Cyren Security Blog

Sicherheit der Bauindustrie durch Schwachstellen gefährdet

von John Callon

Security Research & Analysis

Erinnern Sie sich noch an die große Datenschutzverletzung 2013 bei der Firma Target, als 40 Millionen Kredit- und Debitkarten und bis zu 110 Millionen E-Mail-Adressen gestohlen wurden? Dies kostete Target dem Jahresabschluss zufolge 292 Mio. US-Dollar, führte zu 80 Gerichtsverfahren, deren Beilegung vier Jahre dauerte, und kostete dem CEO seinen Job.

Darauffolgende Analysen ermittelten letztendlich die schwache E-Mail-Sicherheit bei einem der vielen Bau- und Wartungsanbieter von Target, insbesondere ein regionales Unternehmen für Klimasysteme (dessen Name bekannt ist und viel negative Aufmerksamkeit der Presse erregt hat) als Ursache. Der Hack begann mit einem Mitarbeiter des kleinen Unternehmens, der eine E-Mail erhielt, die von der vorhandenen E-Mail-Sicherheit nicht blockiert wurde. Der Mitarbeiter wurde verleitet, den Anhang zu öffnen, der Malware enthielt, die lokal gespeicherte Systempasswörter erfasste. Dadurch konnten die Hacker in bestimmte Target-Systeme eindringen.

Kleinere Firmen sind der häufigste Einstiegspunkt

Falls Sie die Nachrichten verfolgen, könnten Sie den Eindruck haben, dass kriminelle Hacks nur Großunternehmen ins Visier nehmen. In Wahrheit findet aber die Mehrzahl der erfolgreichen Angriffe auf kleinen und mittelständischen sowie Mid-Market-Unternehmen statt.

Einer Studie des Ponemon Institute von 2017 zufolge, waren 56 % der großen Datenschutzverletzungen das direkte Ergebnis eines anfänglichen Angriffs auf einen Drittanbieter oder Lieferanten. Weil Unternehmen in den Bereichen Bau und Infrastruktur stets in ein komplexes, vielfältiges Beziehungsgewebe eingebunden sind (es sind viele bewegliche Teile erforderlich, um Wohnungsneubauten zu realisieren, Gebäude hochzuziehen und Straßen zu bauen), ist die Baubranche für dieses Problem des kollektiven Risikos besonders anfällig. Hierbei ist Sicherheit stets nur so gut wie das schwächste Glied der Lieferkette. Eine Baufirma arbeitet möglicherweise mit einem bekannten Immobilienmanagement-Unternehmen zusammen. Ein Klimasystem- oder Elektrik-Anbieter arbeitet vielleicht mit einer Hochbaufirma zusammen, die wiederum Partner eines Großkonzerns ist, um neue Bürogebäude zu bauen. All diese Unternehmen könnten als Teil des Bauinvestitions- und Kreditgeschäfts mit einem bekannten Finanzinstitut verknüpft sein.

Diese Lieferkettenverbindungen sorgen dafür, dass Unternehmen mit Bezug zum Baugewerbe ins Visier von Cyberkriminellen geraten, einfach schon aufgrund der Tatsache, dass diese Firmen privilegierte Informationen über die anderen verbundenen Organisationen haben oder darauf zugreifen können. Diese Informationen können die Form von vertrauenswürdigem Zugang zu den IT-Netzwerken und Portalen eines Kunden haben oder von Finanztransaktionsdaten in Verbindung mit dem Finanzinstitut, das das Baudarlehen verwaltet. Es könnte sich aber auch um etwas anscheinend so wenig Signifikantes wie E-Mail-Adressen für die verschiedenen Anleger bei einem Baugeschäft handeln. Unabhängig von der Art von Informationen im Besitz des Unternehmens sind diese für den Hacker alle wertvoll.

Doch selbst wenn es sich nicht um den „ganz großen Coup“ handelt, ist zu beachten, dass es für Hacker heutzutage ein Leichtes ist, selbst geringe Mengen an Daten zu monetarisieren. Dabei greifen sie auf „informationsliquide“ Schwarzmarktkäufer zurück, die gestohlene Daten bei einer Quelle kaufen und sie zusammen mit Daten anderer Quellen kombinieren, um ein Gesamtbild zu erhalten und z. B. speziell auf ihre Opfer zugeschnittene Phishing-Kampagnen zu entwerfen. Selbst geringe Datenmengen von kleineren Firmen sind auf diesem Schwarzmarkt daher von Nutzen und Wert.

Kleine und mittelgroße Unternehmen machen mehr als 50 % der Hacks aus

Forschung bestätigt, dass Cyberkriminelle derzeit stark auf kleine bis mittelgroße Lieferanten von Materialien und Dienstleistungen abzielen. Der 2018 Verizon Data Breach Investigations Report zeigt auch, dass kleinere Unternehmen in 58 % aller Fällen wahrscheinlicher das Ziel von Cyberkriminellen werden.
Das ist eine Dynamik, die auch Branchengrenzen überschreitet. Für den massiven Hacker-Angriff auf Home Depot im Jahr 2014 (der zu 56 Mio. gestohlenen Kredit- und Debitkartendatensätzen führte) wurde ein Drittanbieter verantwortlich gemacht, ebenso für die Hacks bei Amazon Web Services und Wendy‘s sowie für die sogenannte „Panama Papers“-Datenschutzverletzung.

