Phishing-Angriffe: Der Fall Menz & Gasser
Wie so oft begann alles an einem Freitag: gegen ein Uhr nachmittags beginnen einige Systeme, nicht mehr zu reagieren, die drei Standorte des Fertigungsunternehmens (Trento, Verona und Malaysia) beginnen, Probleme zu bereiten, so dass ein Manager des internen IT-Teams beschließt, das ACS Data Systems Team zu rufen, das einen eigenen Notfall-Interventionsservice namens Incident Response anbietet.
«Die drei IT-Infrastrukturen an den drei Standorten kommunizierten miteinander, aber jeder Standort war tatsächlich autonom auf ICT-Ebene. Wir von ACS haben Server, Speicher und Backup verwaltet, aber nichts in Bezug auf Cybersecurity... die eingegangenen Signale und die ersten Überprüfungen zeigten sofort eine sehr ernste Situation, und wir kamen schnell und mobilisierten ein Team von elf Personen, fünf vor Ort und sechs remote».
So beginnt die Erzählung von Mauro Gottardi, Area Manager Trento und Verona bei ACS Data Systems SPA, einem renommierten IT-Dienstleister auf dem italienischen Markt. Und es geht vor allem weiter mit der exklusiven Videoaussage, die mit dem Artikel verknüpft ist, von Matthias Gasser, CEO von Menz&Gasser, einem führenden Unternehmen in Italien und Europa in der Produktion von Marmeladen und Halbfabrikaten aus Obst und Gemüse: «Wir sind ein Unternehmen, das auf eine 80-jährige Geschichte zurückblickt. Aus dimensionaler Sicht sind wir das klassische italienische Unternehmen mit einem Umsatz von etwa 200 Millionen Euro und 600 Mitarbeitern. Wir haben Werke in Novaledo (Trento), Sanguinetto (Verona) und eines in Malaysia, von wo aus wir den asiatischen Markt bedienen. Wir produzieren Halbfabrikate aus Obst und diejenigen, die reisen, kennen uns von den Einzelportionen, die man in Restaurantbuffets, auf Flugzeugen und Kreuzfahrtschiffen findet».
Phishing, Systemblockierung... ein Fall zum Studieren
Ein Fall, wie so viele, von alltäglicher und oft unvorhersehbarer Unsicherheit, den es wert ist, in einem Moment, in dem nach den Zahlen des Clusit (Bericht 2022 des wichtigsten IT-Sicherheitsverbandes in Italien) mehr als 80 % der Cyber-Betrügereien nicht nur erfolgreich sind, sondern auch hohe und schwere Auswirkungen auf die Unternehmen unseres Landes haben, aus nächster Nähe zu hören und zu kennen.
„Der Anruf am berühmten Freitag“ – berichtet Gottardi, – „ist wie immer nur die Spitze des Eisbergs. In Wirklichkeit hat alles Mitte des Monats mit der klassischen Phishing-Mail begonnen (um das Thema zu vertiefen, siehe den Artikel IT-Sicherheit, Statistiken und Überlegungen oder die Seite, die dem Phishing Training gewidmet ist) die den Benutzer nach seinen Zugangsdaten fragt. Ein Benutzer, der in diesem Fall auf einen sehr gut geschriebenen und glaubwürdigen Betrug hereingefallen ist und tatsächlich den Angriff ausgelöst hat. Sobald sie in den Systemen waren, hatten die Kriminellen mehrere Tage Zeit, um Verhaltensweisen, Infrastrukturen zu studieren, einige Backdoors zu positionieren und genau zu verstehen, wie und wann sie das gesamte Kommunikationssystem lahmlegen konnten“.
Die Studie der Schwachstelle, dann der Angriff per E-Mail und der Qualitätssprung
Die sorgfältige Studie, dann die Identifizierung des Zugangspunktes (vielleicht durch eine OSINT-Analyse) und, in diesem Fall, des am meisten gefährdeten PCs. Wir sind am Freitag, dem Tag, der oft von Hackern gewählt wird, die das Wochenende bevorzugen, wo sie ihren Angriff starten und beginnen, Dateien und Dokumente zu verschlüsseln, mit der Absicht, später das klassische Lösegeld für ihre „Freilassung“ zu verlangen.
