Häufige SMB-Fehler: Der Supply-Chain-Angriff

Fallstudie: Eine Analyse unzureichender Sicherheitspraktiken am Beispiel einer kleinen Werbeagentur.

Bill ist kein großer Fan morgendlicher Anrufe. Das liegt nicht daran, dass er faul ist; Bill ist lediglich der Meinung, dass man mit der Arbeit erst dann beginnen sollte, wenn das emotionale Gleichgewicht nach dem alltäglichen Stress und Chaos auf dem Weg zur Arbeit wiederhergestellt ist – und das ist meist erst nach der zweiten Tasse Kaffee der Fall. Das Telefon, das ununterbrochen klingelt, holt Bill allerdings schnell wieder auf den Boden der Tatsachen zurück.

„Gönnt mir doch eine kurze Verschnaufpause! Weiß denn niemand, dass es unhöflich ist, schon nach drei Mal Klingeln wieder aufzulegen? Was ist, wenn ich gerade mit etwas Wichtigem beschäftigt bin?“, grummelt Bill während er versucht sein Telefon unter einem Stapel Unterlagen auf seinem Schreibtisch auszugraben.

„Bill, mein USB-Stick kann nicht geladen werden!“, ruft der Layout-Designer panisch in den Telefonhörer.

„Klingt logisch! Ich habe ja auch alle Ports auf deinem Rechner vor Ewigkeiten deaktiviert! Du weißt doch, dass alle Dateien über einen sicheren Computer hochgeladen werden müssen. Sprich mit Albert. Wenn es nach mir ginge, würde ich dich sowie nicht mit Internetzugang arbeiten lassen!“

„Ich weiß, aber das Problem scheint nicht bei mir zu liegen – die Dateien auf dem USB-Stick werden auf keinem der Computer angezeigt! Bitte Bill, ich brauche deine Hilfe, der Auftrag ist wirklich wichtig. Wir müssen das Layout so schnell wie möglich ändern und Albert ist erst nach dem Mittagessen wieder im Büro.“

„Dwight, wir haben uns doch darauf geeinigt, dass Aufträge von Albert abgesegnet werden müssen und alle Dokumente immer erst seinen Computer durchlaufen müssen. Er ist der einzige unserer Abteilung, der auf seinem Rechner eine AV-Lösung installiert hat. Von wem stammen die Dateien auf dem USB-Stick überhaupt?“

„Von Christine. Sie hat mich darum gebeten schnellstmöglich ein paar Änderungen am Flyer vorzunehmen, der ihrer Meinung am besten schon gestern gedruckt werden sollte. Ihr ist es egal, ob Albert da ist oder nicht. Du weißt doch, wie sie tickt.“

„Dein USB-Stick könnte mein Todesurteil sein. Aber okay, ich bin gleich bei dir.“

Bill legt auf und starrt nachdenklich an die Decke. Ja, Christine kann ein richtiger Drachen sein – und sie könnte sich nicht weniger um getroffene Übereinkommen scheren, die das Übertragen von Dateien aus externen Quellen betreffen. Der Systemadministrator steht auf, reckt und streckt sich, nimmt seinen Laptop unter den Arm und macht sich auf den Weg in Richtung Designabteilung.

Die Eigentümer der Werbeagentur Magenta Elk halten sich für besonders raffiniert. Von einem kleinen Familiendesignstudio hat sich ME zu einem Unternehmen mit fast 100 Mitarbeitern entwickelt. Mittlerweile verfügt die Agentur über eine ganze Designabteilung, einen Kreativdirektor, der es schafft, sogar den wahnhaftesten Kunden zufriedenzustellen, eine Abteilung für Webentwicklung und eine eigene kleine Druckerei (ebenfalls ein ehemaliges kleines Familienunternehmen, das vor drei Jahren aufgekauft wurde). Zu ihren Kunden zählen zahlreiche internationale Großunternehmen, die der Agentur die Durchführung ihrer Werbekampagnen anvertrauen.

