Erpresser in der CNC-Maschine
Oft wird ein virtueller Einbruch nicht sofort, sondern erst nach langer Zeit bemerkt. Bild: Adobe Stock
Cyber-Sicherheit. Einbrecher kommen nicht nur durch die Werkstatttür. Immer häufiger schleichen sie sich auf dem virtuellen Weg in Firmennetzwerke ein und erpressen Geld. Dass dies keine Science-Fiction ist, zeigt der Fall einer Schreinerei im Kanton Zürich.
«Wir sind doch für solche Cyber-Kriminelle gar nicht interessant.» Das denken sich wohl viele Inhaber von KMU, darunter auch viele Schreiner. Doch leider sieht die Realität anders aus. Der Fall einer betroffenen Schreinerei zeigt, dass sich jeder gegen virtuelle Eindringlinge schützen sollte.
Am Freitag schlug der Hacker zu
Es war ein Freitagmorgen Anfang Dezember 2017. Diego Dätwiler (Name geändert), Geschäftsführer einer Schreinerei im Zürcher Unterland, war soeben eingetroffen und wollte sich an die Arbeit machen. Doch der Computer streikte. Keine Datei liess sich öffnen. Im ersten Moment dachte Dätwiler an eine normale Panne, wie sie ab und an mal vorkommt. Also alles runterfahren und nochmals neu starten. Doch das nützte nichts. Unterdessen waren einige seiner Mitarbeiter ebenfalls am Arbeitsplatz eingetroffen und nahmen ihre Computer in Betrieb. Auch von ihnen war ein genervtes Gemurmel hinter den Bildschirmen zu hören. Es schien sich um eine ernstere Sache zu handeln. Als dann auch noch die Meldung aus der Werkstatt kam, dass sich die CNC-gesteuerten Maschinen nicht starten liessen, war klar, dass hier etwas Gröberes nicht stimmte.
Lösegeld erpresst
Dätwiler nahm Kontakt zu seinem IT-Verantwortlichen auf, der sich von extern ins Firmennetzwerk einloggte. Dieser erkannte sofort, wie ernst die Lage war. Ein Hacker hatte sich Zugriff auf das Netzwerk verschafft und eine sogenannte Ransomware, ein Erpressungsschadprogramm, installiert. Sämtliche Dateien auf allen Computern des Firmennetzwerkes waren verschlüsselt. Kein Plan konnte mehr eingesehen werden, und die computergestützten Maschinen waren ausser Betrieb. Der IT-Fachmann machte sich auf die Suche und fand eine vom Hacker hinterlegte Lösegeldforderung. Die Erpresser verlangten 3 Bitcoins. Die Kryptowährung hatte zu diesem Zeitpunkt einen Gegenwert von 11 000 Franken pro digitale Münze.
Böse Post per E-Mail
Der Hacker hatte sich vermutlich über einen Link, der per E-Mail verschickt worden war, den Zugriff auf das Firmennetzwerk verschafft. «Cyber-Kriminelle versuchen erst gar nicht, sich durch eine Firewall zu schlagen, sie nehmen den Weg des geringsten Widerstandes und nutzen die schwächste Stelle aus: die Schwachstelle Mensch», sagt Franco Cerminara von der Infoguard AG. Er ist beim Baarer Unternehmen Chief Consulting Officer und verfügt über 25 Jahre Erfahrung im Bereich der Cyber Security. Cerminara spürt täglich mit seinem Team von 35 Sicherheitsberatern und Penetrationtestern, auch «ethical» oder gute Hacker genannt, Sicherheitslücken bei Firmen auf, verschliesst diese und schützt die Firmen gegen weitere Angriffe.
