243 Tage – wie ein unsicheres Passwort Hackern acht Monate Zugriff auf Unternehmensgeheimnisse gewährte

Microsoft Cyber Defense Operations Center

Eine Hacker-Gruppe infiltriert unbemerkt das Netzwerk eines multinationalen Konzerns – für 243 Tage. Sie hat Zugriff auf sensible Daten, Unternehmensgeheimnisse und E-Mails. Das Microsoft Detection and Response Team (DART) greift ein und beendet die Industriespionage. Doch wie konnte es soweit kommen? Die Analyse zeigt: Vermutlich begann alles mit einem unsicheren Passwort – und es gab noch weitere unentdeckte Angriffe. Zum Welt-Passwort-Tag haben wir uns den Fall genauer angeschaut, um aufzuzeigen, wie Unternehmen sich vor Vorfällen dieser Art schützen können.

Am ersten Donnerstag im Mai, dem Welt-Passwort-Tag, veröffentlichen Unternehmen und Medien seit 2013 hilfreiche Tipps für sichere Passwörter – auch wir haben schon über das pA$$w0rT-Problem berichtet. Aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen sollen sie bestehen, Multi-Faktor-Authentifizierung bietet zusätzlichen Schutz – das wissen die allermeisten. Doch das beliebteste Passwort bleibt weiterhin „12345“. Woran liegt das? Sind wir uns der möglichen Konsequenzen nicht bewusst?

Unsere Sicherheitsexperten erleben jeden Tag, welche Schäden unsichere Passwörter verursachen können. Sie sind das Einfallstor für Kriminelle, die nicht nur persönliche Nachrichten, intime Bilder oder Kreditkartennummern von Privatpersonen stehlen, sondern auch sensible Geschäftsgeheimnisse. Aus dem Verizon Data Breach Investigations Report geht hervor, dass im vergangenen Jahr fast ein Drittel aller erfolgreichen Angriffe mit gestohlenen Zugangsdaten durchgeführt wurden.

Zum Welt-Passwort-Tag teilen wir deshalb die reale Geschichte eines Cyberangriffs von organisierten Kriminellen auf ein internationales Großunternehmen. Ein Fall, in dem eine APT-Gruppe (Advanced Persistent Threat) die IT-Infrastruktur eines Unternehmens erfolgreich attackierte und so Zugang zu Geschäftsgeheimnissen hatte – acht Monate lang, unerkannt. Das Unternehmen und auch die Branche bleiben aus Sicherheitsgründen ungenannt, ebenso wie eine detaillierte Beschreibung der damaligen Sicherheitsvorkehrungen.

Tag 0 – Wie der Angriff aufflog, aber nicht endete

Ein einzelnes kompromittiertes E-Mail-Konto war das erste Anzeichen, dass etwas nicht stimmte. Die IT-Abteilung des Unternehmens versuchte, das Konto wiederherzustellen, es zu sichern. Doch der Angriff setzte sich fort. Der Konzern wandte sich an einen externen Sicherheitsanbieter.

Es begann eine siebenmonatige Untersuchung, die aufdeckte, dass Cyberkriminelle nicht nur Zugang zum E-Mail-Konto eines Beschäftigten hatten, sondern auch sensible Informationen des Opfers und seiner Kundinnen und Kunden stahlen. Das war der Moment, in dem sich der Konzern entschied, das Microsoft Detection and Response Team (DART) hinzuzuziehen.

Das Team, das niemand kennenlernen möchte

Unser Microsoft Detection and Response Team ist eine Gruppe von Spezialistinnen und Spezialisten, von denen Unternehmen hoffen, sie nie kennenlernen zu müssen. Ihre Aufgabe: kompromittierte Systeme retten. Als Teil der Microsoft Consulting Services (MCS) hat das DART einen einzigartigen Fokus. Es nutzt die strategischen Partnerschaften von Microsoft mit Sicherheitsorganisationen auf der ganzen Welt und arbeitet eng mit anderen Microsoft-Abteilungen zusammen. Das Team hilft vor Ort oder aus der Ferne und wird von Regierungsstellen und Konzernen angefragt, um ihre sensiblen und kritischen IT-Umgebungen zu sichern.

Die Microsoft-Spezialisten begannen ihre Untersuchung an Tag 244 des Angriffs. Sie fanden heraus, dass die Hacker in den E-Mails gezielt nach Informationen aus bestimmten Weltregionen und Marktsegmenten suchten. Ein Zeichen, dass es sich bei dieser Attacke um Industriespionage handelte. Ungewöhnlich war jedoch, wie die Angreifer die Informationen innerhalb des Netzwerks suchten.

Die Hacker-Gruppe nutzte vorhandene Microsoft-Lösungen des Konzerns für ihre eigenen Zwecke, etwa Microsoft Flow und eDiscovery, eine Compliance-Suchfunktion. Sie aktivierten vorhandene Systeme, die das Unternehmen nicht aktiv nutzte oder konfiguriert hatte. Die Angreifer automatisierten so die Suche nach Daten und deren Diebstahl mit den Programmen ihres Opfers. Aber wie konnten die Hacker überhaupt soweit vordringen?

Wie sich die Angreifer Zugriff verschafften

Die Untersuchungen des DART zeigen, dass die Angreifer eine Passwortspray-Attacke genutzt haben. Eine Technik, die auf das zielt, wovor am Tag des Passworts gewarnt wird: einfache Passwörter. Im Trial-and-Error-Verfahren setzten die Cyber-Kriminellen die gängigsten Passwörter ein, um sich Zugang zu verschaffen. Im Fall des hier betroffenen Unternehmens zielten die Hacker auf die Administrator-Zugangsdaten ab. Eine Zwei-Faktor-Authentifizierung hätte die Angreifer an dieser Stelle stoppen können – oder den Angriff zumindest verlangsamt.

