Cyber-Crime 2020


Cyber Crime

Das trifft doch eh immer nur die Anderen...

Warum sollte gerade mein Unternehmen Opfer einer Hacker-Attacke werden? Bei uns gibt’s doch keine interessanten Informationen zu holen oder Daten zu klauen. Will jemand unsere Buchhaltungsdaten oder unsere Warenwirtschafts-Datenbank stehlen? Na dann soll er doch…

Solche oder ähnliche Sätze hören wir immer wieder in der Beratung und das zeigt uns, dass der Ernst der Lage leider noch nicht ins Bewusstsein vieler IT-Verantwortlicher oder Geschäftsführer vorgedrungen ist. Oberstes Ziel der heutigen Hacker-Szene ist nicht mehr der einfache Zugriff auf Daten. Die neuen hauptsächlichen Bedrohungslagen lauten Erpressung und Missbrauch.

2019 war das Jahr, in dem PNC bis dato am Häufigsten zu Cyber-Security Fällen gerufen wurde. Betroffen waren Unternehmen aus verschiedensten Branchen. Aber auch Privatpersonen haben sich erstmals an uns gewandt, da die Verunsicherung immer größer wurde und der Weg zur Polizei meist nicht direkt Beruhigung oder sogar eine Lösung des Problems herbeiführen konnte.

Nicht immer kann auf rein technischer Ebene geholfen werden. Häufig ist auch eine entsprechende Rechtsberatung bzw. Unterstützung durch entsprechend technisch versierte Anwälte erforderlich. PNC ist Teil eines Netzwerks aus entsprechenden Fachleuten und kann somit auch umfassend Unterstützung anbieten.

Um erst gar nicht in die Lage zu kommen, Cyber-Crime Opfer zu werden, empfiehlt sich eine Menge von Maßnahmen, die im weiteren Verlauf dieses Artikels beschrieben werden.  Weiter unten gehen wir auch auf die einzelnen Bedrohungslagen ein, die sich derzeit konkret darstellen und die wir auch schon in der Praxis erlebt haben.

Was tun, wenn Sie betroffen sind?

1. Die erste und wichtigste Regel lautet: SCHNELL SEIN!

Entfernen Sie betroffene Computer so schnell wie möglich aus Ihrem Netzwerk und unterbinden Sie jeglichen Internet-Zugriff. Wenn Sie sich nicht sicher sind, welche Endgeräte betroffen sind, lassen Sie ALLE Geräte abdrehen. Bitte denken Sie auch an netzwerk-aktive Geräte wie Smartphones, Tablets, Multifunktionsgeräte (Drucker, Scanner, Kopierer, Fax), Smart-TVs, Telefonanlagen, Alexas, uvm…

Alle diese Geräte haben ein Betriebssystem, das grundsätzlich Sicherheitslücken aufweisen kann und das für Hacker eine potentielle Einbruchsmöglichkeit darstellt.

2. Informieren Sie Cyber-Security Spezialisten

Sollten Sie über einen guten IT-Betreuer verfügen, so informieren Sie diesen umgehend über den Vorfall. Hier ist Scham über den Vorfall absolut nicht angebracht. Niemand ist vor diesen Hackerattacken sicher und so ist in diesem Fall schnelle Hilfestellung vorrangig. Über Ursachenforschung und die Diskussion der Verantwortung für den Vorfall kann man auch im Nachhinein diskutieren.

3. Prüfen Sie eventuelle Versicherungen

Möglicherweise verfügt Ihr Unternehmen über eine Cyber-Crime oder Cyber-Assistance Versicherung. In diesem Fall sollten Sie spätestens nun die Versicherung kontaktieren und den Einsatz von IT-Experten starten. 

PNC ist Kooperationspartner von Europ Assistance Österreich, dem Marktführer auf dem Assistance Markt, welches mit Ihrem multi-professionellen Team 24/7 für den telefonischen First Level Support, sowie Einschätzung bei Cyber Crime Attacken für Privat- und Firmenkunden verschiedenster Versicherungen in der DACH Region tätig ist. Dieses innovative Leistungsspektrum hilft Versicherungen, sowie deren Kunden sich präventiv, im Akutfall und in der Nachsorge gegen Cyber Angriffe in der heutigen Zeit zu schützen. Seit 2016 kann Europ Assistance Österreich auf viele gelöste Fälle zurückblicken und wurde für den österreichischen, deutschen und schweizer Markt als Competence Center integriert.