Cerminara betont, wie wichtig es darum sei, die Mitarbeiter auf gefährliche E-Mail-Nachrichten zu sensibilisieren. «Man sollte nie eine E-Mail von einem unbekannten Absender öffnen und darin auf einen Link oder eine Datei klicken. Rufen Sie im Zweifelsfall die Person an, fragen Sie direkt nach oder löschen Sie die Nachricht ungelesen.» Der Sicherheitsexperte weiss, wie viel Unwesen mit Nachrichten getrieben wird, die mit Viren infiziert sind.
Nur die Guten ins Töpfchen
Als Beispiel zieht er eine Firma mit 100 Mitarbeitern heran. Auf deren Server kommen im Monat rund 950 000 E-Mails an. Die Aufgabe der IT besteht darin, diese Nachrichten im Vorfeld zu filtern und nur die «guten» Nachrichten durchzulassen. Knapp 800 000 Nachrichten werden vom Server abgelehnt, weil darin ein gefährlicher Inhalt identifiziert wird. Weitere 60 000 Eingänge werden als Werbung erkannt und im Spam-Ordner abgelegt. Übrig bleiben noch 90 000 E-Mails, die in die Mailboxen der Mitarbeiter gelangen. Das sind nur etwa zehn Prozent. Böse Absichten sind versteckt in gefälschten Rechnungen, Aufforderungen zur Datenaktualisierung und Online-Umfragen. Dabei wird es immer schwieriger, gut von schlecht zu unterscheiden.
Bei der Schreinerei Dätwiler war es wohl ein gefälschtes UPS-Mail, das ihr zum Verhängnis wurde. «Ich kann niemandem einen Vorwurf machen», sagt der Geschäftsführer. «Wir verfolgen ständig irgendwelche Sendungen und Pakete, die mit einem Lieferdienst wie UPS oder DPD verschickt werden. Es hätte also jedem passieren können, dass er in der Hitze des Gefechts auf einen gefälschten Link klickt.» Mit diesem kleinen Fauxpas war nun also der Wurm im System drin, und der Hacker konnte sich unbemerkt breitmachen. Vermutlich war er schon seit einer Woche am Werk, bis er dann an diesem Freitagmorgen zuschlug.
Einbruch ist Einbruch
Der gerufene IT-Fachmann fackelte an diesem Freitagvormittag nicht lange und zog gleich einen Serverspezialisten hinzu. Die beiden Experten standen um 9 Uhr in der Schreinerei. Mit ihnen traf auch die Polizei ein, die Dätwiler gerufen hatte. Schliesslich handelte es sich bei diesem Vorfall rechtlich um einen Einbruch. Die Polizei nahm die Anzeige auf, konnte aber sonst nicht viel verrichten und zog bald wieder von dannen. Die IT-Experten machten sich unterdessen daran, herauszufinden, wie schlimm der Schaden war, denn Dätwiler dachte nicht im Traum daran, die Lösegeldforderung zu erfüllen. Auch der Cyber- Security-Experte Cerminara rät davon ab, auf eine Erpressung einzugehen: «Berappt man die Forderung, hat man keine Garantie dafür, dass die Daten entschlüsselt werden. Im schlimmsten Fall verlangen die Erpresser noch mehr Geld.»
Weltweites Geschäft
Solche Cyber-Angriffe sind nicht mehr die Ausnahme, sondern werden zu einer immer grösseren Bedrohung für Unternehmen. Die Cyber-Attacken seien in Europa im ersten Quartal 2018 um ein Drittel gestiegen, teilte der Versicherungskonzern Zurich im November mit. Gemäss einer vom World Economic Forum (WEF) in Zusammenarbeit mit der Versicherung durchgeführten Umfrage unter Führungskräften sind Cyber-Angriffe in der Rangliste der Geschäftsrisiken gegenüber dem Vorjahr von Rang 8 auf Rang 5 aufgestiegen.
