Den 24. Juli werden die 1300 Angestellten und Kaderleute der Meier Tobler AG mit Sitz im luzernischen Nebikon wohl nie vergessen. Fast alle Teile der IT-Infrastruktur des Haustechnikanbieters waren lahmgelegt. Das traf die Firma heftig. Vier Arbeitstage dauerte der ausgelöste Lieferunterbruch im Zentrallager und verursachte laut Unternehmen eine geschätzte Umsatzeinbusse von rund 5 Millionen Franken plus Sonderkosten von bis zu 2 Millionen Franken. Der Halbjahresumsatz des Haustechnikanbieters mit schweizweit 47 Verkaufsstellen liegt 2019 bei knapp 242 Millionen Franken.
«Um so etwas zu verhindern, sollte jedes Unternehmen das Worst-Case-Szenario eines Cyberangriffs präventiv von A bis Z durchdenken und konkret üben», formuliert Unternehmenssprecher Martin Schäppi eine wichtige Lehre (siehe Box unten). Zum eingetroffenen Worst Case bei Meier Tobler gehörte zum Beispiel der komplette Ausfall des Intranets und damit des Zugriffs auf sämtliche Kundenkontakte, Agendaeinträge und Telefonnummern. Vom Angriff mit einem Verschlüsselungstrojaner (Ransomware) betroffen waren das Lagerleitsystem, die Festnetz-Telefonie, die Website sowie Outlook mit E-Mail, Agenden und Kontakten.
Weil viele KMU noch nicht wissen, dass sie betroffen sind, könnte es früher oder später zum Crash kommen.
Bestellungen konnten zwar weiterhin aufgegeben und die Service-Organisation für Heizungs- und Klimaanlagen weiterbetrieben werden. Auch die Kundendaten des börsenkotierten Unternehmens waren vom Angriff nicht direkt betroffen. Aber der Schaden war angerichtet. Ausgelöst wurde er durch eine böswillige Variante des Verschlüsselungstrojaners Cobalt Strike. Die Ransomware war im Anhang einer gefälschten Bestätigung für eine Hotelbuchung einer Angestellten versteckt. «Die Mitarbeitende hatte keine Chance, die Fälschung zu erkennen», schildert Sprecher Schäppi die Details.
Meier Tobler ist die Spitze eines Eisberges, der immer grösser wird. «Anhand der aktuellen Vorkommnisse schätzen wir, dass sehr viele Schweizer KMU betroffen sind», stellt Ernesto Hartmann vom Cyber-Security-Spezialisten Infoguard in Baar ZG fest. Oftmals sehe er zudem, dass Angreifer ganz gezielt kleinere Unternehmen mit weniger als zwanzig Angestellten angriffen, um diese dann als Werkzeug für eine gezielte Attacke auf ein grösseres Unternehmen zu missbrauchen. Auch werde die Infizierung oft erst sehr spät erkannt und dann sei es zu spät.
Weil die meisten KMU in der Schweiz gar noch nicht wüssten, dass sie betroffen seien, komme es früher oder später zum Crash, sagen nicht wenige andere Cyber-Experten hinter vorgehaltener Hand voraus. Schätzungen aus verschiedenen IT-Support-Unternehmen gehen davon aus, dass inzwischen bis zu 60 Prozent aller Schweizer KMU infiziert sind.
Als «ganz klar primären Infektionskanal» macht Hartmann von Infoguard E-Mails aus. Denn auf diesem Weg sei es einem Angreifer möglich, fast jedem Angestellten in einem Unternehmen ein bösartiges Dokument auf den Computer zu schicken, beispielsweise mit einem Makro oder in einer Word-Datei.
Nicht zufällig machen immer mehr Unternehmen ihre Erfahrungen seit ein paar Wochen öffentlich. Zu den betroffenen Unternehmen zählen neben Meier Tobler unter anderem der Bürobedarf-Grossist Offix, der Busbetreiber Auto AG Group in Rothenburg LU, der Industriemineralienproduzent Omya sowie der Zürcher Banken-IT-Spezialist Crealogix. Die Lösegeldforderungen der vor einigen Wochen angelaufenen Angriffswelle auf mittlere und grosse Schweizer Firmen bewegen sich laut Infoguard im Bereich zwischen 19 000 Franken und 5,65 Millionen Franken.
Die Angriff-Szenarien
Stufe 1: Initial Compromise
Die Angreifer versenden gezielt schädliche E-Mails an Schweizer Unternehmen, um diese mit Ransomware zu infizieren. Die Mails beinhalten in der Regel einen schädlichen Dateianhang oder einen Link auf eine bösartige Website. Jetzt ist der Hacker im System. Auch scannen Angreifer derzeit systematisch das Internet nach offenen VP-Nund Terminal-Servern und versuchen, mittels Brute-Forcing ebenfalls Zugriff zu erhalten.
Stufe 2: Lateral Movement
In einschlägigen Internetforen werden die lautlos gekaperten Zugänge zu infizierten Computern in Schweizer Unternehmen oder Servern zum Verkauf angeboten. Diese Computer sind in der Regel mit Emotet, Trickbot oder vereinzelt auch mit Qbot infiziert. Die organisierte Kriminalität «kauft» diese infizierten Computer und infiltriert sodann das gesamte Netzwerk des Opfers.
