Wie man eine Firma per Beratungsgespräch hackt

Am 27. Januar 2021 hat der Cybersecurity-Anbieter Infoguard keine Gäste zum Hauptsitz nach Baar eingeladen. Aufgrund der bundesrätlichen Einschränkungen im Rahmen der Coronamassnahmen, konnte der Infoguard Innovation Day nicht wie gewohnt stattfinden. Die 9. Ausgabe des jährlichen Events wurde daher zum ersten virtuellen Anlass des Unternehmens.

Die digitale Version des Innovation Days bot den Teilnehmenden alles, was langjährige Besucher und Besucherinnen sich gewohnt sind - nur eben ein bisschen anders. Die 15 Hersteller etwa zeigten ihre Lösungen an virtuellen Ständen. Und da auch das Networking nicht zu kurz kommen darf, hatte Infoguard eine Lounge im Internet-Browser eingerichtet. Wie in einem Videospiel konnte man seinen Avatar durch den Raum bewegen und wenn man nahe genug an eine andere Person kam, schalteten sich Kamera und Mikrofon ein für einen spontanen Videocall.

Virtuelles Networking am Infoguard Innovation Day 2021. (Source: zVg)

"Natürlich hätten wir lieber ein persönliches Gespräch vor Ort geführt, wir waren aber sehr positiv überrascht, wie rege die Networking-Zone genutzt wurde. Das hat uns sehr gefreut!", sagt Infoguard-CEO Thomas Meier dazu auf Anfrage.

Der CEO ist nach eigenen Angaben sehr zufrieden mit der Umsetzung und dem Feedback der Kunden und Partner zur ersten komplett virtuellen Hausmesse. "Mit den über 500 Teilnehmenden wurden unsere Erwartungen bei weitem übertroffen", sagt Meier.

Thomas Meier, CEO von Infoguard. (Source: zVg)

"Durch den überwältigenden Erfolg des ersten virtuellen Innovation Days können wir uns durchaus vorstellen, dass wir auch in Zukunft unsere Events - sprich den Innovation Day zu Jahresbeginn sowie die Security Lounge im Sommer - als hybride Veranstaltung konzipieren könnten", sagt Meier. Ein entsprechendes Konzept sei gerade in Arbeit.

Wie Huber+Suhner Opfer und dann Herr einer Cyberattacke wurde

Zu den thematischen Highlights des Tages gehörten die beiden Keynotes. Den ersten Keynote-Vortrag hielt Alexander Graf, CIO von Huber+Suhner. Graf sprach über die Cyberattacke auf den Herisauer Komponentenhersteller im vergangenen Dezember.

Huber+Suhner wurde zu der Zeit Opfer einer Ransomware. Das Unternehmen konnte aber wenige Tage darauf, am 15. Dezember, die Systeme bereits wieder schrittweise hochfahren. Auf Wunsch von Huber+Suhner bleiben die Details des Vortrags an dieser Stelle ungenannt.

Alexander Graf, CIO von Huber+Suhner. (Source: zVg)

In den Worten von Infoguard-CEO Thomas Meier: "Alexander Graf hat in seinen packenden Ausführungen von der Cyberattacke im vergangenen Dezember berichtet und wie ihn unser Infoguard CSIRT bei der Bewältigung dieser Krise kompetent und schnell unterstützt hat. Wir sind sehr stolz, dass wir Huber+Suhner in dieser schwierigen Situation tatkräftig unterstützen und helfen konnten."

Zum Abschluss seiner Keynote riet Graf: "Sämtliche Endpoints brauchen Multifaktor-Authentifizierung (MFA)!" Zudem empfahl er, das eigene Security-Monitoring immer wieder aufs Neue scharf zu kalibrieren und ein durchdachtes Network-Zoning-Konzept aufzustellen.

Lesen Sie hier mehr zum Cyberangriff auf Huber+Suhner.

Wie die IT wegen Corona Opfer des eigenen Erfolges wird

Die zweite Keynote hielt Hannes Lubich. Der emeritierte FHNW-Professor und Partner bei Ad Vantis Innovation sprach über die Auswirkungen von Corona auf die IT. Die Krise war ein klarer Treiber der Digitalisierung - aber wie nachhaltig ist diese Veränderung?

Lubichs erste These: Die Welt wurde noch abhängiger von ICT und wird es auch dauerhaft bleiben. Die Coronakrise habe gezeigt, dass die Arbeit auch im Homeoffice geht - ohne Geschäftsreisen und lange Pendelwege. Die Akzeptanz für Reisen werde daher sinken.