«Das Internet entwickelt sich kontinuierlich weiter, und Cyber-Angriffe werden immer häufiger und raffinierter. Die damit verbundenen Kosten für Unternehmen werden weltweit in den nächsten fünf Jahren voraussichtlich acht Billionen US-Dollar betragen», sagte Kristof Terryn, Group Chief Operating Officer bei der Zurich-Versicherung. Auch die Schweizer Wirtschaft spürt diese Entwicklung. Kein anderes Risiko hat derart an Bedeutung gewonnen wie die Cyber-Kriminalität. Besonders beliebte Ziele sind KMU. Dies weil sie nur begrenzte finanzielle Mittel zur Verfügung haben, um in ihre IT-Sicherheit zu investieren.
Glück im Unglück
In der Schreinerei Dätwiler nahmen die IT-Experten als Erstes den infizierten Server vom Netz. Dann schauten sie sich das Backup an und wurden bleich um die Nase. Das Backup war vom Hacker komplett gelöscht worden. Sie hatten noch Hoffnung auf die zusätzliche Sicherungskassette, die das Unternehmen regelmässig zog. Als sie diese aufrufen wollten, wurde es ganz still im Raum. Auch diese Sicherung war gelöscht. Dätwiler ist zum Glück ein umsichtiger Mann. Er hat schon vor ein paar Jahren einen Mitarbeiter mit der Aufgabe betraut, wöchentlich ein Backup zu machen und dieses mit nach Hause zu nehmen. Nicht aus Angst vor einem Cyber-Angriff, sondern als Vorsichtsmassnahme, sollte es mal in der Schreinerei brennen. Dieser Mitarbeiter fuhr nun mit zitternden Knien nach Hause und holte das Backup. Es war fast vollständig. Bis auf die letzten vier Tage war alles vorhanden.
Man kann sich vorstellen, wie gross die Erleichterung in diesem Moment war. Den herumstehenden Schreinerei-Mitarbeitern gab Dätwiler für den Rest des Tages frei, denn ans Arbeiten war unter diesen Umständen nicht mehr zu denken. Der hinzugezogene Serverspezialist hatte durch Zufall einen passenden Rechner im Auto, und so konnten die beiden IT-Verantwortlichen bereits am Freitag damit beginnen, alles neu aufzusetzen: Rechner, Server und sämtliche Produktionsanlagen. Sie arbeiteten Samstag und Sonntag durch. Am Montag konnte der Betrieb wieder aufgenommen werden. Der Betriebsausfall hielt sich in Grenzen. Dätwiler beziffert den Schaden auf ungefähr 30 000 Franken, also auf etwa gleich viel, wie die Hacker von ihm erpressen wollten. Hätte der Hacker an einem Montag zugeschlagen, wäre der Schaden um ein Vielfaches höher ausgefallen.
Wichtige Regeln gegen Attacken
Um sich vor solchen Angriffen zu schützen, rät der Sicherheitsexperte, einige wichtige Faustregeln immer einzuhalten:
- Die Software regelmässig aktualisieren.
- Die Daten regelmässig als Backup auf einen separaten Server sichern.
- Ein Antivirus-Programm mit Webfilter nutzen und dieses aktuell halten.
- Den Internetzugang mit einer Personal-Firewall schützen.
- Immer starke und unterschiedliche Passwörter wählen, diese bestehend aus mindestens 12 Zeichen, Gross- und Kleinbuchstaben und Sonderzeichen.
- Wenn immer möglich, eine Zwei-Faktor- Authentisierung, wie zum Beispiel beim E-Banking mit Passwort und SMS-Code, verwenden.
- Die mobilen Geräte immer mit einem Pin schützen.
- Nie die Sicherheitswarnungen des Computers ignorieren.
- Keine Makros aktivieren.
- Nie einen unbekannten USB- oder Memory-Stick in den Computer stecken.
Wenn man dazu noch die nötige Vorsicht bei unbekannten E-Mails walten lässt, bleiben die Türen für viele Hacker verschlossen.