Leider haben die Eigentümer nie die richtigen Ressourcen für eine halbwegs anständige IT-Abteilung gefunden. Bill kümmert sich um die Verwaltung aller Geräte des Unternehmens; bevor er vor ein paar Jahren eingestellt wurde, hat er hier und da Computer repariert. Obwohl er es mehrfach versucht hat, konnte er es bis dato noch nicht schaffen, die Eigentümer davon zu überzeugen, mindestens einen weiteren Mitarbeiter einzustellen, um ihn bei der Arbeit zu unterstützen.

„Gib mir den USB-Stick“, ruft Bill Dwight zu, als er seinen Laptop öffnet. „Was funktioniert denn bei dir nicht? Bei mir klappt alles; Treiber installieren … scannen, öffnen … und hier ist der Projektordner.“

In diesem Moment taucht ein rotes Fenster des AV-Programms auf: „Bösartiges Objekt Trojan.downloader.thirdeye.n wurde entdeckt.“ Bill starrt ungläubig auf den Bildschirm.

„Dwight, was zum Teufel ist das? Hast du etwa versucht, die Datei auf irgendeinem anderen Rechner zu öffnen?“ Bill zeigt mit seinem Finger auf die Datei Layout_corrections.docx.exe.

„Wie soll ich denn sonst wissen, welche Änderungen ich vornehmen muss? Ich habe es zwar versucht, aber die Datei ließ sich gar nicht erst öffnen. Ich habe geklickt und nichts ist passiert.“

„Hast du denn nicht gesehen, dass die Datei überhaupt kein Dokument ist?! Die Dateierweiterung ist EXE!“

„Ich konnte gar keine Erweiterung sehen! Nur das Symbol und den Namen. Und warum raunst du mich so an? Ich habe doch lediglich Christines Datei geöffnet!“

„Hm, macht Sinn. Die Erweiterungen bekannter Dateien werden schließlich nicht angezeigt“, murmelt Bill. „Okay, ruhig bleiben: Auf welchen Rechnern hast du noch versucht die Datei zu öffnen?“

„Auf dem PC von Anna Miller aus der Buchhaltung. Auf dem Laptop des Fotografen. Und auf dem von Lena aus der Logistikabteilung. Ach, und auf dem Computer von Tom aus der Webentwicklung. Und ich glaube auch auf Kates. Wieso? Ist das etwa ein Virus? Dann ist es definitiv nicht meine Schuld!“

„Das ist nicht irgendein Virus, sondern ein maßgeschneiderter Trojaner. Er infiziert nicht irgendwelche willkürlichen Geräte; irgendwer muss ihn absichtlich auf diesen USB-Stick gepackt haben!“ Bill loggt sich in die Webschnittstelle des Routers ein, um die betroffenen Computer zu isolieren. „Wo hast du eigentlich Christines Passwort her? Sie ist doch seit gestern auf Geschäftsreise.“

„Es steht auf einem kleinen Zettel unter ihrer Tastatur – das weiß doch jeder“, murmelt der Layout-Designer sichtlich angegriffen. „Ich habe den USB-Stick nicht mit nach Hause genommen, sondern gestern erst selbst gefunden!“

„Was meinst du mit gefunden?“

„Naja, sie hat mir den Stick mit der Notiz „Layout so schnell wie möglich anpassen“ am Empfang hinterlassen.“

„Sag mal, spinnst du? Christine war doch gestern fast den ganzen Tag im Büro. Warum um Himmels Willen sollte sie dir den USB-Stick am Empfang hinterlassen? Du weißt ganz genau, dass sie es überhaupt nicht mag, irgendwelche Zettel mit Notizen zu verteilen. Außerdem würde sie die Dateien vermutlich direkt selbst auf den Server laden! Verdammt, der Server!“ Bill tippt erneut auf die Tastatur ein. „Jeder kann irgendwelche Datenträger am Empfang hinterlassen. Wann ist das Ganze ungefähr passiert?“

„Ich bin mir nicht ganz sicher. Es war gegen Abend, als ich gerade nach Hause gehen wollte. Yvonne kam auf mich zu und sagte mir, dass jemand einen USB-Stick für mich hinterlassen hat. Sie hat aber nicht gesehen, wer es war. Ich bin dann noch einmal an meinen Platz zurück, um ihn auf Annas und Christines Rechner zu öffnen. Den Rest der Geschichte kennst du.“

„Dwight, du weißt schon, dass jemand …“ Das Gespräch wird von einem Anruf des Geschäftsführers der Agentur unterbrochen. „Irgendwie habe ich dabei kein gutes Gefühl …“

„Was ist los? Warum bist du nicht an deinem Schreibtisch?“, fragt der CEO aufbrausend.