Phishing ist derzeit die größte Bedrohung

Wenn man diese Lieferkettenverletzungen betrachtet, stellt man fest, dass die Mehrzahl von ihnen aus einem Phishing-Versuch per E-Mail stammt, was angesichts der Tatsache, dass Phishing der jährlichen Cyren-Osterman Research-Studie zufolge 2017 der erfolgreichste Typ von Angriff auf alle Unternehmen war, nicht weiter überrascht. Bei Unternehmen im Bereich der Bauwirtschaft gilt: Sind Hacker erfolgreich eingedrungen, sehen sie sich um und machen sich mit dem Netzwerk vertraut. Sie stehlen Benutzernamen und Passwörter, erhalten sowohl interne als auch Kunden-E-Mail-Adressen, erfassen Sozialversicherungs- oder andere Ausweisnummern und Geburtsdaten der Mitarbeiter. Sie können es sogar auf fokussierten Informationen wie den Diebstahl von Blaupausen, Schaltplänen oder Gebäudezugangs- oder Sicherheitspersonal-Details abgesehen haben.

Kostenloses Sicherheits-Tool führte zu Datenverletzung bei Target

Die bösartige E-Mail, die der sehr destruktiven Target-Datenschutzverletzung zugrunde lag, wäre wahrscheinlich blockiert worden, wenn der Anbieter von Klimasystemen einen effektiven E-Mail-Sicherheitsdienst genutzt hätte. (Den Berichten zufolge nutzte der Klimasystem-Anbieter ein „kostenloses“ Sicherheits-Tool, das keine Echtzeit-Aktualisierungen umfasste, um sein gesamtes System zu schützen – einschließlich des Zugangs zu allen Passwörtern und Portalen für seine verschiedenen Großkunden.)

Kostenlose Download-Sicherheits-Tools sind für individuelle Verbraucher vorgesehen und bieten nicht den Schutz, den Unternehmen benötigen. Verbraucher werden einfach nicht mit der gleichen Intensität anvisiert wie Lieferkettenunternehmen. Es tauchen ständig neue Bedrohungen auf. Wenn eine Bedrohung gestartet wurde, haben Sie nur Sekunden, um sie zu blockieren.

Baumaterialfirma verliert Daten und eine Woche Arbeitszeit

2015 klickte ein Mitarbeiter eines mittelgroßen Betonherstellers auf einen E-Mail-Anhang mit Ransomware, die sich dann auf dem Computer des Mitarbeiters installierte. Von dort aus verbreitete sich die Cryptowall-Ransomware über das gesamte Unternehmen und verschlüsselte jedes System, von der Produktion über die Buchhaltung bis zur Fakturierung. Die Herstellung und Lieferung von Beton an aktive Baustellen musste für mehrere Tage eingestellt werden. Um die Produktion wieder anzuwerfen, bezahlte das Unternehmen das Lösegeld und beauftragte dann Berichten zufolge externe Berater mit der Bereinigung der Unternehmensnetzwerke. Selbst nach einer Woche der Bereinigung und Wiederherstellung war das Unternehmen immer noch nicht bei voller Produktionskapazität. Leider konnten einige der Daten letztendlich nie wiederhergestellt werden. 

Unternehmen im Baugewerbe sind relativ stark von Projekt- und Produktionsterminplänen abhängig, um die Rentabilität und Kundenzufriedenheit zu gewährleisten. Es ist nur ein Ransomware- oder Phishing-Angriff nötig, um beträchtliche negative Folgen für ein ganzes Bauprojekt zu bewirken, einschließlich Einstellung der Arbeiten und potenziell signifikante Verzögerungen im Lieferplan, was wiederum finanzielle Folgen hat wie die Reduzierung von Gebühren oder Geldstrafen aufgrund der verspäteten Lieferung.

Allzeit bereit

Wie bereits gesagt, ist Sicherheit ist nur so gut wie das schwächste Glied in der Kette. Die Lieferkette im Baugewerbe wird immer umfangreicher und komplexer. Kein mit dieser Industrie verbundenes Unternehmen möchte im Zentrum einer umfassenden Datenschutzverletzung mit nationalen oder gar globalen Auswirkungen stehen. Zum Glück haben das viele Organisationen in der Baubranche erkannt und Sicherheit in ihre Kernbotschaft und ihre kritischen Mitteilungen an Mitglieder integriert. Beim diesjährigen Associated General Contractors (AGC) IT Forum wird Sicherheit z. B. einer der Hauptpunkte auf der Tagesordnung sein.

Letztendlich müssen Unternehmen im Baugewerbe Cyberattacken als kritisches Geschäftsrisiko wie z. B. auch die Einhaltung regulatorischer Auflagen oder das finanzielle Risiko betrachten. Daher müssen Internet- und E-Mail-Sicherheit ein Kernbestandteil jedes Geschäftsrisikoplans sein.

Zurück