 

Wie kann und soll ich mich präventiv schützen?

Generell kann man den präventiven Schutz auf drei Säulen stellen:

  1. Technische Maßnahmen
  2. Awareness-Schulungen
  3. Organisatorische Maßnahmen

Technische Maßnahmen

  • Sorgen Sie dafür, dass alle eingesetzten IT-Systeme auf dem aktuellen Stand der Technik sind.
  • Verwenden Sie aktuelle und gewartete Virenschutz-Lösungen.
  • Setzen Sie eine aktuelle Spamschutz-Software ein.
  • Nutzen Sie eine technisch ausgereifte Firewall / Internet-Gateway.

Awareness-Schulungen

  • Schulen Sie Ihre Mitarbeiter mit entsprechenden Tools 
    (z. B. Kaspersky Security Awareness Plattform)
  • Nehmen Sie das Thema Security ernst und verfolgen Sie aktuelle Medienberichte
    (was Ihnen unbekannt ist, werden Sie auch nicht leicht erkennen)

Organisatorische Maßnahmen

  • Vergeben Sie entsprechende Zugriffsberechtigungen
    (nicht jeder MA muss auf alle Daten zugreifen können)
    ... und was ein Mitarbeiter kann, kann ein Virus schon lange...
  • Geben Sie Richtlinien und Regeln für die Verwendung von Passwörtern und IT-Systemen aus
  • Pflegen Sie die aktuell angelegten Benutzerkonten und Mailboxen und löschen Sie, was nicht mehr gebraucht wird
  • Sorgen Sie dafür, dass nur Personen Passwörter kennen, die sie auch wirklich benötigen
  • Ändern Sie regelmäßig Passwörter - vor allem, wenn Änderungen beim Personal stattfinden
  • Erstellen und pflegen Sie ein Desaster-Handbuch
    (was ist im Notfall zu tun, welche Personen sind zu informieren, Kontaktnummern, ...)

 

Was PNC für Sie tun kann oder vielleicht schon macht (wenn Sie Wartungskunde sind)

PNC ist als Systemhaus für Sie wie eine interne IT-Abteilung. Nur mit einem wesentlichen Vorteil - nie krank oder sonst irgendwie abwesend.

Systempflege

Wie bereits oben im Artikel geschrieben, müssen die eingesetzten Systeme auf einem aktuellen Stand sein. Hier ist aber nicht nur die laufende Einspielung von System-Patches erforderlich, sondern auch der rechtzeitige Wechsel des Betriebssystems oder einer Anwendung, wenn diese vom Hersteller nicht mehr supported wird.

 

Virenschutz

Die Installation eines Virenschutzprogramms auf einem Arbeitsplatzcomputer reicht heute nicht mehr aus. Allein die vielfältigen Einstellungsmöglichkeiten in der Virenschutz-Software machen es für den IT-Laien kaum noch möglich, das Virenschutzprogramm richtig zu konfigurieren. Im Hintergrund müssen auch Server korrekt geschützt werden. Wichtig ist auch, dass die dauerhafte Funktion und Aktualität des Virenschutzes überwacht wird und entsprechende Reaktionen stattfinden, sollten irgendwo Probleme erkannt werden.

 

Spamschutz

Ganz egal, ob Sie Ihren eigenen Mailserver betreiben oder auf einen Cloud-Dienst (wie z. B. PNC Hosted Exchange) setzen, ein guter Spamschutz hilft Ihnen bei der Abwehr von diversen Hackerangriffen via Mails. Hier muss darauf geachtet werden, dass die richtigen Einstellungen gewählt sind und nicht zu viel, aber auch nicht zu wenig gefiltert wird. 

 

Firewall / Gateway

Für einen sicheren Netzwerkbetrieb ist der Einsatz eines Border-Gateways (Firewall zum Internet) unumgänglich. Dass diese Firewall auch richtig konfiguriert ist und die Einstellungen zu Ihrem Tagesgeschäft passen, dafür sorgt PNC. Zum Thema Firewall gehört auch der Bereich Standort-Anbindung oder Fernzugriff auf das Unternehmensnetzwerk per VPN.

