Abo
  • IT-Karriere:

Hack von Rüstungskonzern: Schweizer Cert gibt Security-Tipps für Unternehmen

Daran könnten sich Sicherheitsfirmen ein Beispiel nehmen: Das Schweizer Cert hat detailliert die Angriffsmethoden einer APT-Gruppe auf den Technikkonzern Ruag analysiert und gibt Unternehmen Tipps zum Schutz.

Artikel veröffentlicht am , Tim Philipp Schäfers
Das Logo auf der Zentrale von Ruag
Das Logo auf der Zentrale von Ruag (Bild: Ruben Sprich/Reuters)

Über große, gefährliche Angriffe berichten Sicherheitsfirmen gerne und oft, in diesem Zusammenhang fällt häufig auch der Begriff Advanced Persistent Threat (APT). Das ist eine fortschrittliche und lang anhaltende Attacke auf die IT-Infrastruktur eines Unternehmens. Wie genau die Angreifer vorgehen und was genau Sicherheitsfirmen über sie wissen, darüber gibt es jedoch meist nur spärliche Details. Das Schweizer Cert ist ungewohnt offen: Es hat einen ausführlichen Bericht über den APT-Angriff auf den Technikkonzern Ruag veröffentlicht und gibt Tipps für andere Unternehmen. Diese Art der Transparenz von einer staatlichen IT-Stelle könnte Vorbildcharakter haben.

Inhalt:
  1. Hack von Rüstungskonzern: Schweizer Cert gibt Security-Tipps für Unternehmen
  2. Rohrsystem zur Tarnung

Die Ruag Holding AG ist ein Schweizer Technologiekonzern, der sich insbesondere mit den Themen Sicherheit, Verteidigung und Raumfahrt beschäftigt. Das Unternehmen wurde von 2014 bis vor einigen Wochen Opfer eines professionellen Hackerangriffs. Bei der Attacke handelt es sich laut einem Bericht des Schweizer Cert, der Schweizer Melde- und Analysestelle Informationssicherung (Melani), um einen APT. Es sollen rund 20 GByte an Daten kopiert worden sein.

Keine unbekannte Gruppe

Durchgeführt wurde der Angriff von einer bereits bekannten Gruppe, die auch hinter APTs wie Epic, Turla oder Tavdig steckt, vermuten die Schweizer Sicherheitsexperten. Im Interesse der Angreifer sei es, möglichst lange Zeit unentdeckt zu bleiben, um viele Informationen zu erspähen, abzugreifen und abschließend zu entwenden, so das Cert. Dieses Vorgehen diene politischen oder privatwirtschaftlichen Interessen.

In der Vergangenheit wurden dieser Gruppe überwiegend Angriffe auf staatliche Organisationen und große Unternehmen innerhalb Europas zugeschrieben. Es ist allerdings bis heute unklar, wer tatsächlich hinter dem Angriff steckte und welche Interessen die Angreifer leiteten. In der Erklärung des Ministeriums für Verteidigung, Bevölkerungsschutz und Sport (VBS) heißt es: "Spekulationen rund um die Urheberschaft der Angriffe bestätigt der Bundesrat nicht."

Geschicktes Vorgehen

Stellenmarkt
  1. Universität der Bundeswehr München, Neubiberg
  2. M-net Telekommunikations GmbH, München

Die Angreifer gingen dem Bericht zufolge nach der ersten Infektion sehr vorsichtig vor: Bevor sie weitere Clients im Netzwerk infizierten, stellten sie durch genaue Beobachtung fest, ob das Ziel überhaupt attraktiv war und ob der geplante Angriff zu einer Entdeckung führen könnte. Weniger professionelle Angreifer sind zumeist darauf aus, in kurzer Zeit viele Systeme zu infizieren. In dem vorliegenden Fall aber ließen sich die Angreifer offenbar nach einer Angriffswelle mehrere Monate Zeit, bis sie weitere Aktionen vornahmen, um tiefer in das Unternehmensnetzwerk einzudringen. Melani berichtet in seiner Meldung von Phasen, in denen aggressiv und auffällig vorgegangen wurde, aber auch über stille Phasen, in denen keine Angriffe vorgenommen wurden.

