Von Monica Fahmy und Dr. Claudia V. Brunner

Am Seminar Cyber Defence des Instituts für Finanzdienstleistungen der Hochschule Luzern erzählten Expertinnen und Experten aus ihrem Alltag mit Wirtschaftsspionen und Hackern.

Die Seminarleiterinnen Dr. Claudia V. Brunner und Susanne Grau begrüssten die interessierten Teilnehmerinnen und Teilnehmer am 26. Juni zu einem Tag, der ganz im Zeichen von Wirtschaftsspionage, Social Engineering und Hacking stand.

Um Wirtschaftsspionage ging es im Referat von  Brigitte Obrist, Wissenschaftliche Mitarbeiterin beim VBS und Pirmin Heinzer von der Melde- und Analysestelle Informationssicherung MELANI.

Einleitend sagte Brigitte Obrist, dass sie Täter, Methoden und Ziele vorstellen wolle und was der Staat zum Schutz der Unternehmen tun könne. Es sei schwierig, es gebe viele Hürden, nimmt sie gleich vorweg. „Mein Fazit, die staatlichen Schutz-Instrumente sind beschränkt. Die Haupt-Verantwortung liegt beim Unternehmen.“

Wie raffiniert Täter vorgehen können zeigt der Kurzfilm „Im Visier“, den der Nachrichtendienst des Bundes (NDB) im Rahmen des Sensibilisierungsprogramms Prophylax produziert hat.

Im Film geht der NDB Hinweisen auf Wirtschaftsspionage bei einem Unternehmen nach. Täter hatten versucht, den Forschungsleiter zu rekrutieren. Ihre Aktion hatten sie minutiös vorbereitet. Mittels OSINT erfuhren sie sehr viel über ihre Zielperson. Wo sie wohnt, arbeitet, mit wem sie sich trifft, ihre Hobbies.

„Wie im Film tun Täter alles, um das Vertrauen einer Zielperson zu gewinnen“, sagt Brigitte Obrist. Beim Gespräch zeige man ähnliche Interessen, gewinne so das Vertrauen. Mit einem Mail können die Täter Zugriff auf den Computer der Zielperson und zum Netzwerk der Firma erhalten. Gelingt es, eine Schadsoftware auf dem Handy zu installieren, haben die Täter Zugriff auf die Kamera, das Mikrophon, GPS. Sie sind bei Treffen, wo vertrauliche Informationen fliessen live dabei.

Bei Wirtschaftsspionage geht es ausdrücklich um die Beschaffung von Informationen, die nicht offen zugänglich sind. Die Täter sind vom Staat gelenkt und verwenden nachrichtendienstliche Methoden. Zwischengeschaltet sind oft auch private Ermittlungsunternehmen und/oder Hacker. Dies mache es schwierig, die Täter einwandfrei zu identifizieren. War es ein fremder Staat oder die Konkurrenz? Wer ist der Auftraggeber?

Angriffsziele können alle kompetitiven Unternehmen sein. Besonders gefährdet sind laut Brigitte Obrist Unternehmen der Luft- und Raumfahrt, der Nanotechnologie, der Pharma, Finanzdienstleistungen und aus dem Rohstoffhandel.

Wie viele Geschädigte es gibt oder wie hoch der Schaden sein könnte, darüber gibt es keine offizielle Statistik. Die Expertinnen und Experten des Bundes glauben, dass es eine hohe Dunkelziffer gibt. Die Gründe dafür sind einleuchtend: Geschädigte Unternehmen fürchten sich vor einem Reputationsschaden, Angriffe bleiben oft unbemerkt, und wenn einer entdeckt wird, bevorzugen sie eine diskrete  interne Ermittlung statt sich an die Behörden zu wenden.

Abgeleitet von Schätzungen aus Deutschland, könnte der Schaden in der Schweiz rund fünf Milliarden Schweizer Franken betragen.

Um Wirtschaftsspionagefälle nach StGB 273 zu ermitteln, benötigt die Bundesanwaltschaft eine Ermächtigung des Bundesrats. Mögliche Ermittlungen gegen einen fremden Staat bewegen sich dadurch im Spannungsfeld der Wirtschaft und der Politik.

Deshalb sei Prävention umso wichtiger, wie zum Beispiel das Präventions-Programm Prophylax des NDB, welches Unternehmen sensibilisiert und auf Gefahren und Risiken aufmerksam macht.  Denn letztendlich liegt die Hauptverantwortung beim Unternehmen, sagt Brigitte Obrist. Dafür sei jedoch unbedingt die Awareness auf Chef-Stufe notwendig.

Der Fall Ruag

Pirmin Heinzer spricht über den Fall Ruag, ein Fall über den man sprechen könne, weil die Geschäftsprüfungskommission des Nationalrates sich mit dem Fall befasst und einen Bericht veröffentlicht hat.

Mitte Dezember 2015 informierte ein Partnerdienst den NDB, die Ruag könnte infiziert sein.

