Beinahe täglich warnt das Bundesamt für Sicherheit in der Informationstechnik vor neuen Phishing-Kampagnen, die Opfer dazu bringen sollen, vertrauliche Daten preiszugeben, Malware herunterzuladen oder sich und ihr Unternehmen der Internetkriminalität auszusetzen. Die Angreifer verfolgen dabei verschiedene Ziele – von Spionage über Sabotage bis hin zur Erpressung. Auch ein mittelständischer Automobilzulieferer wurde jüngst Opfer eines ausgeklügelten Phishing-Angriffs. Die nachfolgende Fallstudie beschreibt dessen chronologische Abfolge sowie die Maßnahmen, die das Unternehmen gemeinsam mit einem Expertenteam seines IT-Dienstleisters einläutete, um den Angriff erfolgreich einzudämmen und zukünftige Bedrohungen zu minimieren.
Phishing-Angriffe sind vor allem wegen ihrer Vielfältigkeit äußerst gefährlich und schwer auszumachen. Ausgangspunkt ist jedoch in den allermeisten dokumentierten Fällen eine E-Mail. Diese kann gefälschte Dokumente wie Quittungen oder Kaufverträge im Anhang haben. Eine weitere Methode ist ein Link in der Mail, der auf eine gefälschte Webseite aus der Branche führt.
Der Automobilzulieferer der hier skizzierten Fallstudie ist nicht das erste Opfer aus der Automobilindustrie. Eine großangelegte Phishing-Kampagne hatte es 2022 beispielsweise sogar gleichzeitig auf Autohersteller, Autohäuser und Werkstätten abgesehen. Für den Angriff hatten die Kriminellen damals verschiedene Webseiten echter Unternehmen nachgebaut, auf die sich die Phishing-E-Mails zurückverfolgen und damit fälschlicherweise verifizieren ließen. Als Beispiel zeigen die Sicherheitsforscher des Blogs „Check Point“ eine E-Mail, die vorgibt, einen unterschriebenen Vertrag für eine Autoübergabe zu enthalten.
Gleichzeitig wird darum gebeten, den Erhalt zu bestätigen und weitere Unterlagen wie Fahrzeugpapiere und TÜV für das genannte Auto zu übersenden. Öffnet man den Anhang, wird im Hintergrund eine weitere Datei geöffnet, welche die Drop-Site kontaktiert, über die dann die Malware eingeschmuggelt wird. Das Opfer selbst sieht dabei nur ein Dokument, das scheinbar genau das ist, was es sein soll, beispielsweise ein Kaufvertrag über ein Auto.
Der Phishing-Angriff: Vorbereitung und Durchführung
Im kürzlich passierten Fall des mittelständischen Automobilzulieferers müssen die Hacker nach bisherigen Erkenntnissen bereits einen Monat vor dem Angriff mit der Vorbereitung begonnen haben. Ihre Strategie kam hier sogar ohne das Einschleusen von Malware aus. Sie erstellten gefälschte E-Mail-Konten, die den Anschein erweckten, von einem neuen Geschäftspartner des Unternehmens zu stammen. Hinweise auf eine tatsächlich neue Geschäftsbeziehung erhielten die Angreifer dabei sehr wahrscheinlich über soziale Business-Netzwerke, in denen beide Unternehmen die Kooperation zuvor bekanntgegeben hatten. Außerdem waren in den Mitarbeiter-Profilen des Automobilzulieferers ab einem bestimmten Zeitpunkt vermehrt Kontakte zu Teammitgliedern des neuen Geschäftspartners zu erkennen. Auf diese Weise konnten die Hacker die gefälschten E-Mail-Adressen sorgfältig auswählen, um Vertrauen zu erwecken und personalisierte Phishing-E-Mails zu erstellen.
Im Februar 2023 begannen die Hacker dann damit, gefälschte E-Mails an Angestellte des Mittelständlers zu senden. Diese äußerst professionell geschriebenen, überzeugenden E-Mails forderten die Empfänger auf, auf einen Link zu klicken, der zu einer gefälschten Login-Seite im angeblich neuen Extranet des Geschäftspartners führte. Auf dieser Seite sollten sie sich für das Partner-Extranet registrieren und dabei die Anmeldeinformationen ihres Arbeitsplatzes (Domain Account) verwenden, um in Zukunft ganz einfach und ohne Login Zugriff auf das Partner-Extranet zu erhalten.
Diejenigen Angestellten, die auf die Phishing-Links klickten und ihre Anmeldeinformationen eingaben, lieferten den Kriminellen Zugriff auf ihre E-Mail-Postfächer. Hierüber erhielten die Angreifer Informationen über weitere Zugänge zu Cloud-basierten Systemen, wie etwa zur CRM- und Projekt-Management-Lösung des Unternehmens. Über angeforderte Passwort-Resets erhielten die Angreifer auch Zugriff auf diese Systeme und konnten so vertrauliche Daten abrufen, darunter Kundeninformationen und Finanzdaten.
