Dieser Artikel stellt 3 bemerkenswerte Cybersecurity-Fälle vor: Vom einzelnen Landwirten in Zug über den Industriebetrieb Bernina im Thurgau bis hin zum Medienhaus NZZ in Zürich. Insbesondere die Fälle NZZ und Bernina bieten einzigartige Blicke hinter die Kulissen von Ransomware-Angriffen und lesen sich wie Krimis!
Die 3 Fälle und der Bonustipp in der Übersicht:
Hinweis: Dieser Blog soll den Fokus auf 3 bemerkenswerte Fälle lenken, um unsere und ihre Security-Awareness zu erhöhen und von den Einblicken in diese Fälle lernen zu können. Es ist niemals das Ziel, mit dem Finger "auf andere zu zeigen". Bei allen Fällen handelt es sich um öffentlich verfügbare Informationen.
Fall 1: Unzensierter Einblick in den NZZ-Hack
Einzigartig an diesem Fall: Dem NZZ-Journalisten Lukas Mäder gewährte die Geschäftsleitung von Anfang an einen umfassenden Einblick in die Ransomware-Attacke. Im Februar 2024 wurde ein langer Artikel publiziert, welcher den Vorfall in einem faszinierenden und äusserst seltenen Detailgrad beschreibt: Vorgehen, Hintergründe, Reaktionen, Verfehlungen. Eine Pflichtlektüre für alle, welche im Bereich Cybersicherheit tätig sind!
Der Fall in Kürze: Im März 2023 wurde die NZZ Opfer eines Cyberangriffes. Der externe SOC-Dienstleister (SOC bedeutet Security Operations Center) bemerkte die verdächtigen Aktivitäten und sperrte Accounts, trotzdem schaffte es die international aktive Erpresserbande «Play», Daten zu entwenden und bis zu 60% der IT-Systeme der NZZ zu kompromittieren. Wie lange die Kriminellen bereits im System waren und welche Hintertür genutzt wurde, auch das verrät der Artikel.
Der Krisenstab ist im Ausnahmezustand, arbeitet nächtelang durch. Die Systeme müssen binnen Tagen komplett neu aufgebaut werden, was gemäss IT-Infrastrukturleiter Bernd Hornig unter normalen Umständen eineinhalb Jahre in Anspruch nehmen würde. Parallel dazu erhöhen die Erpresser den Druck und drohen, die 800 GB an gestohlenen Daten zu veröffentlichen. Die Kantonspolizei Zürich verhandelt mit den Erpressern. Dabei geht es nicht um Geld, die Polizisten haben ein anderes Ziel.
Ganz glimpflich geht der Fall nicht aus: Die NZZ geht nicht auf die Forderung ein und die Erpresser machen mit der Datenveröffentlichung ernst.
Lessons learned: Gemäss Artikel nutzten die Kriminellen ein Log-in, welches einem Mitarbeiter einer Softwarelieferantin gehörte und nicht durch 2-Faktor-Authentifizierung (2FA oder auch Multi Level Authentifizierung MFA) geschützt war. MFA gehört heute zum absoluten Standardvorgehen. Die Lessons learned lauten daher: MFA flächendeckend durchsetzen und Zugänge von Externen wie bspw. Lieferanten, Partnern, etc. regelmässig prüfen.
Hinweis: Während der Recherche für diesen Blog war der Artikel via Smartphone ohne Paywall zugänglich. Es sei an dieser Stelle die besondere Werthaltigkeit des Artikels betont, da er einen seltenen Blick hinter die Kulissen eines echten Incident-Responses gewährt - notabene bei einem der renommiertesten Medienhäuser der Schweiz.
Wie die ÖKK-Versicherung seine Useraccounts mit MFA und Conditional Access schützt, lesen Sie hier.
Fall 2: Bernina zwingt Cyberkriminelle in die Knie
Einzigartig an diesem Fall: Die Erpressergruppe AlphaV hat die Chatverläufe mit der Nähmschinenherstellerin Bernina veröffentlicht. Otto Hostettler des Beobachters zeigt in einem spannenden Artikel auf, wie die beiden Parteien miteinander um den Preis feilschen, Zeit schinden und den Druck zu erhöhen versuchen. Eiskalt bietet Bernina den Kriminellen die Stirn und schafft es, die Oberhand zu gewinnen.
