Per Phishing-Klick ins Chaos oder «Samichlaus du liebe Maa, schriib mi bitte nie meh aa»

Wer poltert an die Türe? Weisser Bart, rote Robe, Jutesack aufgeschultert! Das vertraute Erscheinungsbild vom Samichlaus verdrängt jede Skepsis. Kulturell verankert, jedem bestens bekannt, kehrt er jährlich wieder – doch seine wahre Identität bleibt stets verborgen. Ein derartiger Vertrauensvorschuss kann im digitalen Umfeld fatale Konsequenzen nach sich ziehen. Denn nicht jeder, der in einer Vertrauenskonstellation auftritt, ist tatsächlich harmlos. Cyberkriminelle nutzen dieses Prinzip erfolgreich. Das Bundesamt für Cybersicherheit (BACS) vermeldet für das erste Halbjahr 2024 sogar eine dramatische Zunahme von Business E-Mail Compromise (BEC) gegenüber dem Vorjahr.

«Samichlaus du liebe Maa, du weisch ja, dass ich gfolget ha.» Dieser schweizerdeutsche Kinderreim zeigt, wie tief die Figur des Samichlaus in unserer Kultur verankert ist. Ein vertrauter und doch fremder Besucher, der Jahr für Jahr laut an die Haustür poltert – und Einlass bekommt. Das ist der Samichlaus. Ein Mann mit weissem Bart, in roter Robe und schweren Stiefeln, betritt die gute Stube. In feierlich angespannter Erwartung und von den Eltern ermutigt, tragen ihm die Kinder fleissig gelernte Verse vor. Als wäre er allwissend, deckt er die kleinen Kindersünden und edlen Taten vor versammelter Familie auf, lobt oder tadelt mit erhobenem Mahnfinger. In seiner autoritär-erzieherischen Rolle spielt der Samichlaus geschickt mit den Gefühlen der Kinder: Ein Lob da, eine Leckerei dort – doch immer die Drohung im Raum, die Ungehorsamen zu bestrafen.

Wenn Leichtgläubigkeit zur Cybergefahr wird

Ein ebenso argloser Umgang wie wir ihn mit der Figur vom Samichlaus pflegen, kann im Zusammenhang mit digitalen Medien fatal sein. Cyberkriminelle nutzen unsere Gutgläubigkeit gegenüber Autoritäts- oder Vertrauenspersonen schonungslos aus – mit zunehmendem Erfolg! So berichtete das Bundesamt für Cybersicherheit (BACS) Anfang November 2024, dass sich die Anzahl der Phishing-Betrugsfälle im ersten Halbjahr 2024 im Vergleich zum Vorjahr verdoppelt hat. Auch unsere eigenen Intelligence-Daten unseres «Cyber Abwehr»-Zentrums zeichnen den gleichen Trend (s. Abbildung 1). (Spear-)Phishing Link ist die mit Abstand bedrohlichste Angriffsmethode. Diese perfide Methode nutzt gezielt menschliches Vertrauen, um seine Opfer, meist einzelne oder eine Gruppe von Personen einer Organisation, dazu zu verleiten, unwissentlich Malware ins System einzuschleusen oder Überweisungen an die Angreifer auszulösen.

Abbildung 1: Intelligence-Daten 2024 unseres Security Operations Centers (SOC) (Quelle: eigene Darstellung)

Was für Familien ein stimmungsvoller Brauch ist, kann sich in der Cyberwelt schnell zum Fiasko entwickeln. Deshalb sollten Unternehmen ihre Sicherheitsdispositive auf Kontinuität trimmen und veranlassen, dass ihre Mitarbeitende diese verstehen und auch einhalten.

5 Tipps für Ihr Security-Awareness-Training

Oft setzen wir unser Sicherheitsbewusstsein auf Stufe 0 zurück, wenn wir glauben, mit dem Gegenüber bereits vertraut zu sein. Die Begegnung mit einem bekannten Gesicht oder einem scheinbar vertrauenswürdigen Absender lässt uns oft unvorsichtig handeln. Wie im Beispiel vom guten Samichlaus: Während wir seit Kindsbeinen an darauf getrimmt wurden, von einem Fremden keine Süssigkeiten anzunehmen, vertrauen wir dem Samichlaus mehrheitlich ungeprüft.