„Als wir ankamen, haben wir sofort eine Analyse der gesamten *IT-Infrastruktur *durchgeführt, um die bereits durch den Angriff korrumpierten Bereiche zu identifizieren und ihren Aktionsradius festzulegen“, berichtet Gottardi, „und vor allem wurde festgestellt, dass bereits in den Vortagen Zugriffe auf die Postfächer aus ausländischen Staaten erfolgten, die nicht mit den Positionen der Benutzer übereinstimmten. Wir haben natürlich alle Kommunikationen sowohl intern als auch extern blockiert und, wie so oft, sobald die Hacker bemerkten, dass wir eingriffen, ließen sie all ihre verfügbaren Waffen los. Sie starteten alle Aktionen, die in den Vortagen vorbereitet wurden, und legten de facto alle ICT-Infrastrukturen der drei Werke lahm. Glücklicherweise waren Zeit und Schnelligkeit auf unserer Seite, so dass sie es nicht schafften, das Unternehmensbackup „anzugreifen“. Das gab uns jedoch keine Sicherheit darüber, was sie in der Lage waren, in die Daten „einzudringen“*.“
Der erste Einsatz, die Zeitrahmen
Der erste Einsatz am Freitag dauerte bis tief in die Nacht und ging bis zum folgenden Montag weiter, als die Hauptdienste vollständig wiederhergestellt waren, wobei auch die von den Hackern eingeführten Backdoors identifiziert und beseitigt wurden, um den Angriff im Falle eines Scheiterns wieder aufzunehmen. Es dauerte jedoch unweigerlich mehrere Wochen, um die drei Standorte wieder vollständig in Betrieb zu nehmen, vor allem aus produktiver Sicht, eine Zeitspanne, in der das Unternehmen völlig stillstand: blockierte Waren im Transit, stillstehende Kommunikationen, fehlende Lieferungen, Verschlechterung von Rohstoffen, Hunderte von Mitarbeitern sofort in Kurzarbeit.
„Ein Schaden von mehreren Hunderttausend Euro“, berichtet Gottardi – „und ein beispielloser Druck auf die Wiederherstellungszeiten. Unser Security & Networking Team hat unermüdlich gearbeitet, um alle Infrastrukturen zu bereinigen. Schritt für Schritt konnten wir den Standort Trento wieder aktivieren, dann Verona und Malaysia: aber für 100 Prozent der Betriebsbereitschaft haben wir etwa vier Wochen gebraucht*».
„Heutzutage macht es einen großen Unterschied, einen wertvollen Partner an seiner Seite zu haben“
Ein erheblicher Schaden, ein schwieriger zu stoppender Betrug und eine zu lernende Lektion.
„Einen Partner an seiner Seite zu haben, der hilft, eigene Gewohnheiten in Frage zu stellen, Menschen auszubilden und die bestmöglichen Schutzsysteme zu installieren, ist sicherlich wichtig“, sagt Matthias Gasser. „Bei dem betreffenden Angriff hat ACS uns wirklich geholfen, indem es uns eine beeindruckende Task Force zur Verfügung stellte, uns Tag und Nacht, Samstag und Sonntag, Schritt für Schritt begleitete. So haben sie das Mögliche gerettet und den Schaden begrenzt, sodass wir trotz einiger Wochen Stillstand und den damit verbundenen Produktions- und Verbindungsschwierigkeiten zwischen den Werken daraus hervorgegangen sind. Aber mit so viel Einsatz und Arbeit konnten wir die Situation wieder in den Griff bekommen“.
Eine Erfahrung, die Menz&Gasser daher eine wertvolle Lehre hinterlässt: „Es ist ein bisschen wie beim Autofahren: Digitalisierung bedeutet, ein Restrisiko, das der Sicherheit, gemeinsam zu tragen. Es liegt an uns, es so weit wie möglich zu begrenzen, indem wir uns für die richtigen Partner entscheiden und das notwendige Engagement an den Tag legen“.
Artikel veröffentlicht auf sergentelorusso.