Sporttasche rettet Hochschule vor Ransomware

Es ist ein gewöhnlicher Sonntagmorgen, und ich bin dabei, mein Frühstück zu geniessen, als plötzlich mein Pikett-Telefon klingelt. Als Security Incident Responderin des Teams SWITCH-CERT bin ich am Wochenende in Bereitschaft. Mir schiessen gleich viele Gedanken und Bilder durch den Kopf. Ist eine Hochschule von einem Cyberangriff betroffen? Wird sie erpresst? Mir ist klar, dass dieser Sonntag anders sein wird als geplant.

IT-Leiterin schlägt Alarm

Ich sehe meinen Sonntagszopf sehnsüchtig an, nehme aber das Telefon ab. Am anderen Ende der Leitung ist Polly, die Verantwortliche der zentralen Informatik an der Unsichtbaren Universität. Sie ist im Büro, weil sie ihre Sporttasche vergessen hatte. Polly ist aufgeregt, denn sie hat gerade merkwürdige Aktivitäten im Netzwerk bemerkt, die auf einen Computer Security Incident hindeuten. Das Framework, welches diese Warnungen generiert, liefert der Unsichtbaren Universität einen Überblick über viele Aktivitäten im gesamten Netzwerk. Es befindet sich jedoch erst im Aufbau. Die Prozesse, wie sie mit solchen Warnmeldungen umgehen, haben sie noch nicht definiert.

Polly ist besorgt darüber, wie sie den Vorfall dem Management erklären soll, und ich spüre den enormen Druck, der auf ihr lastet. Die digitalen Ressourcen der Unsichtbaren Universität sind gerade akut gefährdet. Dieser Vorfall wird möglicherweise weitreichende Konsequenzen nach sich ziehen, wie finanzielle Schäden, ein Datenleck oder sogar die Gefährdung der Existenz der Organisation.

SWITCH-CERT unterstützt bei einem Security Incident

Polly ist sich ziemlich sicher, dass etwas nicht stimmt. Sie hat Aktivitäten mit einem Account eines Systemadministrators festgestellt, der in den Ferien ist! Bei den Warnungen sieht sie auch den Namen «Mimikatz», der in roter Farbe aufblinkt.

Somit führe ich bei diesem Sicherheitsvorfall eine erste Risikobewertung durch. Um welche Art des Vorfalls handelt es sich? Wer und was ist davon betroffen? Welche Auswirkungen könnte dies auf die Universität haben? Es geht darum zu verstehen, welche Situation wir vor uns haben, um die besten nächsten Schritte zu definieren.

Erpressung vor der Verschlüsselung

Ich frage sie, ob sie sonst noch etwas sieht. Sie schaut auf ihren Computer und bemerkt eine E-Mail mit dem Betreff «Ransom». Sie öffnet diese und liest mir eine Erpressungsnachricht vor. Die Erpresser drohen, Daten im Darknet zu veröffentlichen, wenn die Unsichtbare Universität nicht innerhalb der nächsten 72 Stunden CHF 100’000 in Bitcoins überweist. Wir sind beide perplex, denn die Systeme sind noch nicht verschlüsselt. Ich weiss, dass wir jetzt schnell handeln müssen, um den Vorfall möglichst schadenfrei zu bewältigen. Ich empfehle ihr umgehend, die ganze Infrastruktur vom Internet zu trennen. So verringern wir die Möglichkeit, dass die Täterschaft die Verschlüsselung in Gang setzen kann.

Auch Angreifer machen Fehler

Kaum hat Polly den «Stecker» gezogen, ist an ihrer Universität nichts und niemand mehr übers Internet erreichbar. Sie ruft mich auf ihrem Mobiltelefon zurück, weil bei der Unsichtbaren Universität, wie auch bei den meisten anderen, die Telefonie übers Internet läuft.

Wir besprechen die weiteren Schritte und gehen in die nächste Phase: Die Formulierung einer Incident Response Strategie. Diese Phase sowie die detaillierte Erhebung der Situation werden sich iterativ über den gesamten Prozess wiederholen. Laufend werden die neusten Informationen hinzugezogen, um eine allfällige Anpassung der Vorgehensweise vorzunehmen.

