Fachleute sehen im Moment vor allem Angriffe auf deutsche Unternehmen, die in den Segmenten Erneuerbare Energien, Hybrid-Antriebstechnik oder Energieversorgung tätig sind. Auch hiesige Anlagenbauer stehen im Fokus der Angreifer. Sie sind in viele Lieferketten auf der ganzen Welt eingebunden und somit ein spannendes Angriffsziel.
Der erste Schritt des Angriffs passiert so gut wie immer per Social Engineering, also den Verführungskünsten von Kriminellen: Per Social Engineering verleiten die Spione Mitarbeiter des betroffenen Unternehmens, Passwörter auf (perfekt nachgeahmten) Phishing-Seiten einzugeben oder auf vergiftete E-Mail-Anhänge zu klicken. So gut wie alle aufgeklärten Fälle von Industriespionage lassen sich auf Social Engineering zurückführen. Erst wenn der Mensch überlistet wurde, setzen die Angreifer Software ein. Schadsoftware ist hierfür nicht immer nötig, in manchen Fällen missbrauchen die Angreifer auf den Systemen vorinstallierte Werkzeuge – und schrecken Antiviren-Software damit gar nicht erst auf.
Die von Industriespionen versandten Phishing-Nachrichten sind nicht vergleichbar mit den plumpen Phishing-Versuchen, die in den Postfächern von privaten Nutzern landen. Sie basieren auf zuvor gesammelten Informationen, die der jeweiligen Person glaubhaft erscheinen. Man spricht dann von Spear-Phishing, da die Nachrichten präzise wie ein Speer losgeschickt werden.
So berichtet der Antiviren-Experte James Lyne von einer Social-Engineering-Attacke, die selbst ihn beinahe hinters Licht führte: Ihn erreichte vor einer tatsächlich stattfindenden Geschäftsreise eine E-Mail, die vermeintlich von einem Kollegen stammte. Der Inhalt der Nachricht schlug ein Treffen vor Ort vor. Im Anhang: Eine im Text der E-Mail erwähnte Word-Datei mit der Beschreibung der Reiseroute des Kollegen und ein Vorschlag zum Treffpunkt. Die Word-Datei war „infiziert“ und hätte beim Öffnen den Rechner infiziert.
Laut Florian Oelmaier, Leiter IT-Sicherheit & Computerkriminalität bei Corporate Trust, gehe dem Nachrichtenversand in der Regel eine Recherche in sozialen Netzwerken voraus. Dort fänden die Angreifer hinreichend frei zugängliche Informationen, um die erste Nachricht an ihr Opfer überzeugend genug zu formulieren. Dies klappt ganz offenbar: „Es wundert mich nicht, dass Mitarbeiter auf den Betrug hereinfallen. Die Nachrichten sehen legitim aus, die Informationen darin sind maßgeschneidert“, so Oelmaier.
Wichtig beim Definieren von Abwehrmaßnahmen: Ziel der Spear-Phishing-Attacke sind nicht zwingend die leitenden Mitarbeiter des auszuspähenden Unternehmens oder die Forscher, die an den von den Spionen begehrten Projekten arbeiten. Vielmehr spielen die Kriminellen über Bande und attackieren irgendeinen Mitarbeiter, über den sie zuvor – eventuell zufällig – hinreichend Informationen sammelten. Es werden vor allem Mitarbeiter angeschrieben, die im Rahmen ihrer Tätigkeit ohnehin regelmäßig Post von unbekannten, externen Sendern samt Anhang bekommen: Bei Vertretern der Personalabteilungen beispielsweise schrillt keine Alarmglocke, wenn in ihrem Postfach E-Mails inklusive Word- oder PDF-Anhang auftauchen.
Bis vor gut eineinhalb Jahren hatten es die Kriminellen direkt auf die betreffende Führungskraft oder den mit den spannenden Themen betrauten Forscher abgesehen. War dessen Maschine infiziert, musste die zum Absaugen der Daten verwendete Software noch nicht einmal über Admin-Rechte auf dem lokalen PC oder gar einem Server verfügen: Die Rechte des Mitarbeiters genügten, um an die relevanten Dateien heranzukommen. Unterm Strich verschwanden die Kriminellen also so schnell aus dem Netzwerk, wie sie gekommen waren.
Heute sieht die Lage anders aus: Das Hauptziel der Angreifer ist in aller Regel die Kontrolle über das komplette Netzwerk. Sie nisten sich tief in diversen Servern ein, ähnlich der Attacke auf das Netzwerk des Bundestags. Das Einnisten übernimmt in aller Regel Schadsoftware, die dann auch zum Absaugen der erbeuteten Daten dient. Virenfachleute beobachten, dass sowohl fertige Malware wie Poison Ivy oder Ghost zum Einsatz kommen. Aber auch eigens für den Angriff fabrizierte Schädlinge finden sich in der Praxis. Wenngleich diese im Vergleich zu ausgefuchster Online-Banking-Malware wie ZeuS oder Citadel vergleichsweise simpel gehalten sind und oft auch auf Verschleierungsmaßnahmen verzichten. Offenbar genügt eine so simple Malware, um die Aufgabe zu erledigen und die vorhandenen Virenscanner auszutricksen.
Angesichts des professionellen Vorgehens der Angreifer scheint es unausweichlich, dass ein Netzwerk kompromittiert wird. Und was dann? Laut Alan Kessler, Präsident und CEO von Vormetric, empfehlen sich Data Leakage Prevention (DLP)-Komponenten, wie sie in vielen Unified Threat Management (UTM)-Lösungen zu finden sind. Diese Alleskönner vereinen Firewall, Virenscanner, DLP, VPN-Gateway und andere Funktionen. Sinnvollerweise entscheidet eine DLP-Lösung pro Nutzer und Datensatz, welche Aktionen erlaubt und welche zu unterbinden sind. Zu diesem Pflichtprogramm kommt noch die Kür: das Überwachen der Zugriffe und das Erkennen von Anomalien. Weicht nach einem erfolgreichen Angriff das Verhaltensmuster einzelner Anwender oder Maschinen vom bisher Gewohnten ab, schlägt die Lösung Alarm.
Solche Schutzmechanismen sorgen aber keinesfalls für umfassenden Schutz. Sie mindern zwar das Risiko, kämpfen aber auf verlorenem Posten, wenn Kollege Mensch nicht ebenfalls auf der Hut ist. Und genau hier sehen die Fachleute in der Praxis die größten Lücken: Nur in wenigen Unternehmen gäbe es Aufklärungskampagnen, die Mitarbeiter – am besten fortlaufend – über neue Angriffsmaschen informierten. Ohne das Wissen, wie eine Spear-Phishing-Kampagne aussieht und welche Raffinesse dabei an den Tag gelegt wird, hätten Mitarbeiter gute Chancen, zu Opfern einer solchen Kampagne zu werden – und die Spear-Phisher sind um einen Erfolg reicher.