 

Awareness-Schulungen (inkl. DSGVO)

PNC organisiert Awareness-Schulungen und hält auch DSGVO Umsetzungsberatungen ab. Mit externen Spezialisten aus dem Rechtsbereich können wir auch über IT-technische Themen hinaus Lösungen anbieten.

 

IT-Consulting

Neben wiederkehrenden IT-Beratungsgesprächen planen wir gerne mit Ihnen die Organisation Ihrer IT. Hier können einfache Investitionsplanungen gemeinsam mit uns erfolgen, wie auch komplexere Ausarbeitungen von IT-Richtlinien oder Desaster Handbüchern. Auch die Führung von Berechtigungs-Tabellen, Benutzerverzeichnissen oder Organisationsberatung für die Prozesse rund um Eintritt oder Austritt eines Mitarbeiters gehören zum Beratungsumfang bis hin zur technischen Organisation Ihres Rechenzentrums.

 

 

Bedrohungslagen

Hier finden Sie eine Liste der aktuellen "Bedrohungslagen", die wir auch schon selbst im Rahmen von Support-Fällen miterleben mussten.

CEO-Fraud

Hier handelt es sich um einen Betrugsversuch, in dem vermeintlich die Identität eines Entscheidungsträgers (meist Geschäftsführer) angenommen und missbraucht wird. Konkret passiert der Betrug in Schritten:

Die erste Mail

Typischerweise wird von einer Absendermailadresse an eine Assistenzkraft des Geschäftsführers ein Mail geschickt, in dem nach einer möglichen Zahlung gefragt wird. Der Absendername wird meistens über die Webseiten des Unternehmens gut recherchiert. Üblich ist es auch, als Grußformel ein "LG Vorname Familienname, geschickt vom Smartphone" zu verwenden. Damit schöpft das Opfer selten Verdacht. Häufig wird auch darauf hingewiesen, dass die Rechnung für die bevorstehende Überweisung nachgereicht wird oder die Überweisung noch geheimzuhalten ist, weil es sich z. B. um einen Unternehmenskauf handelt.

Die erste Antwort

Wenn der Empfänger der ersten Mail nun auf den Angriff hereinfällt, so wird meistens geantwortet und für den Angreifer interessante Information zurückgemeldet. 

Der Schaden

Sobald nun "eine Vertrauensbasis" hergestellt ist und das Opfer sicher ist, dass es mit dem echten Geschäftsführer kommuniziert, ist es meistens relativ leicht für die Angreifer, eine Überweisung zu veranlassen. Oft geht diese dann in der Hektik des Tagesgeschäfts im Telebanking-Datenträger unter. Sobald das Geld überwiesen ist, ist es meist unwiederbringlich verloren.

Der effektivste Schutz gegen derartige Angriffe ist genaues Schauen und die Nutzung von verschiedenen Kommunikationskanälen. Idealerweise sollte die Geschäftsführung bei derartigen "komischen Zahlungen" sofort per Telefon kontaktiert werden und die Echtheit verifziert.

 

Emotet

Ursprünglich war Emotet der Name eines Banking-Trojaners, der erstmals 2014 von Sicherheitsexperten entdeckt wurde. Mittlerweile ist Emotet aber zum Überbegriff für viele gleich funktionierende Spam-Mail Attacken geworden. Der Ablauf ist immer ähnlich:

Jemand erhält ein Mail mit einem Attachment, das ausführbaren Code erhält. Der Empfänger dieser Mail öffnet das Attachment und erlaubt die Ausführung des eingebetteten Schadcodes. Und schon nimmt das Böse seinen Lauf. Der Schadcode liest im lokalen Mailprogramm alte Konversationen aus und schickt sich selbst unter Bezugnahme auf die alten Konversationen an Empfänger, die mit dem Opfer kürzlich kommuniziert haben. Dies führt dazu, dass die Empfänger weniger misstrauisch sind - kommt doch das Mail von jemand Bekanntem. Auch die Virenscanner haben meist keine Chance, derartige Mails zu erkennen, da sich der ausführbare Code in angehängten Dateien befindet, die meist sogar noch passwortgeschützte Archive sind, die von Virenscannern nicht geöffnet und analysiert werden können.

