IT-Security

Ein Praxisbericht: Warum sich Cyber Awareness lohnt

Es geschah mittwochs. Unser SOC schlägt Alarm. Jetzt passiert das, wofür wir trainiert haben. Medialine wurde angegriffen – gezielt, mit Phishing.

Marie Götzl
Mai 21, 2024

Aus der Praxis: IT-Sicherheitsvorfall bei Medialine

Es war kein Freitagnachmittag, es geschah mittwochs gegen 11 Uhr. Unser SOC schlägt Alarm. Binnen Minuten wird dem Team klar: Jetzt tritt der Ernstfall ein. Jetzt passiert das, wofür wir jahrelang trainiert haben. Medialine wurde angegriffen gezielt, mit Phishing
Wenn Sie eines aus diesem Praxisbericht mitnehmen sollten, dann: Das, was unsere Security-Experten immerzu im Kundenkontakt predigen, ist keine leere Worthülse. Cyber Awareness lohnt sich. Ihre menschliche Firewall sollte stark sein, so wie die technische. Denn Phishing wird früher oder später jeden treffen; selbst jene, deren Kerngeschäft darin besteht, über Cyber Security aufzuklären. Die Angriffe werden mehrstufiger, komplexer, gewiefter. So gewieft, dass selbst ein trainierter User getäuscht werden kann. Der Unterschied von unserem Vorgehen im Vergleich zu dem unserer Kunden, BEVOR sie mit uns arbeiten? Durch präventive Maßnahmen waren wir auf die Attacke vorbereitet. Aber lesen Sie selbst.  
 
Es war also ein Mittwochvormittag.  
 
Das Security Operations Center alarmierte die Geschäftsführung und Teamleiter über ungewöhnliche Aktivitäten. Schnell bildete sich ein Krisenstab. Alle Beteiligten wussten: Es besteht eine Lageänderung. Jetzt geht es um schnelle Entscheidungen und die Trainings für den Angriffsfall zahlten sich aus. 
  • Es wurden umgehend forensische Maßnahmen eingeleitet.  
  • Das interne Sicherheitsprotokoll wurde hochgefahren. Ein Teil davon: Log-Ins in das Firmennetzwerk aus bestimmten Ländern wurden mit sofortiger Wirksamkeit eingeschränkt.  
  • In weniger als einer Stunde konnte der Angriffsvektor, der Zeitpunkt und die Art des Angriffs eindeutig identifiziert und damit isoliert werden.  
  • Die Attacke wurde abgewehrt, kein Fremder drang in interne Systeme ein, die Hacker hatten ihr Angriffsziel verfehlt.  
  • Die Ergebnisse der Forensik wurden transparent und unternehmensweit geteilt.  

Was war passiert?

Ein Geschäftspartner der Medialine Group war im Vorfeld Opfer eines Cyber-Angriffs geworden. Unsere Mitarbeitenden standen mit diesem Partner in engem E-Mail-Kontakt. Dadurch konnten die Hacker täuschend echte Phishing-Mails gestalten und auf unser Unternehmen personalisieren (Spear Phishing). Die Attacke wurde über Microsoft Power Apps konstruiert und in Azure gehostet. Die Phishing Mails wurden von einem als “vertrauensvoll” anzusehenden Microsoft 365 Account versendet, den die Cyberkriminellen gezielt dafür angelegt hattenso customized wirkte die Phishing-Mail sogar auf viele gut geschulte Kollegen glaubhaft und vertrauenswürdig. Denn trotz Security Awareness Trainings, die seit langer Zeit unternehmensweit durchgeführt werden, kann nie vermieden werden: eine Person klickt immer, ungefähr 30 von 100 Menschen klicken für gewöhnlich. Denn ein üblicher Phishing Angriff verzeichnet eine “Erfolgsquote” von 30 Prozent. Spear Phishing steigert die Chancen der Hacker dabei noch. So äußert sich Martin Hörhammer zur Attacke.:

Nur durch exzellente Vorbereitung konnten wir den Angriff und seine weitere Verbreitung stoppen. Ein intaktes Sicherheitsprotokoll und Sicherheitsrichtlinien wie Zwei-Faktor-Authentifizierung sollten mittlerweile Common Sense sein.

Martin Hörhammer
CEO, Medialine AG Martin Hörhammer

 

Der Vorstand der Medialine Group weiß wie Ratlosigkeit im Security-Notfall bereits vielen Unternehmen zum Verhängnis wurde. COO von Medialine, Stefan Hörhammer, zieht ein weiteres Learning:

Spear Phishing zwingt dazu, in Zukunft selbst auf Kunden- und Partnerseite die Wachsamkeit hochzuhalten.

Medialine_Group_GF_SH_quadrat_01 (1)
COO, Medialine AG Stefan Hörhammer

 

Gefällt Ihnen der Artikel bis hierhin? Dann teilen Sie diesen doch über Ihre sozialen Netzwerke!