Alles richtig gemacht
Dätwiler blickt heute relativ gelassen auf den Vorfall zurück. «Im Grunde genommen haben wir nichts falsch gemacht. Wir hatten die wichtigsten Vorsichtsmassnahmen schon vor der Attacke umgesetzt, und auch meine Mitarbeiter waren schon früh auf diese Gefahren hin sensibilisiert. Es war schlicht Pech, dass einer auf den falschen Link geklickt hat.» An seiner Praxis hat Dätwiler nach dem Vorfall nur wenig geändert. Eine neue Anschaffung gab es allerdings: ein neues Gerät für die Sicherungskassette. Dieses spuckt die Harddisk nach Beendigung des Backups aus, sodass diese nicht mehr mit dem Netzwerk verbunden ist.
Versicherung ist keine Absicherung
Neu hat Dätwiler auch eine Versicherung gegen Cyber-Kriminalität abgeschlossen, denn die gängigen Einbruch-Diebstahl-Versicherungen schliessen virtuelle Einbrüche nicht ein. Dätwiler gibt dabei aber zu bedenken, dass die Versicherung nur den Betriebsunterbruch und die damit entstandenen Kosten abdeckt. Um die Datensicherung muss man sich selber kümmern.
Die Polizei konnte im Übrigen nichts ausrichten. Sie hat die Akte nach einem Jahr bereits wieder geschlossen. Es wird vermutet, dass der Hacker in Russland sitzt. Häufig stammten die cyberkriminellen Banden aus dem russischen Raum oder aus Nordkorea, und sie seien sehr gut organisiert, sagt Franco Cerminara. Die Banden gehen sogar so weit, dass sie Callcenter führen, um verzweifelten Opfern auf die Sprünge zu helfen. Und diese Ransomware-Angriffe sind nur die Spitze des Eisbergs. Was sich sonst noch in den Tiefen des Darknet tummelt, können wir nur erahnen.
Isabelle Spengler
www.infoguard.ch
www.fedpol.admin.ch
www.zurich.ch
Forschung
Technologie für mehr IT-Sicherheit
Forscher der Berner Fachhochschule haben ein Tool entwickelt, das die Analyse von Malware und damit den Schutz vor Cyber-Angriffen wesentlich verbessert. Die Innovation besteht darin, dass sich das Programm aus bereits erkannten Angriffen spezifische Komponenten merkt und neue Schadprogramme auf diese untersucht. Wird es fündig, erhält man wichtige Hinweise auf die Urheber und gewinnt wertvolle Zeit beim Ergreifen von Gegenmassnahmen. Die manuelle Analyse verdächtiger Software ist hingegen sehr aufwendig und teuer.
Isabelle Spengler
www.bfh.chVeröffentlichung: 10. Januar 2019 / Ausgabe 1-2/2019
Bildstrecken
Artikel zum Thema
02. November 2023
Digitalisierung aus neuer Perspektive
Digitale baustellen. Nicht nur die Schreinerbranche beschäftigt sich mit der Digitalisierung und sucht praxistaugliche Umsetzungsmöglichkeiten. Auch im Hoch- und Tiefbau ist die Entwicklung in vollem Gange und bringt spannende Möglichkeiten hervor.
mehr
17. August 2023
Noch reichlich Platz zum Auftischen
Webshops. Schreinereien bieten ihre Produkte bislang eher selten zum Online-Einkauf an. Dabei könnte das Schreinerhandwerk digital noch reichlich auftischen, zumal die wichtigste Voraussetzung dafür praktisch in der DNA verankert ist: Einzigartigkeit.
mehr
23. September 2021
Sind Sie sicher?
PaidPost. Die Softwareanbieterin Horst Klaes GmbH ist spezialisiert auf die Bauelemente-Branche und bietet auch Lösungen für die Sicherung der Daten, den Schutz vor Cyber-Kriminellen, die sichere E-Mail-Archivierung und vieles mehr. Sie ist Partnerin bei wichtigen Fragen der Digitalisierung.
mehr