Die ersten Spuren des Angriffs lassen sich in etwa auf den September 2014 datieren, erste Hinweise auf Unregelmäßigkeiten innerhalb des Netzwerkes wurden allerdings erst über ein Jahr später, im Dezember 2015, entdeckt. Es ist zu vermuten, dass dieser zeitliche Abstand durch die Angreifer intendiert war, diese also zunächst unauffällig operierten. Das hilft ihnen, den initialen Einbruch in die IT-Infrastruktur zu verschleiern, da die für IT-Forensik notwendigen Log-Dateien nicht vorliegen. Denn diese müssen meist datenschutzbedingt gelöscht werden. Deshalb lassen sich kaum verlässliche Aussagen über frühe Phasen des Angriffs treffen. In jedem Fall ist davon auszugehen, dass weitere Zielsysteme ausgespäht und passiv Daten gesammelt wurden, die später genutzt wurden, um damit aktive Angriffe vorzunehmen.

Rohrsystem zur Tarnung 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. 116,13€
  2. (u. a. Sandisk Ultra 400 GB microSDXC für 56,90€, Verbatim Pinstripe 128-GB-USB-Stick für 10...
  3. 89,90€ (Bestpreis!)
  4. 449,90€ (Release am 26. August)

cephei 24. Mai 2016

- hauptsächlich staatlich finanziert - Haupttätigkeit: Entwicklung von Rüstungsgüter


Folgen Sie uns
       


Raspberry Pi 4B vorgestellt

Nicht jedem dürften die Änderungen gefallen: Denn zwangsläufig wird auch neues Zubehör fällig.

Raspberry Pi 4B vorgestellt Video aufrufen
Disintegration angespielt: Fast wie ein Master Chief mit Privatarmee
Disintegration angespielt
Fast wie ein Master Chief mit Privatarmee

Gamescom 2019 Ein dick gepanzerter Held auf dem Schwebegleiter plus bis zu vier Fußsoldaten, denen man Befehle erteilen kann: Das ist die Idee hinter Disintegration. Golem.de hat das Actionspiel ausprobiert.
Von Peter Steinlechner

  1. Omen HP erweitert das Command Center um Spiele-Coaching
  2. Games Spielentwickler bangen weiter um Millionenförderung
  3. Gamescom Opening Night Hubschrauber, Historie plus Tag und Nacht für Anno 1800

Zephyrus G GA502 im Test: Das Gaming-Notebook, das auch zum Arbeiten taugt
Zephyrus G GA502 im Test
Das Gaming-Notebook, das auch zum Arbeiten taugt

Mit AMDs Ryzen 7 und Nvidia-GPU ist das Zephyrus G GA502 ein klares Gaming-Gerät. Überraschenderweise eignet es sich aber auch als mobiles Office-Notebook. Das liegt an der beeindruckenden Akkulaufzeit.
Ein Test von Oliver Nickel

  1. Vivobook (X403) Asus packt 72-Wh-Akku in günstigen 14-Zöller
  2. ROG Swift PG35VQ Asus' 35-Zoll-Display nutzt 200 Hz, HDR und G-Sync
  3. ROG Gaming Phone II Asus plant neue Version seines Gaming-Smartphones

Schienenverkehr: Die Bahn hat wieder eine Vision
Schienenverkehr
Die Bahn hat wieder eine Vision

Alle halbe Stunde von einer Stadt in die andere, keine langen Umsteigezeiten zur Regionalbahn mehr: Das verspricht der Deutschlandtakt der Deutschen Bahn. Zu schön, um wahr zu werden?
Eine Analyse von Caspar Schwietering

  1. DB Navigator Deutsche Bahn lädt iOS-Nutzer in Betaphase ein
  2. One Fiber EWE will Bahn mit bundesweitem Glasfasernetz ausstatten
  3. VVS S-Bahn-Netz der Region Stuttgart bietet vollständig WLAN

    •  /