Gehackt von F-Secure

30 Minuten Panik

07.12.2017
Von 


Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
Ein Gefühl brennender Hitze schleicht sich vom Rückenmark in Richtung Kopf, währenddessen potenziert sich der Shitstorm auf sämtlichen Kanälen und unverschämte Fragen von Journalisten bohren sich ins Gehirn.

Der Grund für den Schlamassel: Der Source Code meines Unternehmens hat es in ein Hacker-Forum "geschafft". Wie, wann, wer und warum - das gilt es jetzt zu klären. Und zwar pronto. Oder etwas präziser formuliert: in den nächsten 30 Minuten. Dann steht der CEO auf der Matte und möchte Antworten. Zufriedenstellende Antworten!

Wenn kriminelle Hacker wüten, ist Panik nicht gerade hilfreich. Wir sagen Ihnen, wie Sie Abhilfe schaffen können.
Wenn kriminelle Hacker wüten, ist Panik nicht gerade hilfreich. Wir sagen Ihnen, wie Sie Abhilfe schaffen können.
Foto: Fernando Cortes - shutterstock.com

Im Auftrag der IT-Sicherheit

Wer zum ersten Mal - ansatzweise - den Druck nachempfinden "darf", der auf einem Security-Manager oder -Researcher lastet, wenn kriminelle Hacker gewütet haben - der wird das so schnell nicht mehr vergessen. Glücklicherweise handelte es sich in unserem Fall nur um Fiktion. Allerdings beruht die auf wahren Begebenheiten, die die Security-Spezialisten von F-Secure live erlebt haben.

Ein Blick auf die F-Secure-Firmenzentrale in Finnlands Hauptstadt Helsinki.
Ein Blick auf die F-Secure-Firmenzentrale in Finnlands Hauptstadt Helsinki.
Foto: F-Secure

Der finnische Security-Provider hat sich bereits Ende der 1980er Jahre einen Namen als Antivirus-Pionier gemacht und bietet längst auch im Enterprise-Bereich ein reichhaltiges Lösungs-Portfolio an. Dabei verfolgt das Unternehmen nach eigenen Angaben einen ganzheitlichen Ansatz, der sämtliche Security-Handlungsfelder (Predict, Prevent, Detect, Respond) abdeckt. Teil des Security-Trainingsangebots der Finnen sind unter anderem auch "Auftrags-Hacks". Um zu veranschaulichen, wie so etwas von statten geht, luden die Security-Cracks einen ganzen Haufen Tech-Journalisten aus aller Herren Länder ins winterliche Helsinki. Nur, um sie dann ins eiskalte Wasser zu werfen.

Source Code meets Hacker-Forum

Glücklicherweise aber nur im übertragenen Sinn: Eine fiktive deutsche Firma für Telekommunikationstechnik - die Comsec GmbH - wurde "ausgegründet", danach die Pressevertreter in vier Gruppen unterteilt: Management, IT Management, CSIRT und Presse.

Das Szenario: Kriminellen Hackern ist es offenbar gelungen, ins Unternehmensnetzwerk einzudringen und Source Code zu stehlen. Dieser findet sich inzwischen auf einem Hacker-Blog - unterlegt mit zahlreichen, ziemlich geschäftsschädigenden Äußerungen und allerlei höhnischen Kommentaren. Eine eigens aufgesetzte Website hielt dabei alle Teilnehmer/Gruppen mit regelmäßigen Updates über die aktuellen Reaktionen und Entwicklungen (Hacker-Community, Presse-Artikel, Comsec-Intranet, etc.) auf dem Laufenden.

Der Albtraum jedes IT-Unternehmens: Quellcode schlägt im Hacker-Forum auf.
Der Albtraum jedes IT-Unternehmens: Quellcode schlägt im Hacker-Forum auf.

Die Aufgabe: Über Interaktion und Kommunikation sollten die Teilnehmer möglichst viel darüber herausfinden, was passiert ist und wie es überhaupt dazu kommen konnte. Die Deadline wurde auf beängstigend kurze 30 Minuten festgelegt.