Die Qualität und die Sicherheit haben sich dadurch aber nicht verbessert, so lautete eine weitere These. "Wenn es mal ruckelt oder Bild und Ton nicht synchron sind, verschmerzen wir das", sagte Lubich.

Bei der Qualität ist das weniger dramatisch, aber dass dies auch bei der Sicherheit geschehe, bereite ihm Bauchschmerzen. Gemeint ist unter anderem die vermehrte Mischnutzung von Privat- und Arbeitsgeräten. "Um das Homeoffice am Laufen zu halten, wurden Sicherheitsregeln und Kontrollsysteme ausser Kraft gesetzt", sagte Lubich.

Hannes Lubich, Partner bei Ad Vantis Innovation. (Source: zVg)

Ferner glaube auch niemand mehr an die Budgets und Zeitpläne der IT-Verantwortlichen. Diese These begründet Lubich damit, dass die IT-Verantwortlichen während der Coronapandemie oftmals ohne zusätzliche Budgets alle Mitarbeitenden innert Wochen ins Homeoffice schicken konnten.

"Als Verwaltungsrat oder CEO habe ich jetzt das perfekte Argument, wenn die IT mit Budgetanpassungen kommt: Ihr habt das während Corona ja auch ohne geschafft!", sagte Lubich. Die IT-Verantwortlichen könnten also nun Opfer ihres eigenen Erfolgs werden.

Verschiedene Wege führen ins Netzwerk

Auch die Experten von Infoguard stellten am Innovation Day ihre Expertise unter Beweis. So sprach etwa Lukas Reiter über die Angriffstrategien von Cyberkriminellen. Reiter ist Senior Penetration Tester, Cybersecurity-Analyst und Mitglied des Red Teams von Infoguard. Das heisst, er setzt diese Strategien zuweilen selber ein, um die Cyberabwehr von Kunden zu prüfen.

Es gibt verschiedene Wege, um in ein Netzwerk einzudringen. Ein beliebtes Mittel, erklärte Reiter, seien Spear-Phishing-Attacken. Diese seien so beliebt, weil der Aufwand eher gering ist, die Attacken anonym erfolgen können, aber die Erfolgswahrscheinlichkeit durchaus hoch ist.

Wenn sich ein Nutzer direkt über eine verschlüsselte Verbindung online anmeldet, hat der Angreifer gemäss Reiter keine Chance. Daher versuchen Angreifer ihre Opfer per Phishing auf andere Website umzuleiten, die den Originaldiensten wie etwa Twitter und Co. täuschend echt ähneln.

Auch eine virtuelle Hausmesse braucht eine Lobby. (Source: zVg)

Gewisse Tools, wie etwa Evil Ginx, helfen dabei. Das Programm kann etwa alle Authorization-Tokens und Session-Cookies automatisiert abfangen und bereitstellen. So kann der Angreifer sich über den Account des Opfers anmelden.

Hack per Beratungsgespräch

"Wenn Spear-Phishing nicht funktioniert, müssen wir aggressiver werden", sagte Reiter. Gemeint ist etwa physisches Social Engineering - man stattet also der Opferfirma einen Besuch ab.

Bei einer Firma mit viel Kundenkontakt kann man sich etwa als Kunde ausgeben und um ein Beratungsgespräch bitten. Diese würden sich besonders gut eignen, da man viel Zeit habe, eine persönliche Beziehung zum Berater aufzubauen. Diese persönliche Beziehung wiederum sei wichtig, um den Berater anschliessend um etwas zu bitten, was er eigentlich nicht tun sollte.

"Ich gebe etwa gerne vor, nach dem Beratungsgespräch noch ein Bewerbungsgespräch zu haben", sagte Reiter. Er gebe dann vor, etwas nervös zu sein, weil er vorher ein Missgeschick hatte und Kaffee über seinen CV ausgeleert hat.

Darauf folgt die Frage, ob der Kundenberater die Dokumente nicht rasch von einem mitgebrachten USB-Stick ausdrucken könne. Auf dem Stick sind jedoch keine Unterlagen, sondern eine Applikation, die eine Verbindung zu einem C&C-Server aufbaut - die Hintertür ins Unternehmen ist geöffnet.

Der virtuelle Messestand von Infoguard am Innovation Day 2021. (Source: zVg)

Daher sei es wichtig, MFA nicht als Allheilmittel anzusehen. "Alle Massnahmen sind relevant und greifen ineinander", sagte Reiter. Und in so einem Multi-Layer-Ansatz sei auch die Awareness der Nutzer essenziell.

Die Messeplattform bleibt gemäss Infoguard noch bis zum 2. Februar online. Die Aufzeichnungen alle Präsentationen können bis zu dem Zeitpunkt angesehen werden.