Was die Amag-Gruppe aus dem Cybervorfall von 2020 gelernt hat
Ende Januar 2020 haben kriminelle Hacker die IT-Systeme des Autoimporteurs Amag attackiert. Roger Mattmann, CISO der Amag Group, spricht darüber, was genau geschah, wie die Unternehmensgruppe auf den Angriff reagierte und welche Lehren man aus dem Vorfall ziehen kann.
Wie haben Sie den Cyberangriff auf die Amag-Gruppe erlebt?
Roger Mattmann: Da ich erst im April 2020, knapp zwei Monate nach dem Angriff, bei der Amag startete, wurde ich bis zu diesem Zeitpunkt von der Geschäftsleitung zwar laufend informiert, erlebte den Vorfall aber anfangs entsprechend weniger intensiv. Ab dem 1. April waren dann mein Team und ich sowie externe Mitarbeitende im Projekt "Amag Clean" damit beschäftigt, eine komplett neue und sichere IT-Umgebung aufzubauen. Die Analyse des Vorfalls ergab, dass unser Active Directory kompromittiert worden war.
Was genau ist damals passiert?
Wahrscheinlich hatte ein Mitarbeiter bereits Ende 2019 von zuhause aus einen mit einem Schadprogramm verseuchten Excel-Anhang in einer Mail angeklickt und so Hackern Zugriff auf seinen PC und dadurch auch Zutritt zum Amag-Netz verschafft. Ende Januar 2020 bemerkte das Nationale Zentrum für Cybersicherheit (NCSC), dass ausgehend vom Amag-Netz eine verdächtige IP-Adresse kontaktiert wurde, und alarmierte das Unternehmen. Gerade noch rechtzeitig, wie sich später zeigte.
Wie haben Sie festgestellt, dass es sich um einen Angriff von aussen handelte?
Nach dem Hinweis vom NCSC wurde bei genaueren Analysen festgestellt, dass schon mehrere Server und Clients sowie Accounts kompromittiert waren. Zudem war ein Domänen-Admin-Account in die Hände der Hacker gefallen.
Gab es so etwas wie einen Notfallplan für solche Situationen oder mussten Sie improvisieren?
Es gab einen Notfallplan. Mit externen Dienstleistern, die unsere internen Fachspezialisten unterstützten, wurden Analysen erstellt und Gegenmassnahmen ergriffen.
Welche Massnahmen haben Sie als Erstes ergriffen?
Tiefgründige Analysen, durch die sehr schnell klar wurde, dass es noch zu keiner Verschlüsselung gekommen war. Durch den schnellen Entscheid des CIO/CDO, die Amag vom Internet zu trennen, konnten wir Schlimmeres verhindern. Dieser Schritt war notwendig, da die Angreifer komplette Admin-Rechte über die Domäne der Amag erlangt hatten.
Durch den Angriff sind Ihren Angaben zufolge keine grösseren Schäden entstanden. War das nur eine Frage des Sicherheitsdispositivs und gutes Timing oder auch Glückssache?
Der Hinweis vom NCSC, enormes Glück und schnelle Entscheide führten dazu, dass unsere Daten damals nicht verschlüsselt wurden.
Worauf hatten es die Täter abgesehen?
Es ging den Hackern um eine Geldforderung gegenüber der Amag-Gruppe. Es handelt sich um eine Ransomware-Gruppe, die dafür bekannt ist, dass sie in IT-Systeme eindringt, das Backup sucht, zerstört und dann mittels einer kompletten Datenverschlüsslung das betroffene Unternehmen erpresst. Aufgrund einer einige Monate vor dem Hackerangriff durchgeführten Systemumstellung konnte die Hackergruppe das Backup nicht finden und somit noch nicht zum entscheidenden Punkt der Verschlüsselung übergehen.
Was konnten Sie über die Angreifer in Erfahrung bringen?
Mithilfe des NCSC und unseres externen Dienstleisters, der uns während des Vorfalls aktiv unterstützte, konnten wir feststellen, welches Syndikat es war. Da es jedoch nie zu einer konkreten Geldforderung gegenüber der Amag-Gruppe kam, können wir das nicht zu 100 Prozent bestätigen.