Um voranzukommen, mussten die jeweiligen Teams geeignete Maßnahmen ergreifen. Da es sich bei den Teilnehmern weder um IT-Fachkräfte noch um eingespielte Teams handelte, wurde jede Gruppe (mit Ausnahme der Presse, die eben tat was sie sonst auch tut: unangenehme Fragen stellen) mit sogenannten "Action Cards" ausgestattet. Die darauf beschriebenen Handlungen besaßen einen jeweils fest vorgegebenen Zeitrahmen, den es mit Blick auf die Deadline zu beachten galt - zudem wurden hier auch diverse "Ablenkungsmanöver" eingebaut, die Verwirrung stiften und Fehler provozieren sollten. Und das teilweise auch schafften.

Für die Ausführung einer "Action Card" musste in den allermeisten Fällen mit einem der anderen Teams kommuniziert werden. Mit der schon bald steigenden Hektik nahmen auch die Spannungen deutlich zu - sowohl innerhalb der Teams, als auch zwischen den einzelnen Gruppen. Zu bemerken unter anderem am Umgangston untereinander und innerhalb der (geschriebenen) Nachrichten. Was "echte" Security-Spezialisten im Fall eines großen Hacks - alleine auf psychischer Ebene - leisten müssen, lässt sich nur erahnen. Der Trip nach Helsinki verdeutlichte jedenfalls eindrucksvoll, dass beileibe nicht Jedermann zum IT-(Security-)Manager taugt.

Post vom BSI: Die F-Secure "Live Security"-Experience ließ kein kopfschmerzenbereitendes Detail eines echten "Hackerbefalls" aus.
Post vom BSI: Die F-Secure "Live Security"-Experience ließ kein kopfschmerzenbereitendes Detail eines echten "Hackerbefalls" aus.

Am Ende war der Ruf der Comsec GmbH trotz aller Bemühungen zwar ziemlich ramponiert - der CEO war mit dem Handeln und den Ergebnissen, beziehungsweise Erkenntnissen seiner Manager, IT-Manager und Security-Spezialisten dennoch weitgehend zufrieden. Das wiederum sorgte für Aufatmen unter den Teilnehmern, denn so durften am Ende auch alle am traditionellen finnischen Dinner teilnehmen. Kippis!

Security Awareness lohnt sich!

Das "Live Security"-Event von F-Secure mag jetzt vielleicht der ein oder andere als Publicity-Spielerei abtun. Dabei zeigte das Hacker-Happening relativ eindrucksvoll, wie wichtig solche Praxis-Trainings für Unternehmen im Ernstfall sein können. Denn ein Planspiel wie dieses eignet sich nicht nur zur Einübung und Erarbeitung von Security-Policies und/oder -Workflows, sondern auch ganz hervorragend als Teambuilding-Maßnahme. Insbesondere (die meist IT-unkundigen) Kritiker der IT-Abteilung könnten so zum Umdenken bewegt werden, um künftig vielleicht etwas mehr Verständnis für die "Nerds" aus der IT aufzubringen.

Schließlich sprechen auch die Zahlen eine eindeutige Sprache: Die Investitionen in IT wachsen weltweit zusehends und sollen im Jahr 2017 rund 3,5 Billionen Dollar betragen - sagt Gartner. Projekte, Software und Services stehen dabei besonders hoch im Kurs. Zwar steigen auch die Security-Budgets, allerdings fehlt es oft am Know-how. Auf der anderen Seite wachsen die Kosten, die Unternehmen durch Hackerangriffe entstehen, immer weiter, wie ein Blick auf die "2017 Cost of Cyber Crime Study" von Accenture zeigt. Im Jahr 2017 beliefen sich die entstandenen Kosten für ein deutsches Unternehmen auf durchschnittlich 9,4 Millionen Euro - 40 Prozent mehr als noch im Vorjahr.

Eines sollten Entscheider dabei nicht vergessen: Software alleine genügt längst nicht mehr, um Hacker wirksam abzuhalten. Im Ernstfall ist es vielmehr eine Kombination aus Security Software und menschlicher Expertise, auf die es ankommt. Und gerade weil Letzteres nicht erst seit gestern Mangelware ist, könnte es sich auf lange Sicht auszahlen, Ihre (IT-)Mitarbeiter in diesem Bereich aus- und weiterzubilden.