Der Industriekonzern ThyssenKrupp wurde laut Medienberichten ins Visier von Cyber-Angreifern genommen. So soll das Unternehmen seit Februar 2016 im Fadenkreuz eines ausgeklügelten Hacker-Angriffs gestanden haben, der vom konzerninternen CERT (Cyber Emergency Response Team) im April 2016 aufgedeckt wurde. Die Angreifer hatten demnach versucht, eine dauerhafte Präsenz im Unternehmensnetzwerk des Konzerns zu etablieren.
Der jetzt bekannt gewordene Vorfall bestätigt unsere Einschätzungen, dass gezielte und ausgeklügelte Cyber-Angriffe durchschnittlich 90-120 Tage nach Infiltration unentdeckt bleiben. Insofern sind die Angreifer vergleichsweise schnell durch die Fachabteilung bei ThyssenKrupp entdeckt worden. Beispiele aus der Vergangenheit zeigen, dass hochkomplexe Spionageprogramme, die gezielt für ein bestimmtes Opfer oder eine Spionagekampagne eingesetzt wurden, unter Umständen auch für mehrere Jahre unentdeckt bleiben können. Ein solches Spionage-Framework war beispielsweie Uroburos.
Anatomie eines gezielten Angriffs
Ein solcher Angriff läuft im Allgemeinen nach einem bestimmten Muster ab: zuerst sammeln die Angreifer Informationen über das Ziel. Dann entwickeln sie aus den gewonnenen Informationen eine Strategie, wie sie einen Zugang zum Netzwerk bekommen können. Hierzu können verschiedene Methoden eingesetzt werden, von Schadsoftware bis Social Engineering. Sobald die Täter Zugang zum Unternehmensnetz haben, versuchen sie normalerweise, ihre Reichweite zu vergrößern, indem sie ihre Zugriffsmöglichkeiten erweitern. Sobald dann interessante und wertvolle Daten ermittelt wurden, kann mit der Exfiltration, also dem eigentlichen Diebstahl der Daten begonnen werden.
Wie hoch entwickelt die im Falle von ThyssenKrupp verwendete Backdoor-Software tatsächlich allerdings ist, lässt sich zu diesem Zeitpunkt noch nicht sagen. Es ist jedoch wichtig zu unterstreichen, dass nicht jede Spionagesoftware aus speziell für das Ziel maßgeschneiderten Komponenten besteht. Angreifer verwenden öfter bereits existierende Werkzeuge, um ihrerseits Kosten zu sparen. Einer Stellungnahme von ThyssenKrupp zur Folge existieren Hinweise, dass der Angriff seine Ursprünge im asiatischen Raum hatte.
Nicht nur Großunternehmen sind betroffen
Nach Analysen von GE Capital befanden sich im vergangenen Jahr 44 % aller mittelständischen EU-Patente im Besitz hiesiger Unternehmen. Es ist daher nicht verwunderlich, dass mittelständische Unternehmen immer stärker in den Fokus von Cyberspionen und Online-Kriminellen geraten. So waren laut BSI 58 Prozent der Unternehmen und Behörden in Deutschland in den vergangenen zwei Jahren Ziel von Angriffen auf ihre Informations- und Kommunikationstechnik.
Rückblick: Uroburos – Spionageprogramm mit russischen Wurzeln
Die Sicherheitsexperten von G DATA hatten 2014 eine hochentwickelte und komplexe Schadsoftware entdeckt und analysiert, deren Ziel es ist, hochsensible und geheime Informationen aus High-Potential-Netzwerken, wie staatlichen Einrichtungen, Nachrichtendiensten oder Großunternehmen zu stehlen. Das Rootkit mit dem Namen Uroburos arbeitet autonom und verbreitet sich selbstständig in den infizierten Netzwerken. Auch Rechner, die nicht direkt mit dem Internet verbunden waren, wurden von diesem Schädling angegriffen. Eine solche Software konnte nach Einschätzung von G DATA nur mit hohen Investitionen in Personal und Infrastruktur realisiert werden. Das Design und der hohe Komplexitätsgrad des Schädlings lassen daher einen Geheimdienstursprung vermuten. Analysen führten damals zu dem Schluss, dass Uroburos russische Wurzeln besaß. Der hochkomplexe Schädling war bis zur Entdeckung und Analyse durch G DATA unerkannt geblieben.
