter – des Mitarbeiters mit berücksichtigt, ergebe sich ein anderes Bild, so der IT-Sicherheitsfachmann.

1 | 2 | 3