Um dieser Gutgläubigkeit entgegenzuwirken, ist gezieltes Awareness-Training unverzichtbar. Mitarbeitende müssen auf den Umgang mit digitalen Bedrohungen wie dem «Phishing», in der Praxis oft für Business E-Mail Compromise (BEC) verwendet, sensibilisiert werden. Ein tiefes Verständnis für die Taktiken von Angreifern und die Entwicklung einer kritischen Haltung im digitalen Alltag sind entscheidend.

Diese fünf Massnahmen schützen Unternehmen nachhaltig gegen Social Engineering und Phishing-Angriffe:

• Regelmässige Schulungen: Sensibilisierungsprogramme sollten regelmässig stattfinden und die neusten Betrugstechniken und Cyberbedrohungen abdecken. So bleiben Mitarbeitende stets informiert und wachsam.
• Phishing-Simulationen: Praktische Übungen wie Phishing-Simulationen helfen, das Gelernte zu festigen. Durch das Erleben realistischer Szenarien können Mitarbeitende besser auf echte Bedrohungen reagieren.
• Offene Kommunikation: Eine Unternehmenskultur, die den Austausch über Sicherheitsfragen fördert, ist essenziell. Mitarbeitende sollten sich ermutigt fühlen, verdächtige Nachrichten zu melden oder Fragen zu stellen, ohne negative Folgen fürchten zu müssen.
  
• Technologische Unterstützung: Der Einsatz von verhaltensbasierter Sicherheitssoftware, restriktiver Internet-Zugriff und Multi-Faktor-Authentifizierung bietet zusätzliche Sicherheit. Auch regelmässiges Aktualisieren aller Systeme ist entscheidend, um Angreifern keine Schlupflöcher zu bieten.
  
• Supply Chain Management: Ein strukturierter Ansatz umfasst die regelmässige Identifizierung kritischer Lieferanten, die wiederholende Bewertung ihrer Risiken sowie die Implementierung angepasster Notfallpläne und Schulungsprogramme für Mitarbeitende.
  

SOC-Service: unmittelbar auf verdächtige Aktivitäten reagieren

Security Operation Center (SOC): Häufig wird die Lieferkette Ziel von Angriffen, bei welchen ein kompromittierter E-Mail-Account eines Lieferanten, Kunden oder Partners genutzt wird, um einen Spearphishing-Angriff zu starten. In solchen Fällen ist ein Security Operation Center (SOC) erforderlich, das in der Lage ist, sofort auf Angriffe zu reagieren und diese rasch einzudämmen. Das Schärfen des Sicherheitsbewusstseins im digitalen Raum ist ein kontinuierlicher Prozess, der stetige Aufmerksamkeit erfordert. Dazu bedarf es regelmässiger Schulungen und die Bereitschaft, sich mit den sich ständig weiterentwickelnden Bedrohungen auseinanderzusetzen. Nur wenn Mitarbeitende aktiv in die Unternehmenssicherheit eingebunden werden, kann das Unternehmen die Bedrohung durch Cyberkriminalität effektiv schwächen.

Business E-Mail Compromise: Wenn die Schwachstelle zur Kompromittierung führt

Vor einiger Zeit bearbeiteten wir einen Social Engineering Incident, der den Verlauf eines Sicherheitsvorfalls musterhaft illustriert. Es handelte sich um eine Cyberattacke, die in der Supply Chain eines unserer SOC-Kunden seinen Anfang nahm und im 24/7-SOC-Monitoring in unserem ISO 27001-zertifizierten Cyber Defence Center letztendlich, ohne grösseren Schaden zu verursachen, eingedämmt werden konnte. Doch lesen Sie selbst!

Alles begann mit einem Phishing-Mail-Angriff

Ein Lieferant eines unserer SOC-Kunden, ein Schweizer Grossunternehmen mit rund 10 000 Mitarbeitenden, wurde durch einen erfolgreichen Phishing-Angriff geknackt. Der Angreifer nistete sich beim Dienstleister mittels Qakbot in eine offene Kunden-Kommunikation ein. Indem er sich als Kunde des Dienstleisters ausgab, schickte der Angreifer eine Antwort-Mail mit einem Link, unter dem angeblich die erwartete Datei bereitstand.

Dem Angreifer glückte damit ein klassischer Social-Engineering-Angriff. Denn als vermeintlich bekannter Kundenkontakt nutzte er die Vertrauenskonstellation des wahren Kunden für seine kriminelle Absicht.

