22. November 2021
Cyberangriffe auf Gemeinden – Spear-Phishing unnötig leicht gemacht?
Die Gemeinden rücken als mögliche Angriffsziele zunehmend in den Fokus. Im August 2021 sorgte ein Hacker-Angriff auf die Waadtländer Gemeinde Rolle für mediales Aufsehen. Auch die Stadt Dietikon wurde vor nicht all zu langer Zeit von einem (erfolglos gebliebenen) Spear-Phishing-Angriff heimgesucht. Dies zeigt: Auch die Gemeinden können nicht vorsichtig genug sein.
Spear Phishing ist eine sehr heimtückische Art von Cyberangriff. Er funktioniert ähnlich wie ein Phishing-Angriff, ist aber viel gezielter und raffinierter. Im Unterschied zu den schlecht gemachten Phishing-Mails sind diese «massgeschneidert» und werden vom Spam-Filter nicht automatisch erkannt und aussortiert.
Der Absender scheint – mittels Spoofing des angezeigten Displaynamens – vertrauenswürdig. Er gibt sich beispielsweise aus als Gemeindeangestellter, politischer Vorgesetzter, Bank, Behörde, Lieferant oder Einwohner/in. Das vorgebrachte Anliegen wirkt logisch und adäquat. Auch sprachlich sind keine Auffälligkeiten zu entdecken. Das ist kein Zufall!
Das Verfassen solcher Mails erfordert Insiderwissen zur Verwaltungs- und Organisationsstruktur und zu den Mitarbeitenden des Angriffsziels. Sie werden nicht von «Zufallshackern» verschickt, sondern von Tätern, die gezielt auf eine ganz bestimmte «Beute» aus sind. Das können finanzielle Gewinne, sensible Personen-/Steuerdaten, Bank-/Kreditkartendaten, Logins, usw. sein. Oft handelt es sich dabei nur um die Vorstufe zum eigentlichen Angriff. Dass man übers Ohr gehauen wurde, realisiert man leider oft erst, wenn es bereits zu spät ist.
Spear-Phishing-Angriff auf die Lohnbuchhaltung
Auf der Gemeinde Dietikon kam der Angriff völlig unerwartet. Er war professionell und wurde nur zufällig rechtzeitig entdeckt. Ein finanzieller Schaden konnte demnach glücklicherweise verhindert werden. Stellen Sie sich einmal die Frage, wie Sie als Verantwortliche/r der Lohnbuchhaltung reagieren, wenn Sie von einer Ihnen bekannten Mitarbeiterin ein internes E-Mail mit Signatur und folgendem Inhalt erhalten:
Liebe XXXXX, kannst Du bitte mein bisheriges Bankkonto bei der Bank XY auf die Postfinance-Konto xxxxxx ändern? Vielen Dank und beste Grüsse
Bei mehreren hundert Lohnauszahlungen pro Monat wird kaum jemand auf die Idee kommen, den angezeigten Displaynamen des Mails zu überprüfen oder gar telefonisch zurückzufragen, ob das Konto auch tatsächlich geändert werden soll. Es handelt sich um ein Routinegeschäft. Ein bis drei Kontenänderungen pro Monat sind üblich.
Die Mutation wurde demnach im Lohnsystem vorgenommen, der Vollzug per E-Mail bestätigt und der ausgedruckte Mailverkehr zu den Unterlagen gelegt. Erst in der gedruckten Version fiel – rein zufällig – auf, dass die Empfänger-E-Mail-Adresse (sinngemäss) xyz88(at)gmail.com lautet. Motiviert vom vermeintlichen Erfolg ihrer Phishing-Aktion trafen einige Zeit später zwei weitere E-Mails mit Mutationsaufträgen ein.
Eigene Recherchen zur Identität des Konteninhabers führten zu einem mutmasslichen Money-Mule, der am 25. des Monats wohl an Stelle von drei Mitarbeitenden die Lohnauszahlung in Empfang genommen und an seine Auftraggeber überwiesen hätte. Die Stadt Dietikon hat umgehend Anzeige bei der Polizei erstattet und die Kontendaten zurückmutiert.
Hohes Schadenspotenzial
Als Einzelfall und isoliert betrachtet mag der Vorfall bei der Stadt Dietikon ein «kleiner Fisch» sein. Nimmt man aber an, dass die Angreifer alle 86 Gemeinden der Schweiz mit mehr als 15’000 Einwohnern als Zielgruppe ins Visier genommen haben könnten, ergibt das eine potenzielle Deliktsumme von rund drei bis fünf Millionen Franken.
Wesentlich grössere und lukrativere «Fischzüge» dürften mit den bei der Ransom-Attacke auf die Gemeinde Rolle erbeuteten und im Darknet veröffentlichten, hochsensiblen Daten wohl erst noch bevorstehen. Siehe dazu die Berichte in der NZZ vom 25.8.2021, im Inside-IT vom 26.8.2021 sowie bei watson vom 30.8.2021.
Gemeinden sollten es den Angreifern nicht unnötig leicht machen!
Im Anschluss an den Hacker-Angriff auf die Waadtländer Gemeinde Rolle hat die Kantonspolizei Bern, in Zusammenarbeit mit dem Nationalen Zentrum für Cybersicherheit (NCSC), die Broschüre «Cyberdelikte verhindern – Wegleitung für Gemeinden» veröffentlicht.
Aus Sicht eines potenziellen Angreifers, braucht es für eine einfache Spear-Phishing-Attacke auf eine Gemeinde nur Zugriff auf die Website, etwas Fantasie, genügend Zeit und einige Money-Mules für die Abwicklung der Zahlungen. IT-Technisches Wissen ist nicht notwendig und das Risiko erwischt zu werden, ist gering.
Die Internet-Auftritte der zufällig ausgewählten Gemeinden Dietikon, Uster, Kloten und Wil zeigen, dass unter der Rubrik «Mitarbeitende» Name, Vorname, E-Mail, Telefon und Funktion aller Gemeindeangestellten zu finden sind. Einige Gemeinden wie beispielsweise Langenthal und Oberuzwil veröffentlichen zusätzlich Mitarbeiterfotos.
Mit diesen öffentlich zugänglichen Informationen ist der Grundstein für einen erfolgsversprechenden Spear-Phishing Angriff gelegt. Die Verantwortlichen einer Gemeinde sollten sich somit sehr gut überlegen, welche Informationen sie auf dem Internet publizieren und was sie über sich auf sozialen Medien kommunizieren. Weniger ist hier definitiv mehr!
Schliesslich ist entscheidend, dass sich alle Angestellten, aber auch die Politiker der Bedrohung bewusst sind. Sie sind gezielt zu sensibilisieren, dass E-Mails auch Fälschungen sein können und dass Vorsicht und gesundes Misstrauen nie schaden.
Falls man trotz aller Vorsicht auf die Angreifer hereingefallen ist, sollte man umgehend bei der Polizei Anzeige erstatten. Nur so kann den Cyberkriminellen das Handwerk gelegt werden.
Über die Autorin
Autorin: Margrit Keller
Kommentare
0 Kommentare
Danke für Ihren Kommentar, wir prüfen dies gerne.