 

Beide Führungskräfte sind trotz aller Aufregung ungemein zufrieden mit dem Krisenreaktionsteam. "Mit welch Einsatz und Professionalität dort gearbeitet wurde, hat uns mächtig stolz gemacht", fügt Stefan Hörhammer hinzu. 

 

Was wäre, wenn?

"Was wäre passiert, wenn wir keinen Attack Defense Sensor, keinen Multiple Virtual Storage oder keine unternehmensweite Zwei-Faktor-Authentifizierung gehabt hätten? Nicht auszudenken, hätten wir diese Schutzmaßnahmen im Vorfeld nicht getroffen. Wir haben unsere Hausaufgaben gemacht, darum fiel es uns leicht, den Angriff abzuwehren", resümiert Martin Hörhammer. Und weiter: "Jedes Restrisiko, dass die Hacker in interne Systeme eindringen können, sollte man so gut wie möglich DAVOR abfedern."
Stefan Hörhammer ergänzt: "Der Faktor Mensch ist und bleibt eine der größten Schwachstellen, kein Wunder bei dieser täglichen Informationsflut." Er geht fest davon aus, dass sich ähnliche Angriffsszenarien wiederholen werden. "Für diese ist kein ausschließlich technischer Schutz verfügbar, daher werden auch wir zukünftig noch mehr in Cyber Awareness investieren!"

 

Anatomie einer Phishing-Attacke

Den Security-Leitspruch können nun auch wir anhand von eigenen Erfahrungen bestätigen: Der User ist in der Interaktion die größte potenzielle Fehlerquelle, auf die Phishing abzielt. Und wie könnte eine ausgeklügelte, mehrstufige Phishing-Attacke mit dem Ziel von Identitätsdiebstahl ablaufen? Führen Sie sich einmal die untenstehende Grafik zu Gemüte.

Ablauf_einer_Phishing_Attacke_DE_240423_web

Das Opfer hat keine Ahnung von der Komplexität, die sich im Hintergrund abspielt. Die einzige ungewöhnliche Aktivität ist schwer erkennbar. Es handelt sich um einen minimalen Unterschied zur originalen Microsoft Website: der "Wer"-Bereich der URL ist nicht login.microsoftonline.com, oftmals aber täuschend ähnlich. Wird diese Kleinigkeit übersehen, gelangen die Hacker an die Login-Daten des Users. Der nächste Trigger des Hacker-Servers ist Resultat eines simplen Darknet-Einkaufs: ein Device zur Multi-Faktor-Authentifizierung. Gefakte Website Nummer zwei - auf der das Opfer bereitwillig den zweiten Faktor eingibt - ist der Schlüssel für die Cyberkriminellen. Im wahrsten Sinne des Wortes, denn dadurch können sie eine Art "Schlüsselkopie" anfertigen und ein weiteres mobiles Endgerät für den MFA-Prozess einrichten. Jetzt können sich die Hacker mit dem eigenen Mobiltelefon verifizieren und erlangen Zugriff auf die Microsoft-Applikationen des Users.  

 

Offizieller Partner der Allianz für Cyber-Sicherheit

Medialine als Ihr Security Awareness Partner 

Logo_Allianz_fuer_Cyber-Sicherheit_PartnerMedialine ist offizieller Partner der Allianz für Cyber-Sicherheit, die vom BSI ins Leben gerufen wurde. Unsere Security-Experten beraten Sie und Ihre Mitarbeitenden gerne zu bewährten Verfahren zum Schutz von IT-Systemen vor unbefugtem Zugriff, unbefugter Nutzung, Offenlegung, Störung, Änderung oder Zerstörung.  

IT-Schulungen stärken dabei die Sicherheit Ihrer IT-Infrastruktur nachhaltig.

 

Möchten Sie mehr über Cyber Awareness erfahren?

Jetzt Kontakt aufnehmen!

Sie möchten Ihre Awareness stärken? Vereinbaren Sie einen unverbindlichen Beratungstermin über das untenstehende Kontaktformular oder wenden Sie sich direkt an Ihren Account Manager. 

Anfrage-Formular
IT-Security IT-News

Weitere Artikel

IT-Security

Security Awareness für Ihr Unternehmen

Security Awareness ist in der modernen Geschäftswelt unerlässlich, denn jeder Mitarbeitende ist ein potentielles Angriffsziel für Cyber-Kriminelle.

Anton Buchner Mär 12, 2024

Über IT-News auf dem Laufenden bleiben

Einmal im Monat informieren wir zu aktuellen Trend-Themen, News und Veranstaltungen aus der IT-Welt. Zusätzlich erhalten Sie im Bedarfsfall Sondernewsletter, falls es aktuelle Entwicklungen oder Sicherheitsrisiken nicht zulassen, Ihnen diese Informationen bis zum nächsten planmäßigen Newsletter vorzuenthalten.

Unsere Datenschutzhinweise, die Sie umfassend über unsere Datenverarbeitung und Ihre Datenschutzrechte informieren, finden Sie hier. 

Willkommen an Bord! Bitte halten Sie sich fest, während wir durch den Datenstrom segeln.