Stufe 3: Privilege Escalation
Die Hacker haben in dieser letzten Eskalationsstufe vollen Zugriff auf sämtliche Passwörter und können als IT-Administrator auftreten. Sie können damit Algorithmen unterwandern und in eine falsche Richtung lenken. Sie entscheiden unsichtbar und sind der Albtraum jedes Unternehmens, jedes Konzerns und jedes öffentlichen oder privaten Infrastrukturbetreibers.
Quelle: Aus Empfehlungen der Meldestelle des Bundes (Melani)
Was waren die wichtigsten Abwehrmassnahmen von Meier Tobler, um das Unternehmen am Leben zu erhalten? «Wir haben sofort mit der Melde- und Analysestelle Informationssicherung (Melani) des Bundes Kontakt aufgenommen, externe Spezialisten zugezogen und den von den Erpressern geforderten Millionenbetrag nicht bezahlt», fasst Sprecher Schäppi zusammen. Auch habe das Unternehmen seine Kunden offen informiert. «Viele reagierten dann so: Jetzt muss ich meine eigene IT selber dringend überprüfen», so Schäppi.
Konkret rät der Unternehmenssprecher, von allen Daten regelmässig ein Backup zu erstellen, das komplett vom Netz getrennt sein müsse, und das Einspielen dieses Backups auch zu testen. «Absolute Sicherheit vor einem Angriff gibt es nicht mehr, weshalb ein Unternehmen jederzeit für einen kompletten IT-Neustart gerüstet sein muss», bringt es Schäppi auf den Punkt. Seine Empfehlungen decken sich mit denen der Meldestelle Melani von Ende Juli (siehe Box rechts).
«Erstellen Sie regelmässig Sicherungskopien Ihrer Daten, zum Beispiel auf einer externen Festplatte. Nutzen Sie dabei das Zweigenerationenprinzip, das heisst, machen Sie mindestens täglich und wöchentlich, wenn nicht sogar zusätzlich monatlich ein Update», schreibt die Meldestelle. Sie empfiehlt zudem dringend die physische Trennung des Sicherungsmediums vom Computer beziehungsweise vom Netzwerk.
Auch von Lösegeldzahlungen rät Melani klar ab. Damit würden die Kriminellen nur unterstützt und ihnen ermöglicht, ihre Infrastruktur für weitere Erpressungen auszubauen. Ausserdem gebe es keine Garantie, die Schlüssel für die Wiederherstellung der Daten tatsächlich zu bekommen.
Der Angriff auf Meier Tobler Ende Juli ist übrigens kein Zufall. Die Sommerund Weihnachtsferien sind das perfekte Zeitfenster für kriminelle Hacker. Es sind weniger Angestellte im Büro und ihre Aufmerksamkeit vor dem Computer sinkt hitzebedingt teilweise drastisch. Bereits seit Anfang Juli registrierte die Meldestelle Melani des Bundes vermehrt gezielte Angriffe mittels infizierter E-Mails, sogenanntes Spear-Phishing. Auf die Angriffswelle durch Ransomware hatte die Meldestelle Melani erstmals am 9. Mai eindringlich aufmerksam gemacht. Spätestens jetzt sollten Schweizer KMU die Warnung ernst nehmen und konkrete Massnahmen ergreifen, auch wenn ihre Auftragsbücher randvoll sind und sie eigentlich keine Kapazitäten mehr dafür haben. Es lohnt sich, ein paar Aufträge abzulehnen oder zu verschieben, damit man eines Tages überhaupt noch Aufträge ausführen kann.
Empfohlene Massnahmen
Für Wolken
Bei cloudbasierten Backup-Lösungen sollte man sicherstellen, dass der Provider analog zum klassischen Backup mindestens über zwei Sicherungsgenerationen verfügt und diese für eine Ransomware nicht zugreifbar sind. Dies ist zu erreichen, indem für kritische Operationen immer eine Zweifaktor-Authentifizierung verlangt wird.
Konsequente Updates
Sowohl Betriebssysteme als auch alle auf den Computern oder Servern installierte Applikationen wie Adobe Acrobat Reader, Adobe Flash oder Java sollten konsequent und schnell auf den neuesten Stand gebracht werden, am besten mit der automatischen Update-Funktion.
Einfallstore
Mit einem zweiten Faktor geschützt werden müssen auch alle vom Internet erreichbaren Ressourcen wie Terminal-Server, RAS-und VPN-Zugänge; Terminal-Server sollten konsequent hinter ein VPN-Portal gestellt werden. E-Mails Blockiert werden sollte der Empfang von gefährlichen E-Mail-Anhängen auf dem E-Mail-Gateway. Dazu zählen auch Office-Dokumente mit Makros. Eine Liste mit gefährlichen Dateianhängen gibt es unter www.govcert.ch/downloads/blocked-filetypes.txt
Quelle: Meldestelle des Bundes (Melani)