Abklärungen zeigten, das Netzwerk war kompromittiert. Eine erste Einschätzung ergab, dass das Ruag Netz verloren sei und wohl seit 24 Monaten unter der Kontrolle der Angreifer stand.

Im Mai 2016 hat man gemerkt, dass 20 Gigabyte Daten gestohlen wurden. Der Angreifer war ein staatlicher Akteur, der schon von früheren Angriffen bekannt war. Der Bundesrat veröffentlichte darauf einen technischen Bericht, der zeigt wie die Angreifer vorgingen. Die Publikation ermöglicht es allen Organisationen, Abwehrmassnahmen gegen diese Art Angriffe umzusetzen.

Das Fazit des Berichts des Parlaments: Der Bund hätte seine Interessen bei der Ruag besser durchsetzen sollen. Chefsache eben.

Unternehmen müssen überlegen, welche Daten besonders schützenswert sind, sagt Primin Heinzer. Wie werden die Mitarbeiter geprüft, die Zugriff haben? Wer kontrolliert Cloud-Dienste? Welche Kanäle werden gebraucht? Merkt man, ob Daten abfliessen?

Heinzers Fazit: Daten werden gestohlen, bei grossen wie kleinen Unternehmen. Niemand ist davor gefeit. Zum Schutz brauche es einen integralen Ansatz, ein Risikomanagement. Dies sei Aufgabe der Geschäftsleitung. Im Wissen, dass es nie Null Risiko geben werde.

Die Lücke im System

Mathias Fuchs Head of Cyber Defence bei Info Guard AG spricht über einen Fall aus seiner Praxis.

Angreifer fanden eine von 100’000 Lücken im Informatiksystem des Unternehmens. Sie fanden die Lücke über die Suchmaschine www.shodan.io, konnten den Server identifizieren, der eine Angriffslücke bietet.

Im Seminar zeigte Mathias Fuchs live, wie man Lücken auffindet.

Durch die Lücke konnten die Angreifer über sieben Server übernehmen und installierten jeweils ein Betriebssystem. Entdeckt wurden sie, weil sie einen Fehler machten. Mathias Fuchs empfiehlt, Angreifer nicht sofort auszusperren, um sie nicht zu früh zu warnen.

Bei der Unternehmung habe man versucht, auf Grund des Verhaltens der Angreifer den Traffic zu entschlüsseln, bis man den Angreifer unter Kontrolle hatte und herausfand, was er suchte. So konnten die Untersucher weitere Server scannen, die zu Angriffszielen gehören könnten.

Im Verlaufe der Untersuchung kam der Verdacht auf, dass es sich um einen Insider handeln musste. Die Gegenoffensive war schwierig, da der Angriff wahrscheinlich aus dem asiatischen Raum kam.

Das betroffene Unternehmen hat sein Security Operations Center von fünf Mitarbeitenden zum Zeitpunkt des Vorfalls auf 50 aufgestockt.

Mathias Fuchs Fazit: Man sollte darauf zielen, den Angreifer kontrollieren zu können. Wenn man ihn einfach „rausschmeisst“, dann wird er eine andere Lücke finden und erneut angreifen. Man könne sich zwar absichern, etwa mit einem «White Listing», bei dem nur eine eingeschränkte und sichere Anzahl Applikationen für die Mitarbeiter verfügbar sei. „Doch dann kommt das Management, das Solitär spielen will, und mit dem White Listing ist es vorbei“.

Social Engineering

Chris Eckert CEO der econplus GmbH sprach über Social Engineering. In einem Kurzfilm zeigen Social Engineering Experten, wie einfach es ist, selbst an Passwörter und Kontodaten zu kommen. Ein schreiendes Baby im Hintergrund, eine vermeintlich verzweifelte Ehefrau, deren Mann es verschlampt hat, ihr die Zugriffsberechtigung zu geben, gutes schauspielerisches Talent, und schon ist ein Angreifer weiter.

Der geschätzte Schaden weltweit betrage rund 500 Milliarden Euro jährlich. „Die Wirtschaft erleidet durch Social Engineering in Zusammenhang mit Industrie- und Wirtschaftsspionage sowie Cyberattacken grosse Schäden“, sagt Chris Eckert. Manche betroffene Unternehmen geraten in eine tiefe Krise. Finanzieller Schaden, Vertrauensverlust, Reputationsschaden, Arbeitsplatzsicherheit. Für einige Unternehmen steht sogar die Existenz auf dem Spiel.

Der Faktor Mensch sei und bleibe das schwächste Glied bei einem Angriff. „In Bezug auf Technik und Prozesse sind wir gut gerüstet, aber am Risikofaktor Mensch arbeiten wir kaum.“ Dort setzt Social Engineering ein. Tausende Mitarbeiter fremder Nachrichtendienste weltweit versuchen, an Informationen in gut gehenden Märkten der Industrieländer zu gelangen, die der eigenen Wirtschaft nützlich sein werden. Informationen, Daten und Know-how aus Politik, Militär, Wirtschaft, Technik, Wissenschaft, Energie, Wasser, IT, Gesundheitswesen, Finanzen etc.