Einmal in das Netzwerk des Unternehmens gelangt, verschanzten sich die Angreifer regelrecht. Sie nutzten die gestohlenen Zugangsdaten, um das Postfach nach weiteren Zugängen zu durchsuchen. Wurden sie fündig, wurde der nächste Posteingang durchforstet. Schritt für Schritt arbeiteten sich die Angreifer durch die Geheimnisse des Unternehmens, die angehängten Dateien, die Kommunikation mit Kundinnen und Kunden.

Plötzlich waren es fünf Angreifer

244 Tage nachdem die Attacke begann, identifizierte das Microsoft-Spezialistenteam schnell die gezielten Postfachdurchsuchungen und kompromittierten Konten sowie die Befehls- und Kontrollkanäle der Hacker. Die akute Bedrohung war gestoppt – doch während ihrer Analyse entdeckte das DART, dass fünf weitere Angriffe in der Umgebung des Konzerns noch andauerten. Angriffe, die früher begannen als die ursprünglich entdeckte Attacke – und bei denen Daten des Unternehmens über die von den Hackern gelegten Zugangskanäle extrahiert wurden.

Das DART analysierte alle Systeme des Konzerns, bis das Unternehmen die Kontrolle über sein Netzwerk vollständig wiedererlangte. Gemeinsam entwickelten sie einen Plan, um zukünftige Angriffe zu verhindern, das Netzwerk besser zu überwachen – und Attacken frühzeitig zu erkennen.

Wie der Angriff hätte verhindert werden können

Microsoft bietet eine Vielzahl von Sicherheitslösungen, die Unternehmen vor solchen Attacken schützen können. Was hätte im konkreten Fall geholfen? Vier Faktoren hätten den Plan der Angreifer früher auffliegen lassen. Mit einer Multi-Faktor-Authentifizierung hätten die Angreifer keinen leichten Zugang auf ein Administrator-Benutzerkonto des Unternehmens gehabt. Geschulte Beschäftigte hätten wohlmöglich früher Warnsignale über das Ausmaß des Angriffs erkennen können.

Ein effektiveres Management der Zugangsberechtigungen hätte Suchen über die gesamte Office 365-Umgebung verhindern können. Unternehmenseigene Tools und Software werden immer noch häufig von Angreifern gegen das Unternehmen selbst gerichtet. Deshalb ist es wichtig, dass Sicherheitstools Protokolle dieser Systeme sammeln, um die unbefugte Nutzung so schnell wie möglich zu bemerken. Bei Microsoft setzen wir auf die Expertise unserer mehr als 3.500 Sicherheitsexpertinnen und -experten sowie auf künstliche Intelligenz und Machine Learning, um Angriffe frühzeitig zu erkennen, zu analysieren, zu beheben oder präventiv zu verhindern. Mehr als 8 Billionen Signale werten unsere Sicherheitslösungen dazu pro Tag aus. Mehr Info bietet dazu unser Trust Center. Um das Einfallstor für Kriminelle, das Passwort, ganzheitlich zu eliminieren, streben wir bei Microsoft streben wir bei Microsoft eine passwortlose Lösung an. Wie das aussehen kann und welche Technologien und Lösungen wir dabei einsetzen, diskutiert mein Kollege Stratos Komotoglou, Senior Subsidiary Product Marketing Manager Microsoft 365 Security bei Microsoft Deutschland, in diesem Blogpost.

Wichtig ist: Jedes Unternehmen läuft Gefahr Opfer eines solchen Angriffs zu werden. Laut einer aktuellen Bitkom-Umfrage waren drei Viertel aller befragten Unternehmen in den vergangenen zwei Jahren von einem Cyberangriff betroffen oder vermutlich betroffen. Die Dunkelziffer ist hoch, der wirtschaftliche Schaden wird auf etwa 102,9 Milliarden Euro geschätzt. Und in manchen Fällen hilft schon ein besseres Passwort, einen solchen Angriff zu verhindern.


Ein Beitrag von Charlotte Reimann
Communications Manager Modern Work & Security bei Microsoft Deutschland
Charlotte Reimann: Communications Manager Digital Workstyle bei MIcrosoft Deutschland

Tags: ,

Weitere Infos zu diesem Thema

25. März 2020
Schutz vor Phishing-Angriffen in Zeiten von COVID-19

Der weltweite COVID-19 Ausbruch sorgt für ein großes Informationsbedürfnis der Menschen. Das nutzen Cyberkriminelle aus, um durch den Diebstahl sensibler Informationen und die Verbreitung von Malware Profit zu machen.

13. November 2019
Die Zukunft der IT-Sicherheit: Eine Welt ohne Passwörter

Im zweiten Teil unserer Reihe erklären unsere Experten im „Cyber Security 1×1“, was es für eine Welt ohne Passwörter braucht und warum Identity & Access Management (IAM) für die Zukunft der IT-Sicherheit so wichtig ist.

18. Juni 2019
4 Säulen für die IT-Sicherheit in einer vernetzten Welt

Die digitale Transformation ist ein Prozess, bei dem Firmen den Faktor IT-Sicherheit priorisieren sollten. Nicht selten wird jedoch an Lösungen festgehalten, die sich auf reine Schutzfunktionen der alten Welt, also des eigenen Rechenzentrums, beschränken. Ein strategischer Fehler, denn mit dem digitalen Wandel haben sich auch die Gefahren geändert.