Hack von Rüstungskonzern: Schweizer Cert gibt Security-Tipps für Unternehmen

Daran könnten sich Sicherheitsfirmen ein Beispiel nehmen: Das Schweizer Cert hat detailliert die Angriffsmethoden einer APT-Gruppe auf den Technikkonzern Ruag analysiert und gibt Unternehmen Tipps zum Schutz.

Artikel veröffentlicht am , Tim Philipp Schäfers
Das Logo auf der Zentrale von Ruag
Das Logo auf der Zentrale von Ruag (Bild: Ruben Sprich/Reuters)

Über große, gefährliche Angriffe berichten Sicherheitsfirmen gerne und oft, in diesem Zusammenhang fällt häufig auch der Begriff Advanced Persistent Threat (APT). Das ist eine fortschrittliche und lang anhaltende Attacke auf die IT-Infrastruktur eines Unternehmens. Wie genau die Angreifer vorgehen und was genau Sicherheitsfirmen über sie wissen, darüber gibt es jedoch meist nur spärliche Details. Das Schweizer Cert ist ungewohnt offen: Es hat einen ausführlichen Bericht über den APT-Angriff auf den Technikkonzern Ruag veröffentlicht und gibt Tipps für andere Unternehmen. Diese Art der Transparenz von einer staatlichen IT-Stelle könnte Vorbildcharakter haben.

Inhalt:
  1. Hack von Rüstungskonzern: Schweizer Cert gibt Security-Tipps für Unternehmen
  2. Rohrsystem zur Tarnung

Die Ruag Holding AG ist ein Schweizer Technologiekonzern, der sich insbesondere mit den Themen Sicherheit, Verteidigung und Raumfahrt beschäftigt. Das Unternehmen wurde von 2014 bis vor einigen Wochen Opfer eines professionellen Hackerangriffs. Bei der Attacke handelt es sich laut einem Bericht des Schweizer Cert, der Schweizer Melde- und Analysestelle Informationssicherung (Melani), um einen APT. Es sollen rund 20 GByte an Daten kopiert worden sein.

Keine unbekannte Gruppe

Durchgeführt wurde der Angriff von einer bereits bekannten Gruppe, die auch hinter APTs wie Epic, Turla oder Tavdig steckt, vermuten die Schweizer Sicherheitsexperten. Im Interesse der Angreifer sei es, möglichst lange Zeit unentdeckt zu bleiben, um viele Informationen zu erspähen, abzugreifen und abschließend zu entwenden, so das Cert. Dieses Vorgehen diene politischen oder privatwirtschaftlichen Interessen.

In der Vergangenheit wurden dieser Gruppe überwiegend Angriffe auf staatliche Organisationen und große Unternehmen innerhalb Europas zugeschrieben. Es ist allerdings bis heute unklar, wer tatsächlich hinter dem Angriff steckte und welche Interessen die Angreifer leiteten. In der Erklärung des Ministeriums für Verteidigung, Bevölkerungsschutz und Sport (VBS) heißt es: "Spekulationen rund um die Urheberschaft der Angriffe bestätigt der Bundesrat nicht."

Geschicktes Vorgehen

Stellenmarkt
  1. IT-System Engineer (m/w/d) Application Management
    Techniker Krankenkasse, Hamburg
  2. Team Manager (m/w/d) PAISY
    OEDIV KG, Bielefeld
Detailsuche

Die Angreifer gingen dem Bericht zufolge nach der ersten Infektion sehr vorsichtig vor: Bevor sie weitere Clients im Netzwerk infizierten, stellten sie durch genaue Beobachtung fest, ob das Ziel überhaupt attraktiv war und ob der geplante Angriff zu einer Entdeckung führen könnte. Weniger professionelle Angreifer sind zumeist darauf aus, in kurzer Zeit viele Systeme zu infizieren. In dem vorliegenden Fall aber ließen sich die Angreifer offenbar nach einer Angriffswelle mehrere Monate Zeit, bis sie weitere Aktionen vornahmen, um tiefer in das Unternehmensnetzwerk einzudringen. Melani berichtet in seiner Meldung von Phasen, in denen aggressiv und auffällig vorgegangen wurde, aber auch über stille Phasen, in denen keine Angriffe vorgenommen wurden.

Die ersten Spuren des Angriffs lassen sich in etwa auf den September 2014 datieren, erste Hinweise auf Unregelmäßigkeiten innerhalb des Netzwerkes wurden allerdings erst über ein Jahr später, im Dezember 2015, entdeckt. Es ist zu vermuten, dass dieser zeitliche Abstand durch die Angreifer intendiert war, diese also zunächst unauffällig operierten. Das hilft ihnen, den initialen Einbruch in die IT-Infrastruktur zu verschleiern, da die für IT-Forensik notwendigen Log-Dateien nicht vorliegen. Denn diese müssen meist datenschutzbedingt gelöscht werden. Deshalb lassen sich kaum verlässliche Aussagen über frühe Phasen des Angriffs treffen. In jedem Fall ist davon auszugehen, dass weitere Zielsysteme ausgespäht und passiv Daten gesammelt wurden, die später genutzt wurden, um damit aktive Angriffe vorzunehmen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Rohrsystem zur Tarnung 
  1. 1
  2. 2
  3.  


Aktuell auf der Startseite von Golem.de
Kabelnetz
Vodafone setzt neuartige Antennendosen ein

Ohne Radioport kommt die neue Antennendose und ist damit schon für DOCSIS 4.0 vorbereitet. Doch sie soll bereits jetzt Vorteile für Vodafone-Kunden bringen.

Kabelnetz: Vodafone setzt neuartige Antennendosen ein
Artikel
  1. Bundesnetzagentur: Streit um Preis fürs Recht auf Internet entbrannt
    Bundesnetzagentur
    Streit um Preis fürs Recht auf Internet entbrannt

    Das Recht auf Versorgung mit Internet braucht einen Preis. Ein Vorschlag der Bundesnetzagentur, diesen zu ermitteln, stößt auf Kritik der Betreiber.

  2. iPhone-Bildschirm: iOS 16 mit abermals veränderter Akkuanzeige
    iPhone-Bildschirm
    iOS 16 mit abermals veränderter Akkuanzeige

    Apple hat teilweise auf die Kritik an der Akkuanzeige in iOS 16 reagiert. In der Beta 6 gibt es mehr Einstellmöglichkeiten im Energiesparmodus.

  3. Data Mesh: Herr der Daten
    Data Mesh
    Herr der Daten

    Von Datensammelwut und Data Lake zu Pragmatismus und Data Mesh - ein Kulturwandel.
    Von Mario Meir-Huber

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Günstig wie nie: Zotac RTX 3080 12GB 829€, Mac mini 16GB 1.047,26€, Samsung SSD 1TB/2TB (PS5) 111€/199,99€ • MindStar (Sapphire RX 6900XT 939€, G.Skill DDR4-3200 32GB 98€) • PS5 bestellbar • Games für PS5/PS4 bis 84% günstiger • Bester 2.000€-Gaming-PC[Werbung]
    •  /