Personen werden in Firmen geschleust, Mitarbeiter bewusst oder unbewusst angezapft. Ihnen sei oft nicht bewusst, welche Daten und Werte – die so genannten «Kronjuwelen» ihres Unternehmens überhaupt schützenswert seien. 69 Prozent der Angriffe erfolgten aus dem Ausland und 50 Prozent der Angriffe laufen über bestehende oder ehemalige Mitarbeiter.

Manche Unternehmen machen es Angreifern leicht: unverschlossene Büros und Schränke, schwache Passwörter, unzureichende Sensibilisierung der Mitarbeiter, keine Zutritts- und Zugriffsrichtlinien.

Social Engineering funktioniere, weil Menschen in unseren Breitengraden in erster Linie vertrauen, nett und hilfsbereit sind, keinen Argwohn hegen, in der Routine gefangen sind oder Angst haben vor negativen Folgen, etwa wenn ein Angreifer vorgibt, den Chef zu kennen.

Als Gegenmassnahmen empfiehlt Chris Eckert beispielsweise, darauf zu achten, welche Apps auf Smartphones im Hintergrund laufen, nur die nötigen herunter zu laden und sie effektiv zu verwenden, Social Media konservativ zu nutzen, intelligente Passwörter zu benutzen und diese nicht weiter zu geben, sowie ganz generell die Mitarbeiter bis zur obersten Stufe immer wieder zu sensibilisieren.

Im System des anderen

Zum Abschluss des Tages zeigten Sören Fischer und Graham Stanforth, beide IT-Sicherheitsberater bei ML Consulting GmbH, wie einfach es ist, in Computer anderer zu gelangen.

Es sei mittlerweile jedem klar, dass Mails, in denen Viagra oder andere solcher Produkte angeboten würden, sofort zu löschen seien. Bei anderen Mails jedoch seien viele weniger wachsam. So erfahre man beispielsweise beim Googlen vieles über eine Zielperson. Sehr interessant für Hacken seien immer wieder Organigramme von Unternehmen. So erfahre man etwa, unter welchem Namen man jemanden kontaktieren könne ohne seinen Argwohn zu wecken. Beispielsweise von einem Mitarbeiter in derselben Firma, mit dem die Zielperson höchstwahrscheinlich keine Berührungspunkte habe, bei der aber ein Mail mit Anhang bestimmt gelesen würde.

Hacker senden ein Mail im Namen eines Mitarbeiters der gleichen Firma. Die Zielperson versucht das angehängte PDF zu öffnen, es stürzt immer wieder ab. Misstrauisch werden da die wenigsten. Und der Hacker ist im System drin, hat Zugriff auf Kamera, Mikrophon, auf sämtliche Funktionen des Rechners.

Deshalb empfehlen die IT-Spezialisten, jeden Anhang erst einmal zu scannen, auch wenn er von einer scheinbar unverdächtigen Email-Adresse kommt. „Wir sind wieder bei der Schwachstelle Mensch“, sagt Graham Stanforth. „Hacker brauchen den Klick des Menschen am Computer“.

Die IT-Sicherheitsberater zeigen auch, wie einfach es ist, ein sechsstelliges Passwort zu knacken. Es dauerte gerade mal 12 Sekunden. Sie empfehlen darum Passwörter mit mindestens 8 Zeichen, besser noch seien 12. Vorsicht ist auch angebracht bei USB-Sticks, die als Werbegeschenke verteilt würden. Sämtliche Werbegeschenke, die den USB Port brauchen, können den Computer kompromittieren. Die Live Hacking Vorführung war das Highlight eines ohnehin schon spannenden Tages.

Über die Autorinnen

Autorin: Monica Fahmy

Monica Fahmy ist Ökonomin (MA UZH) und Absolventin des MAS Economic Crime Investigation. Sie ist COO bei der auf Investigations und Business Intelligence spezialisierten Firma AC Assets Control AG und Vorstandsmitglied der Schweizerischen Expertenvereinigung zur Bekämpfung von Wirtschaftskriminalität SEBWK.

Autorin: Dr. Claudia V. Brunner

Rechtsanwältin Dr. Claudia V. Brunner ist verantwortlich für den Themenbereich Wirtschaftskriminalistik, Dozentin und Projektleiterin am Institut für Finanzdienstleistungen Zug der Hochschule Luzern sowie Partnerin bei Jositsch Brunner Rechtsanwälte. Sie verfügt über weitreichende Erfahrungen im Bereich Wirtschaftskriminalität, Compliance und Wirtschaftsstrafrecht. Zudem hat sie bei der BrunnerInvest AG ein Mandat als Vizepräsidentin des Verwaltungsrats inne und ist Vorstandsmitglied der SRO PolyReg.