Der Mitarbeitende des Dienstleisters erkannte die bösartige Malware nicht als solche. Aus seiner Perspektive handelte es sich um eine übliche Kommunikation eines Bestandeskunden. Ähnlich dem unkritischen Verhalten gegenüber der vertrauten Samichlaus-Figur, und damit jegliche Sicherheitsdispositive ausblendend, klickte der Mitarbeitende auf den Link und initiierte so den Entry Point (A). Das Antivirus-System des Dienstleisters schlug Alarm und meldete einen Malware-Download. Diese ignorierend, verpasste er den ersten und entscheidenden Moment zur Intervention. Amüsiert über die Sicherheitsvorkehrungen bat der Mitarbeitende den Angreifer, die Datei erneut als PDF-Datei zu schicken, da der Link vom Antivirus-Scanner blockiert worden war.

Abbildung 2: Phishing-Angriff auf die Lieferantenkette ohne SOC-Monitoring (Quelle: eigene Darstellung)

In der Zwischenzeit war die Malware auf der Dienstleister-Umgebung funktionstüchtig und begann, ihr Unwesen zu treiben. Ab diesem Zeitpunkt wäre der Angreifer mit einer System-Isolation aus einem SOC heraus neutralisiert worden.

Vom Malware-Download zum Initial Compromise in nur 20 Minuten

Die in der Dienstleister-Umgebung installierte Malware und das fehlende SOC ermöglichte es dem Angreifer, die Dienstleister-Domäne zu scannen und zu kompromittieren. Anschliessend bewegte er sich via Cobalt Strike seitwärts (lateral movement). Er verschaffte sich einen Überblick über die potenzielle Beute und erkannte, dass sein Opfer unseren SOC-Kunden mit webbasierten Leistungen belieferte und nahm die Chance wahr, das Grossunternehmen zu kompromittieren.

Der Angreifer war mit dem Spearphishing-Angriff vorbereitet, gerade mal 21 Minuten waren seit dem erfolgreichen Phishing-Angriff vergangen, da drang der Angreifer schon in die Legacy.eu-Domäne des Grossunternehmens ein und bewegte sich ungebremst durch dessen Infrastruktur.

Wie kam der Angreifer jedoch an die Administration Credentials des Domain Controllers? Die forensische Untersuchung unseres Computer Security Incident Response Team (CSIRT) formulierte im Anschluss zwei mögliche Thesen:

• Das Administrator-Passwort war seit über 10 Jahren nicht mehr aktualisiert worden.
• Der Administrator war über sogenannte kerberoasting-Attacken angreifbar.

Die Kompromittierung brachte anschliessend eine wahre Kettenreaktion an lateralen Bewegungen in Gang (Spread B) bis die gesamte Infrastruktur des Grossunternehmens ausserhalb des im 24/7-SOC-Monitoring unseres Cyber Defence Centers visualisierbaren Bereich kompromittiert war.

Abbildung 3: Anatomie der Kettenreaktion von lateralen Bewegungen (Quelle: eigene Darstellung)

24/7-SOC-Monitoring erkennt verdächtige Aktivität und löst Alarm aus

Nach vollständiger Kompromittierung der Dienstleister- und der Legacy.eu-Umgebung, sprang der Angreifer letztendlich auch auf die von uns überwachten Server über. Das starke Sicherheitsdispositiv unserer «Cyber Defence Center»-Umgebung (CDC) erkannte die verdächtigen Aktivitäten des Angreifers. Denn der Angreifer hatte Mühe, eine stabile und durchsatzstarke «Command & Control (C2)»-Verbindung zu etablieren, da der Internetproxyserver diese Verbindung nicht zuliess. Zu diesem Zeitpunkt löste das 24/7-SOC-Monitoring den Alarm aus und holte unser Team im Cyber Defence Center an den Start.

Mit dem Alarm im Cyber Defence Center wurde unser Interventionsprozess und die forensische Untersuchung gestartet. Unser Blue Team vom Cyber Defence Center untersuchte die Aktivitäten des Angreifers in der Kundeninfrastruktur und arbeitete den Containment-Plan aus.