Aktuelle Fälle zu Emotet häufen sich in letzter Zeit massiv:

 Cobin Claims (AT) https://futurezone.at/digital-life/sammelklage-verein-wurde-opfer-von-e-mail-trojaner/400643549
 Uni Gießen (DE) https://www.heise.de/newsticker/meldung/Uni-Giessen-naehert-sich-nach-Hacker-Attacke-wieder-dem-Normalbetrieb-4628715.html
 Heise Verlagshaus (DE) https://www.heise.de/thema/Emotet
 Berliner Kammergericht (DE) https://www.heise.de/newsticker/meldung/Emotet-Berliner-Kammergericht-bleibt-bis-2020-weitgehend-offline-4569544.html
   

Als Abwehr gegen diese Art von Bedrohungen helfen einerseits ausgereife Spam-Filter Programme, die die Zustellung von solchen Schadsoftware-Mails bereits unterbinden. Weiters sollten auch direkt am Mailserver bereits Dateianhänge aus den Mails gefiltert werden, die potentiell gefährliche Anlagen enthalten könnten. Und natürlich sollten auch die Mitarbeiter sensibilisiert werden - häufig hilft auch einfach ein zweiter Blick auf ein Mail bevor man es öffnet.  

 

(D)DoS

(Distributed) Denial of Service Attacken nennt man Angriffe, die durch übermäßigen Datenverkehr Internet-Dienste lahmlegen. In der realen Welt können Sie sich das so vorstellen - dass sich 1000 Leute (ohne Kaufabsichten) vor der Tür eines Geschäfts drängeln und somit all jenen den Zugang verwehren, die eigentlich gerne etwas kaufen würden. Um solche Effekte in der elektronischen Welt zu erreichen, bedienen sich die Hacker sogenannter Bots. Das heißt, über die Verteilung diverser Virenprogramme wurden vorab einige Computer weltweit in Beschlag genommen um von diesen zur gleichen Zeit massiven Datenverkehr zu einem speziellen Angriffsziel auszuführen. Gegen diese Art von Attacken sind spezielle Maßnahmen wie z. B. GeoBlocking oder Bekämpfung direkt am Netzwerkrand (Border-Gateway) oder idealerweise noch davor erforderlich. 

Beispielsweise wurde A1 im Jahr 2016 über eine DDoS Attacke Opfer von Epressern

 

Phishing

Betrugsversuchen über Phising sind so gestaltet, dass der Empfänger eines Phising-Mails auf gefälschte Internet-Portale gelockt wird. Beispielsweise wird dem Empfänger die Information geschickt, dass seine Zugangsdaten zu seinem Bankkonto gesperrt wurden und er sich schnellstmöglich einloggen soll um weitere Informationen zu erhalten. Der im Mail enthaltene Link führt dann auf eine Internet-Seite, die darauf abzielt, echte Zugangsdaten zu einem Bankkonto zu erlangen. 

Wenn sich Phishing Attacken gezielt auf eine Person oder ein Unternehmen konzentrieren, spricht man auch von Spear-Phising oder Waterholing (Vergleich: Löwe liegt am Wasserloch und lauert seinem Opfer auf). 

Beispiele von Phishing Mails, die im Namen von Raiffeisen verschickt wurden, aber Fälschungen sind: https://www.raiffeisen.at/de/meine-bank/sicherheit/aktuelle-warnungen.html

 

Identity-Fraud

Hier nimmt der Hacker eine gefälschte Identität an und versucht so, Zahlungsströme umzuleiten oder gefälschte Rechnungen einzuschleusen. Konkret werden an Kunden ausgestellte Rechnungen abgefangen und gefälscht (z. B. die Kontodaten). Wenn der Kunde nun an die falsche Kontonummer überweist, dann ist das Geld unwiederbringlich verloren. 

Fall aus der Praxis: Lauda Motion wurde gehacked

 

Professionelle IT aus Heldenberg

  • Dlink Silver Partner
  • Ms Certified Systems Engineer
  • Lancom Solution Partner
  • Agfeo Fachhandelspartner
  • Terra Partner
  • ReinerSCT

Kontakt

PNC Professionelle Netzwerke & Computersysteme GmbH
Schlossallee 52
A-3704 Glaubendorf
Tel.: +43 2956 7001
info@pnc.at

Wien: Hagedornweg 2/74, 1220 Wien
Tel.: +43 (1) 3320905