Der Fall in Kürze: Im April 2023 wurde die Bernina AG Opfer eines Cyberangriffs durch die Ransomware-Gruppe Alphav. Die Angreifer verschlüsselten Systeme und erbeuteten nach eigenen Angaben rund 1.2 TB sensibler Daten. Eine Menge, die seitens Bernina als deutlich geringer eingeschätzt wird. Gefordert wurde zunächst ein Lösegeld von 1.3 Millionen US-Dollar. Während Bernina auf eine halbe Million US-Dollar herunterverhandelte, wurden im Hintergrund schnell Back-ups eingespielt. Das Kräftemessen erstreckte sich über insgesamt 12 Tage und endete, als Bernina die Kriminellen über die fast vollständige Wiederherstellung der Systeme informierte und man lediglich noch 50'000 US-Dollar anbieten würde.
Während dieser gesamten Zeit wurden lediglich 10 US-Dollar als Test-Transaktion überwiesen.
Lessons learned: Bernina hat - genau wie das Bundesamt für Cybersicherheit BACS es bei Ransomware-Angriffen empfiehlt - kühlen Kopf bewahrt, die Systeme neu aufgesetzt und die Öffentlichkeit aus eigener Initiative informiert und den Kriminellen so die Oberhand genommen. Von einer Zahlung des Lösegeldes rät das BACS in jedem Fall ab. Es gäbe keine Entschlüsselungs-Garantie und halte das Ransomware-Geschäft weiter am Laufen.
Fall 3: Landwirt lernt Wichtigkeit regelmässiger Backups
Einzigartig an diesem Fall: Sogar auf einzelne Landwirte haben es Cyberkriminelle abgesehen. Dutzende Medienplattformen greifen die Story im August 2024 auf, abgespielt hat sich der Vorfall bereits im November 2023. Die Ransomware-Attacke hat den betroffenen Betriebsleiter dazu bewogen, wöchentlich ein Backup der Daten zu erstellen.
Der Fall in Kürze: Im August 2024 bekam der Landwirt eine Warn-SMS des Melkroboters, dass keine Daten vom Computer mehr empfangen würden. Entgegen weitläufiger Medienberichte wurde nicht der Melkroboter gehackt, sondern der Windowscomputer des Bauern, wie Michael Steiger von Steigerlegal im Detail berichtigt. Weiter melken konnte die Anlage auch ohne Computerverbindung. Der Bauer hatte jedoch keinen Zugriff mehr auf wichtige Vitaldaten seiner Tiere, insbesondere jene einer trächtigen Kuh. Das führte dazu, dass das ungeborene Kalb im Mutterleib verstarb und daraufhin auch die Mutterkuh eingeschläfert werden musste. Gefordert hatten die Angreifer 10'000 US-Dollar, welche der Bauer nicht bezahlt hat.
Lessons learned: Backups sind das Sicherheitsnetz. Genau wie MFA gehört auch die Backup-Strategie heute zum Standardvorgehen für Unternehmen.
Zum Artikel der NZZ:https://www.nzz.ch/schweiz/hackerangriff-auf-bauernhof-in-zug-wie-sich-landwirte-schuetzen-koennen-ld.1842549
Zum Artikel des Schweizer Bauers: https://www.schweizerbauer.ch/politik-wirtschaft/betriebsfuehrung/gehackter-melkroboter-loesegeldforderung-und-eine-tote-kuh
Bonustipp: Das WLAN-Kommando und der Angriff auf das Deutsche Parlament
Bis in den Computer von Angela Merkel schafften es die Kriminellen. Begonnen hat es ganz harmlos: Im Mai 2015 funktioniert bei einer Bundestags-Mitarbeiterin die Tastatur plötzlich nicht mehr richtig. Was nach einem Mini-IT-Problem klingt, ist das erste Anzeichen dafür, dass Hacker dabei sind, das deutsche Parlament anzugreifen. Nach und nach wird klar: Der Deutsche Bundestag steht unter virtuellem Beschuss. Was folgt, ist ein digitaler Supergau von noch nie da gewesener Grösse.
Es handelt sich hier um eine Folge des ARD-Podcasts «Dark Matters - Geheimnisse der Geheimdienste». Während 49 faszinierenden Minuten wird unter fachkundiger Begleitung berichtet, wie die Kriminellen in die Netze des Deutschen Bundestags vorgedrungen sind, wie sie es bis auf den Computer der Bundeskanzlerin schafften und wie Cyberkriminelle ihre «Geschäftstätigkeit» organisieren. Dringende Hörempfehlung!
Zum Podcast in der ARD-Mediathek und auf Spotify