Abbildung 4: Der Interventionsprozess auf einen Blick (Quelle: eigene Darstellung)

Wir deaktivierten den VPN-Zugang beim Dienstleister (1), kappten die Verbindung zwischen Dienstleister- und Legacy.eu-Umgebung (2), isolierten mit einer EDR-Lösung die beiden kompromittierten Serversysteme (SRV) der Legacy.eu- und der von unserem CDC monitorten Umgebung (3) und implementierten ein DNS-Sinkhole, um die «Command & Control»-Verbindungen des Angreifers zu neutralisieren (4). Mit diesem koordinierten Containment Briefing gelang es uns, die Angriffskette herunterzubremsen und unseren Kunden vor einem massiven Geschäftsausfall zu schützen. 

Das CSIRT: Professionelle Unterstützung im Falle eines Cyberangriffs

Wird ein Cybervorfall entdeckt, ist schnelles und durchdachtes Handeln entscheidend! Doch kann ein unüberlegter Versuch eines Unternehmens, selbst Abwehrmassnahmen einzuleiten – etwa durch das Schliessen von Systemen oder das Löschen schadhafter Software – die Lage drastisch verschärfen. Merkt ein Angreifer, dass er entdeckt wurde, ist die Gefahr erheblich, dass er sofort zu drastischen Mitteln greift Verschlüsselungstrojaner aktiviert oder Malware in weitere Systembereiche verbreitet.

Abbildung 5: InfoGuard CSIRT: professionell und strukturiert durch einen Cybervorfall (Quelle: eigene Darstellung)

Unser CSIRT bietet professionelle Unterstützung: Dank ihrer langjährigen Erfahrung und moderner Technologien wissen unsere forensischen Expert*innen im CSIRT genau, wie Angreifer vorgehen und wie seine Aktivitäten, ohne ihn zu alarmieren, analysiert werden können. Dieses sogenannte «koordinierte Containment» stellt sicher, dass Sicherheitslücken und Hintertüren vollständig identifiziert werden, bevor die endgültige Entfernung des Angreifers erfolgt. Auf diese Weise wird die Bedrohung effizient und nachhaltig beseitigt.

Das CSIRT ist auf Incident Response und Forensik spezialisiert und bringt das notwendige Know-how und die dem Vorfall entsprechende Strategie mit, um den Angriff professionell abzuwehren und die Handlungsfähigkeit des Unternehmens schnellstmöglich wiederherzustellen. Falls es dennoch zu Verhandlungen kommt, steht das CSIRT dem Krisenstab auch beratend zur Seite, unterstützt die Krisenkommunikation und begleitet Ihr Unternehmen sicher zurück zum Normalbetrieb.

Das grosse InfoGuard-Samichlaus-Gewinnspiel: Mitraten und gewinnen

Cyberkriminelle agieren wie der Samichlaus im vertrauten Gewand oder nutzen Überraschungsmomente wie ein Präzisionsschlag im Eishockey. Doch mit einer starken Verteidigung und klarem Blick halten Sie den Angriff auf – und sichern Ihrem Team den Sieg.

Beweisen Sie Ihre Stärke: Beantworten Sie unsere Schätzfrage und gewinnen Sie beim grossen Samichlaus-Gewinnspiel tolle Preise! 🏒🎅

Schätzfrage: Wie viele «Business E-Mail Compromise»-Cases hat unser Cyber Defence Center (CDC) vom 1. Januar bis 30. November 2024 bearbeitet?

Mitraten lohnt sich:

• 1. Platz: 2 Sitzplatz-Tickets für ein EVZ-Heimspiel*
• 2. Platz: Digitec-Gutschein (CHF 100.-)
• 3. Platz: Digitec-Gutschein (CHF 50.-)

*EV Zug vs. ZSC Lions am Samstag, 22. Februar 2025 oder EV Zug vs. Lausanne HC am Samstag, 01. März 2025 jeweils in der Bossard-Arena

Übermitteln Sie uns Ihre Schätzung bis zum 31. Dezember 2024. Die Gewinner*innen informieren wir bis zum 31. Januar 2025 persönlich per E-Mail.

Also mitraten, Formular ausfüllen und Kontaktdaten nicht vergessen 😊

Dankeschön und auf Wiedersehen im 2025! 🎄

Herzlichen Dank für Ihr Interesse an unseren Artikeln und Ihr Vertrauen im ausgehenden Jahr! Wir wünschen Ihnen ein frohes und besinnliches Weihnachtsfest im Kreise Ihrer Lieben und einen guten Rutsch in ein gesundes und erfolgreiches 2025! 

Bildlegende: KI-generiertes Bild