Die Reaktion: Erkennung und Maßnahmen von Phishing-Angriffen
Die IT-Abteilung des Zulieferers bemerkte einige Tage nachdem die E-Mails verschickt worden waren, erstmals ungewöhnliche Aktivitäten im Netzwerk. Dazu zählten Versuche, neue VPN-Zugänge zu erhalten sowie verdächtige Login-Versuche ins Unternehmensnetz über bestehende VPN-Verbindungen. Sofort nachdem der Angriff erkannt war, ergriff das Unternehmen folgende Maßnahmen:
1. Isolierung der betroffenen Systeme
Als erstes isolierte die IT-Abteilung die betroffenen Systeme. Sie deaktivierte das VPN-Gateway und erlaubte Verbindungen zum Mailserver nur noch direkt aus dem Unternehmensnetzwerk. Die Zugänge zu den Cloud-basierten Systemen wurden ebenso deaktiviert. Diese Maßnahmen hinderten die Angreifer erfolgreich daran, ihren Angriff auf andere Teile der IT-Infrastruktur auszuweiten und weiteren Schaden anzurichten.
2. Benachrichtigung der betroffenen Mitarbeitenden
Im nächsten Schritt informierte das Unternehmen alle Mitarbeitenden und forderte sie zu einem Passwortwechsel auf. Eine Schwierigkeit dabei stellten diejenigen Mitarbeitenden dar, die sich zum gegenwärtigen Zeitpunkt außerhalb des Unternehmensnetzwerkes befanden (im Home-Office oder auf Dienstreise). Da das VPN-Gateway deaktiviert und die Verbindung zum Mailserver beschränkt war, hatten sie weder Zugriff auf das Unternehmens-Netzwerk noch auf ihre E-Mails. Hier kam dem Service Desk die entscheidende Rolle zu, die Mitarbeitenden proaktiv anzurufen, über den Vorfall zu informieren und sie beim Passwortwechsel zu unterstützen. Zugänge von Mitarbeitenden, die der Service Desk nicht erreichen konnte, wurden deaktiviert. Dem Mittelständler gelang so innerhalb von 48 Stunden ein unternehmensweiter Passwortwechsel.
3. Forensische Untersuchung
Nachdem diese ersten beiden zeitkritischen Schritte erfolgreich abgeschlossen waren, leitete die IT-Abteilung des Automobilzulieferers mit Hilfe des IT-Dienstleisters handz.on eine umfassende forensische Untersuchung ein, um das Ausmaß des Datenverlusts und die Identität der Angreifer festzustellen. Die eigentliche Analyse wurde dabei auf extra dafür erstellten Kopien („Snapshots“) der betroffenen Systeme durchgeführt. Um festzustellen, wie weit und über welchen Zeitraum die Angreifer ins Netz eindringen konnten, konzentrierten sich die Untersuchungen hauptsächlich auf die Auswertung der Logfiles von VPN-Gateway, Mailserver, Firewalls und der Cloud-basierten Systeme.
4. Wiederanlauf und gezogene Lehren
Als feststand, dass kein weiterer Schaden vorlag und sichergestellt war, dass alle Passwörter zurückgesetzt sowie VPN-Verbindungen aus der Zeit des Angriffs deaktiviert waren, wurden die isolierten bzw. eingeschränkten Systeme wieder freigeschaltet, Mailserver-Zugriffe über Verbindungen aus dem Internet wieder erlaubt sowie das VPN-Gateway und die Zugänge auf die Cloud-basierten Systeme reaktiviert.
5. Verbesserung der Sicherheitsmaßnahmen
Im Nachgang des Angriffs verstärkte das Unternehmen seine Sicherheitsmaßnahmen und führte u.a. eine Multi-Faktor-Authentifizierung (MFA) für die Anmeldung an der Domäne und den Cloud-basierten Systemen ein. Daneben wurde handz.on mit der Ausarbeitung eines ganzheitlichen Konzepts für eine Awareness-Kampagne zum Thema Cyberkriminalität und Phishing sowie der Durchführung von Sicherheitsschulungen für die Mitarbeitenden und regelmäßigen Sicherheitsüberprüfungen in Form von Penetrationstests exponierter Systeme und simulierten Phishing-Angriffen beauftragt.
Als nächstes will das Unternehmen das Expertenteam von handz.on mit einer Gap-Analyse des bestehenden Information-Security-Management-Systems (ISMS) betrauen, um dieses fit zu machen für die geplante TISAX-Rezertifizierung (einheitlicher Standard für Informationssicherheit in der Automobilindustrie). Perspektivisch erwägt das Unternehmen darüber hinaus einem Zero-Trust-Ansatz zu folgen, d.h. eine Architektur aufzubauen, bei der jeder einzelne Systemzugriff eine Authentifizierung verlangt. Die Systemzugänge selbst sollen dann zentral über eine Identity-Access-Management-Lösung (IAM) verwaltet werden.
Fazit
Der Phishing-Angriff verdeutlicht die fortwährende Bedrohung durch Cyberangriffe und die Notwendigkeit für Unternehmen, proaktive Sicherheitsmaßnahmen zu ergreifen. Informationen aus sozialen Business-Netzwerken lieferten in diesem Fall den Kriminellen genügend Informationen, um in einer frühen Kooperationsphase mit einem neuen Geschäftspartner Mitarbeitende des Automobilzulieferers zur Preisgabe ihrer Anmeldeinformationen zu bewegen.
Dank der frühzeitigen Erkennung und schnellen Reaktion konnte das Unternehmen den Schaden minimieren und infolgedessen auch seine Sicherheitspraktiken verbessern, um zukünftige Angriffe zu verhindern. Die Fallstudie unterstreicht gleichzeitig die Wichtigkeit klarer Verhaltensregeln und firmeninterne Schulungen von Angestellten, um diese für die Risiken von Phishing-Angriffen und die inzwischen sehr ausgeklügelten Vorgehensweisen der Hacker zu sensibilisieren.
Autor: Sebastian Welke, Senior Consultant