Original-URL des Artikels: https://www.golem.de/news/industriespionage-wie-thyssenkrupp-seine-angreifer-fand-1612-124988.html    Veröffentlicht: 09.12.2016 16:03    Kurz-URL: https://glm.io/124988

Industriespionage

Wie Thyssenkrupp seine Angreifer fand

Wie schützt man sein Netzwerk, wenn man 150.000 Mitarbeiter und 500 Tochterunternehmen hat? Thyssenkrupp lernte nach einem Angriff, dass es zwei Dinge braucht: Ausreichend Ressourcen und Freiheit für das Team.

Der Technologiekonzern Thyssenkrupp war in diesem Jahr Ziel eines offenbar ausgefeilten Angriffs auf die eigene IT-Infrastruktur, wie die Wirtschaftswoche berichtet. Das Unternehmen sei von einer Gruppe angegriffen worden, die vermutlich staatliche Unterstützer hat und sehr planmäßig vorgegangen sein soll.

Nach Angaben der Wirtschaftswoche fielen dem hauseigenen Cert des Unternehmens im Frühjahr nicht näher benannte Anomalien im Datenverkehr auf, die das Team als Anlass für eine genauere Untersuchung nahm. Das ist jedoch deutlich komplizierter, als es klingt. Denn Thyssenkrupp hat allein mehr als 500 Tochergesellschaften - weltweit. Und die Angreifer sollten nicht mitbekommen, dass das Unternehmen ihre Spuren bereits entdeckt hatte.

Der erste Angriff erfolgte Anfang des Jahres offenbar über eine Spear-Phishing-E-Mail an einen oder mehrere der mehr als 150.000 Mitarbeiter. Von den ersten infizierten Rechnern tasteten die Angreifer sich per Lateral Movement weiter, um an die Systeme zu gelangen, die die Betriebsgeheimnisse des Unternehmens enthalten. Ob und welche Daten kopiert wurden, ist bislang nicht restlos geklärt.

Starke eigene IT-Abteilung

Thyssenkrupp kam offenbar zugute, dass sich das Unternehmen eine eigene IT-Sicherheitsabteilung leistet, die besser mit den eigenen Systemen vertraut ist, als es jeder eingekaufte Dienstleister sein könnte. Das Krisenreaktionsteam arbeitete der Darstellung der Wirtschaftswoche zufolge mit großer Autonomie und freier Ressourcenplanung. "Wenn jemand sagt, ich bekomme das auch mit Nachtschichten nicht hin, dann hole ich weitere Spezialisten an Bord", sagte der Chef der Thyssen-internen Taskforce Alpha Barry (nach Angaben des Blattes tatsächlich sein richtiger Name). "Ich erkläre dem Topmanagement dann später, warum das notwendig war. In so einer Notsituation haben wir nur dann eine Chance, wenn wir genauso schnell und flexibel arbeiten wie der Angreifer."

Der Angriff soll nur rund 45 Tage nach der ersten Infektion erkannt worden sein. Das wäre für ein Unternehmen von der Größe tatsächlich ein sehr guter Wert. Oft dauert es 100 oder mehr Tage, bis entsprechende Angriffe entdeckt werden.

Wurden Rechner in ausländischen Filialen von Thyssenkrupp verdächtigt, mit der Schadsoftware infiziert zu sein, wurden die Mitarbeiter angewiesen, forensische Kopien der befallenen Festplatten zu erstellen und diese an das Mutterhaus zu senden. Das Beispiel zeigt, wie schwer es ist, im Falle einer Penetration des Netzwerkes Untersuchungen anzustellen, ohne die Angreifer zu alarmieren - damit diese alle Spuren verwischen. "Ich kann aber nicht jeden Administrator weltweit anrufen und anordnen: ‚Wir sind gehackt worden. Such mal bitte diesen unbekannten Server'", sagte Barry der Wirtschaftswoche.

Künftig will das Team daran arbeiten, Angriffe noch schneller zu erkennen. Dabei sollen auch Notabschaltungen von Servern und interne Schulungen der Mitarbeiter helfen, ein Bewusstsein zu schaffen und den Schaden zu minimieren.  (hg)


Verwandte Artikel:
Hackerangriff auf Thyssenkrupp: Winnti spioniert deutsche Wirtschaft aus   
(16.12.2016, https://glm.io/125103 )
Bundeshack: Hack auf Bundesregierung erfolgte über Lernplattform Ilias   
(08.03.2018, https://glm.io/133227 )
Bilderdienst: Imgur gibt Hack von knapp zwei Millionen Nutzern bekannt   
(27.11.2017, https://glm.io/131343 )
Lösegeld: Uber verheimlicht Hack von 60 Millionen Kundendaten   
(22.11.2017, https://glm.io/131275 )
Funkverbindungen: US-Behörden wollen Boeing 757 gehackt haben   
(15.11.2017, https://glm.io/131150 )

© 1997–2019 Golem.de, https://www.golem.de/