Inwiefern ist die Frage nach dem Täter respektive der Zuschreibung relevant, wenn es um die Abwehr einer solchen Attacke geht?
Es ist dahingehend relevant, geeignete Analysen durchzuführen und gegebenenfalls die Handlungsmassnahmen anzupassen. Wenn sich ein Hackersyndikat auf die Verschlüsselung konzentriert, sind andere Massnahmen und Analysen notwendig als bei einer Daten-Exfiltration. Letztlich braucht es trotzdem eine komplette Endanalyse des Vorfalls, um sicherzustellen, wie gross der Schaden ist und inwiefern die IT-Landschaft und Systeme kompromittiert wurden.
In einem Blogbeitrag der Amag Group heisst es, dass es dank einer Information von Melani, der Melde- und Analysestelle Informationssicherung des Bundes (das heutige NCSC), gelungen sei, die Angreifer zu neutralisieren. Was bedeutet das?
Dank des Hinweises vom NCSC wurden wir erst auf ein mögliches Problem aufmerksam. In Folge und während der kommenden zwei Wochen trennte das Unternehmen alle seine Internetverbindungen. Somit war für alle Mitarbeitenden beispielsweise Homeoffice nicht mehr möglich. Während dieser Zeit arbeitete ein Team von 15 Spezialisten im Schichtbetrieb aktiv an der Analyse und den ersten Gegenmassnahmen und nach gut einem Tag massiver Einschränkungen konnten viele Systeme wieder genutzt werden.
Welches sind die wichtigsten Lehren, die Sie aus dem Vorfall mitgenommen haben?
Es benötigt je nach Grösse der Firma eine entsprechende Security-Abteilung, die sich dieser Thematik voll annehmen kann. Informationssicherheit ist ein permanenter und intensiver Prozess, und nicht etwas, das die Informatik "nebenbei" betreibt. Dazu gehört eine umfassende Schutzlösung auf allen Geräten aller Mitarbeitenden, und die Installationsprivilegien müssen begrenzt werden. Auch ist es sehr wichtig, für mehr Awareness bei den Mitarbeitenden zum Thema Cybersecurity zu sorgen, denn die meisten Cyberangriffe starten auch heute noch per Mail. Es gilt, die Augen offen zu halten und auf jegliche Anomalien und Vorfälle schnell zu reagieren. Die Abwehr und Detektionssysteme sollten möglichst zentralisiert sein. Dies erleichtert die Überwachung und Korrelation von Vorfällen und ermöglicht, Automatisierungen zu etablieren. So kann sich die Security-Abteilung auf die Analyse und Überwachung von wirklichen Angriffen konzentrieren.
Zur Prävention von Cybervorfällen bieten sich Awareness-Schulungen an, etwa für den Umgang mit Phishing-Versuchen. Wie effektiv sind solche Massnahmen Ihrer Ansicht nach?
Seit knapp sechs Monaten wird immer wieder versucht, alle Mitarbeitenden der Amag-Gruppe mit einem Mail-Simulator von Hoxhunt zu phishen. Die Mitarbeitenden können dabei mittels eines im Outlook oder auf dem Mobiltelefon identischen Meldebuttons Hoxhunt-Phishing-Mails oder auch generell verdächtige Mails melden. Auf diese Weise konnten wir die Klickrate der Mitarbeitenden auf Phishing-Mails markant senken. Die Awareness der Mitarbeitenden stieg und steigt weiterhin spürbar an.
Was könnten Unternehmen sonst noch tun, um sich gegen solche Vorfälle zu wappnen?
Grundlegend ist, dass die Geschäftsleitung einer Firma das Thema Cyber-Resilienz ernst nimmt, die Aufgabe an einen CISO oder einen Informationssicherheitsverantwortlichen delegiert und ihn aktiv unterstützt. Weiterführend muss diese Person aktiv über das Thema Cyber berichten und mittels unterschiedlicher Kampagnen sichtbar bleiben. Es braucht jedoch ein sehr gutes Fingerspitzengefühl, wie oft man das Thema präsentiert. Hier können wir auf eine grossartige und enorm fachkompetente Kommunikationsabteilung der Amag-Gruppe zugreifen, die uns aktiv unterstützt.