Mutige NZZ
Als Longstory handelt das Blatt den Cyberangriff von vor knapp einem Jahr ab.
Das liest man nicht häufig. Ist eine Firma Opfer eines Cyberangriffs geworden, gibt sie normalerweise beruhigende Geräusche von sich und rückt nur so weit mit dem wahren Schaden heraus, wie sie unbedingt muss.
Die NZZ hat einen anderen Weg gewählt und lässt ihren IT-Menschen ein Protokoll des Angriffs krimineller Hacker publizieren. Chapeau. Es ist erstellt, dass offenbar keine politische oder terroristische Absicht dahinterstand.
Hacker haben sich durch einen sogenannten Ransomeware-Angriff Zugang zu den Datenbanken der NZZ verschafft. Da es eine Zusammenarbeit mit CH Media gibt, war auch dieses Medienhaus davon betroffen. Am 24. März hatten die Angreifer zahlreiche IT-Systeme verschlüsselt und damit unbrauchbar gemacht. Dazu gehören die sogenannten «Domain Controller», ohne die praktisch nichts läuft.
Das Vorgehen dieser Hackerbande «Play» ist immer das gleiche. Sie dringen in die IT-Systeme ein, laden vertrauliche Daten herunter und verschlüsseln die Systeme. Für die Entschlüsselung fordern sie Lösegeld, als Druckmittel drohen sie damit, interne Informationen ins Netz zu stellen.
Erste Entscheidung der NZZ: wenn irgend möglich kein Lösegeld bezahlen. Ausser, der Angriff wird zu einer existenziellen Bedrohung. In einer ersten Fehleinschätzung geht die NZZ davon aus, dass die Kriminellen nur rund 5 Gigabyte entwendet hätten, zudem seien diese Daten verschlüsselt.
Nachdem die NZZ nicht reagiert, dringen die Kriminellen am gleichen Tag nochmals in die Systeme ein und verschlüsseln weitere Teile, bis es gelingt, sie auszusperren. Um weitere Attacken zu verhindern, werden die IT-Systeme der NZZ und von CH Media getrennt und der Redaktionsschluss auf 21 Uhr vorverlegt. Gleichzeitig wird fieberbhaft nach dem Einfallstor gesucht.
Drei Wochen vor der Entdeckung hatten die Hacker eine Hintertür eingerichtet. Möglich war das durch eine winzige Sicherheitslücke; das Log-in, das die Gangster verwendeten, war nicht durch eine zweite Authentifizierung geschützt, auf dem entsprechenden Server war zudem die Sicherheitssoftware leicht veraltet.
Die Pause lässt sich so erklären, dass es inzwischen bereits eine Arbeitsteilung zwischen diesen Kriminellen gibt. Ein Händler von Hintertüren verkauft die an andere Gangster weiter.
Nach dem ersten Wüten vergleicht der Verantwortliche für die IT-Infrastruktur deren Zustand mit einem «zerbombten Hochhaus». Noch etwa die Hälfte der Systeme funktioniere, die rote Zone. Der andere Teil muss von Grund auf neu gebaut werden, die grüne Zone. Natürlich werden alle Importe aus der roten Zone sorgfältig kontrolliert.
Zwei Wochen nach dem Angriff findet der Switch auf die grüne Zone statt. Dafür haben die IT-Leute von Gründonnerstag am Abend bis am Nachmittag des Ostermontags Zeit. Ob es klappt? «Wir haben uns tief in die Augen geschaut und gesagt: Lasst es uns wagen!», so schildert es ein Beteiligter.
Es gelingt, der Verantwortliche ändert den Namen des Kanals auf der internen Chat-Plattform von «Cyber Restore Weekend» auf «Cyber Restore Marathon».
Am 12. April erhöhen die Erpresser den Druck, nachdem sie mitbekommen haben, dass die IT-Systeme restauriert sind und laufen. Sie drohen mit der Veröffentlichung interner Daten, Informationen über Projekte und Löhne.
Nun übernimmt die Kantonspolizei Zürich die Verhandlungen. Nicht übers Lösegeld, sondern in der Absicht, den Erpressern auf die Spur zu kommen. Die NZZ muss zur Kenntnis nehmen, dass 800 Gigabyte gestohlen wurden, unverschlüsselt.
Am 3. Mai werden dann unter grossem Medienecho Lohnlisten und andere sensible Daten ins Netz gestellt. Und am 11. Mai werden weitere 500 Gigabyte auf einen Schlag online gestellt. Nun wird das Ganze zu einem internen Problem. Wie informiert man die Mitarbeiter? Welche juristischen Implikationen hat es? Gibt es eine finanzielle Entschädigung (nein).
Damit ist die Attacke für die Kriminellen abgeschlossen, nichts zu holen. Anders für die Betroffenen: «Die privaten Informationen aus ihrem Leben stehen nun öffentlich im Darknet. Jeder kann sie einsehen. Und Cyberkriminelle können diese Informationen verwenden, um zum Beispiel gezielte Phishing-Angriffe durchzuführen. … Die Opfer müssen damit leben.»
…»Erst am Freitagnacht haben wir dann den Stecker ins Internet gezogen»… Oje
Und die verantwortlichen Stelllen der NZZ waren schon in der Nacht vom Mittwoch auf Donnerstag informiert worden über einen Angriff. Die haben aber gut und lange gepennt. Genau das sind die Schwächen, die ein Angreifer ausnutzt. Es kommt noch besser:
…»Wie die Kriminellen ursprünglich an Benutzername und Passwort des externen Mitarbeiters gelangen konnten, ist unklar. Möglicherweise ist dieser auf einen sogenannten Phishing-Angriff hereingefallen und hat seine Kombination von E-Mail-Adresse und Passwort auf einer gefälschten Seite eingegeben.»…
Ein normaler Benutzeraccount kann sich nicht auf einem Server einloggen… der externe Mitarbeiter/Experte muss daher über weitergehende Administrationsrechte verfügt haben. Solche Experten erkennen Phishing von weitem. Wenn nicht, dann war es fahrlässig vom Managment einer solchen Person privilegierten Zugriff zu gewähren.
Mit anderen Worten, das war ein Angriff von innen. Da wurden keine Firewalls gehackt und es wurden keine Domain-Hashes gekapert. Das war alles unnötig, da die Angreifer über einen priveligierten Zugang verfügten und die Verantwortlichen keinen Schimmer hatten, was zu tun war. Ein Schelm wer Böses denkt.
Hier habe ich aufgehört den Groschenroman weiter zu lesen.
Zum Glück sind unsere Daten beim Staat, den Krankenkassen, der Kripo (beruhigt Euch zackbummer, betrifft nur mich) und bei den Banken (betrifft Euch) gut gesichert.