ich war hier: DSFallErschwindelteUeberweisung

Fallbeispiel: Erschwindelte Überweisung

Social Engineering und seine weitreichenden Folgen

Szenario

Das Unternehmen K in Oberfranken produziert Kompressoren. Das Besondere an den Produkten ist ihre zentrale Steuerung über IP-Netze, die mit den eingebauten Sensoren besonders effizient zusammenarbeitet. Chinesische Hersteller können technisch vergleichbare Systeme günstiger anbieten. Die cloudbasierte Steuerung über IP-Netze ist aber eine Besonderheit, bei der K einen beachtlichen Wettbewerbsvorsprung besitzt. Die Geräte von K können mit Serversystemen der Kunden zentral gesteuert werden. Die Kundenserver sind - dank Verbindungen zur Cloud von K - für den Kunden wartungsfrei (automatische Updates etc.), die Geräte funktionieren länger, effizienter und Störungen sind seltener.

Um einen Geschäftsabschluss zu einem Projekt im Nahen Osten vorzubereiten, reist die Unternehmensleitung, insbesondere die beiden Geschäftsführer G und H, nach Dubai. Einer der teilnehmenden Mitarbeiter M postet privat auf Instagram Bilder und Informationen über die Reise, twittert auch in Absprache mit der PR-Abteilung einige Hintergründe der erfolgreichen Reise.

Darauf hin - am zweiten Tag der Reise - erhält die Assistentin A der Geschäftsführung eine E-Mail mit der Information der durch die Geschäftsleitung genutzten Fluglinie, dass der Rückflug womöglich nicht wie geplant stattfinden kann. Die A folgt dem Link in der Nachricht, der sie zu einer Webseite der Fluglinie lotst, allerdings scheinen die meisten Funktionen der Webseite nicht korrekt zu funktionieren. Per Telefon kann die A direkt mit der Fluggesellschaft klären, dass es sich wahrscheinlich um einen Irrtum handelt.

Am Folgetag erhält A eine weitere Nachricht - diesmal von einem der Geschäftsführer G - dass die Zahlung der Kosten für Hotelübernachtungen sowie regionale Reisen von Dubai aus zum Kunden nicht mit Kreditkarten beglichen werden konnten. Er bittet um eine Blitzüberweisung auf ein von ihm genanntes Konto des angeblichen Reiseveranstalters vor Ort. Da A sich noch eine Bestätigung von Mitarbeitern des Rechnungswesens holen will, wird sie darauf aufmerksam gemacht, dass womöglich etwas nicht stimmt. Als sie ungeduldig auf einen Rückruf des G wartet (weil dieser vorerst nicht erreichbar ist) erhält sie von der Nummer seines Mobiltelefon einen Anruf. Die Sprachqualität ist zwar sehr schlecht, aber A versteht, dass sie eine schnelle Überweisung tätigen soll. Im Nachgang erhält A eine weitere Bestätigung per E-Mail von G, in der sie auch auf die Dringlichkeit der Angelegenheit im schroffen Ton zum unverzüglichen Handeln aufgefordert wird. Da die Mitarbeiterin aus dem Rechnungswesen den G auch nicht erreichen kann, entscheiden beide, die geforderten 23.314,- EUR in Landeswährung zu überweisen.

Während sich die Delegation auf Rückreise befindet, meldet G der A, dass die SIM-Karte seines Telefons nicht funktioniert und bittet um Bestellung einer neuen. Im Kontakt mit dem Mobilfunkanbieter stellt sich heraus, dass eine e-SIM gerade neu aktiviert wurde. A meldet den Vorfall dem G und fragt zugleich, ob die Überweisung helfen konnte. G bestreitet, die Überweisung verlangt zu haben. Es stellt sich heraus, dass das Unternehmen Opfer eines Betrugs geworden ist.

Die ersten Erkenntnisse deuten darauf hin, dass die von A besuchte Webseite der Fluggesellschaft ein Fake war, ebenso, wie die Nachricht, der A folgte. Auf der Webseite konnte die Möglichkeit identifiziert werden, Schadsoftware herunterzuladen.
Der vom Rechner der A installierte Trojaner hat die Netzwerkfreigaben in K infiziert, durchsucht, weitere Systeme infiziert und ca. 8 GB an Daten an ein Botnetz gesendet. Die Mitarbeiter von K stellen fest, dass zumindest theoretisch auch die Rechner des Cloud-Systems zur Versorgung der Kundenserver infiltriert sein könnten.

Der Zwischenfall soll aufgearbeitet werden.
Insbesondere sollen eingetretene Schäden beseitigt und potenzielle und noch nicht eingetretene für die Zukunft ausgeschlossen werden.

Die erste Frage, die sich aufdrängt, ist: welche Folgen hat der Angriff als solcher?

Mögliche weitere Fragen für die Prüfung (und Praxis) wären:
  • Warum war der Angriff möglich?
  • Welche Maßnahmen würden diesen Vorfall verhindern?
  • Welche Maßnahmen würden zumindest die Folgen des Angriffs abmildern?
  • Was hätte die Geschäftsleitung von K im Vorfeld unternehmen müssen?
  • Wie ist hier im Einzelnen vorzugehen (nachdem es zum Zwischenfall gekommen ist)?




Dieses Szenario basiert auf dem Dokument des bitkom "Kosten eines Cyber-Schadensfalles". Die Lektüre des verlinkten Dokuments ist sehr zu empfehlen.

Szenariotext als PDF


CategoryDatensicherheit
Diese Seite wurde noch nicht kommentiert.
Valid XHTML :: Valid CSS: :: Powered by WikkaWiki