„Tut mir leid, die Designer haben ein Problem. Jemand hat einen USB-Stick …“

„Vergiss die Designer!“, unterbricht ihn der Geschäftsführer. „Ich habe gerade einen Anruf von Österberg & Jones bekommen. Ihre Website verteilt seit letzter Nacht Viren. Wir sind die Einzigen, die außer ihnen Zugriff auf die Seite haben, um Banner zu aktualisieren. Ich brauche Beweise, dass wir nichts damit zu tun haben.“

„Wer hatte den Zugriff auf die Seite?“, fragt Bill, während ihm ein kalter Schauer über den Rücken läuft.

„Ich weiß es nicht genau. Einige der Webentwickler und Dwight vielleicht. Christine mit Sicherheit – schließlich ist es ihr Kunde und sie mag es, die volle Kontrolle über jedes kleinste Detail zu haben.“

„Die Sache ist die … Ich glaube, dass tatsächlich wir an dem Vorfall schuld sind.“

„Wir sind erledigt! Sie drohen uns mit einem Gerichtsverfahren. Wenn tatsächlich wir daran schuld sind, dann sind wir Österberg & Jones mehr als eine Erklärung schuldig. Ich brauche bis zum Ende des Tages eine detaillierte Analyse. Bill, wenn du externe Experten für die Untersuchung benötigst, lass‘ es mich wissen. Ich brauche einen vollständigen, ehrlichen Bericht, wenn ich mich später bei Österberg & Jones präsentiere. Und jetzt erklär‘ mir kurz, was überhaupt passiert ist?“

„Sieht ganz danach aus, als hätte uns jemand absichtlich einen infizierten USB-Stick untergeschoben. Wahrscheinlich war Österberg & Jones das eigentliche Zielobjekt. Du weißt doch, wie es um die Sicherheit im Unternehmen steht. Ich tue, was ich kann, aber wir haben einfach nicht das nötige Equipment, Material, usw. Selbst das Antivirus ist nicht …“

„Okay, ich hab’s verstanden. Das ist wohl deine höfliche Art und Weise mir zu sagen, dass ich schuld an dem Schlamassel bin. Du kriegst dein IT-Team und deine AV-Lösungen für alle Mitarbeiter. Vorausgesetzt, wir kommen lebend aus dieser Sache heraus, was ich zu bezweifeln mag.“

Und die Moral von der Geschicht’…

  • Die Vorgehensweise des Unternehmens im Umgang mit Dateien aus externen Quellen ist vollkommen angemessen und korrekt. Das Problem ist, dass Regeln nicht befolgt werden, weil einige Mitarbeiter glauben, dass ein Auftrag wichtiger ist als die Sicherheit des Unternehmens. In der Realität sollte Sicherheit immer oberste Priorität sein – auch wenn die Anweisungen direkt vom Chef kommen.
  • Zu viele Mitarbeiter können auf Partnerressourcen zugreifen. Ein Problem, das dadurch verstärkt wird, dass niemand genau weiß, wer nun eigentlich Zugriff hat. Derartige Information sollten im Idealfall lediglich einem, maximal zwei, Mitarbeiter(n) bekannt sein. Darüber hinaus sollte bei jeder Anmeldung die Eingabe der entsprechenden Zugangsdaten Pflicht sein. Auch das Speichern der Daten im Browser ist eine äußerst schlechte Idee, genauso wie der Zugriff auf spezifische Seiten über einen ungeschützten Computer.
  • Die Tatsache, dass Passwörter auf einem Zettel unter der Tastatur aufbewahrt werden, mag lächerlich klingen, ist in vielen Unternehmen aber durchaus üblich. Das ist völlig inakzeptabel – auch wenn Außenstehende keine Chance haben, in Ihr Büro gelangen, können Teammitglieder manchmal genauso viel Schaden anrichten.
  • Auf allen Unternehmensgeräten muss eine angemessene Sicherheitslösungen installiert werden.
Tipps