Alle Stakeholder an den runden Tisch

Meine nächste Empfehlung lautet, dass Polly und ich gemeinsam einen Krisenstab definieren und an einen Tisch holen, um weitere Informationen zu sammeln und die nächsten Massnahmen der Strategie zu formulieren. Wer sind nun die Mitglieder dieses Krisenstabs? Dazu gehören Polly selber, als Verantwortliche der zentralen IT sowie ihre Systemverantwortlichen. Zusätzlich braucht es mindestens eine Person aus dem Hochschulmanagement, der Rechtsabteilung und der Kommunikation. Sie alle bilden den Krisenstab und treffen die schwierigen Entscheidungen. Die Kommunikationsabteilung kommuniziert diese dann an die Angehörigen der Hochschule und an die Öffentlichkeit. In diesem Fall handelt es sich um eine kleine Hochschule. Das Rektorat übernimmt deshalb diese Rolle. SWITCH-CERT übernimmt die Rolle des Incident Managers. Wir machen das nie alleine, sondern agieren immer im Team, weshalb ich eine Kollegin um Unterstützung bitte. Wir begeben uns physisch vor Ort an die Unsichtbare Universität. Unsere Aufgabe ist es in diesem Vorfall, den Überblick über die Gesamtsituation zu behalten und bei der Analyse zu unterstützen. Zum Krisenstab ziehen wir auch die Strafverfolgungsbehörden hinzu. Bei einem Cyberangriff handelt es sich nahezu ausnahmslos um ein strafrechtlich relevantes Delikt. Die gegenseitige Unterstützung von Strafverfolgung und CERT ermöglicht es, umfangreichere Massnahmen zu treffen.

Zurück ins analoge Zeitalter

Der Krisenstab benötigt einen physischen Lage-Raum. Den muss man in Zeiten von Zoom und Mobiltelefon erst einmal finden. Wenn alles übers Internet läuft, dieses aber plötzlich nicht mehr funktioniert, findet man sich an einem Sonntagabend plötzlich in einem stickigen Raum wieder, und alle betrachten befremdet die analogen Werkzeuge in ihren Händen – Papier und Stift.

Noch ist unklar, wie weit die Infektion reicht. Jede versehentliche Verbindung mit dem Internet könnte die Verschlüsselung unaufhaltsam starten. Deshalb bewegen wir uns vom digitalen zurück ins analoge Zeitalter. Wir besprechen die neusten Erkenntnisse. Dazu müssen alle Informationen auf den Tisch. Wie hat es die Täterschaft geschafft, in die Systeme einzudringen? Welche Massnahmen müssen wir ergreifen, um die IT-Infrastruktur zu schützen? Wie können wir dafür sorgen, dass sich die Nutzenden wieder sicher fühlen?

Das Rätselraten beginnt

Es folgt der nächste Schritt des Incident Response Prozesses: die Ermittlung des Sachverhalts. Wir verteilen alle Aufgaben, die es in den nächsten Minuten und Stunden zu erledigen gibt. Wir sammeln und analysieren alle relevanten Informationen, versuchen den Fragen auf den Grund zu gehen. In der digitalen Forensik fühle ich mich in meinem Element – es gibt viele Rätsel und diese gilt es zu lösen. Die Systemverantwortlichen spielen dabei eine wichtige Rolle. Sie erkennen auf einen Blick, ob sich ihre Systeme normal verhalten. Heute haben wir es mit IT-Infrastrukturen zu tun, die aus tausenden Systemen bestehen und fast jedes System benötigt ein Fachperson. Ohne Austausch und eine gute Zusammenarbeit wären wir chancenlos. Denn jedes System stellt in diesem Szenario eine potenzielle Gefahr für den gesamten Organismus dar. 

Bei SWITCH-CERT machen wir die forensische Analyse für die Unsichtbare Universität. Sie braucht Zeit und erfordert viel Erfahrung. Die Systemverantwortlichen durchleuchten ihre Systeme und das Rektorat muss sich eine Strategie für die interne und externe Kommunikation überlegen und gemeinsam mit der Rechtsabteilung die juristischen Konsequenzen abschätzen. Die Ergebnisse setzen wir dann zu einem Gesamtbild zusammen.

In iterativen Schritten zur Lösung

An diesem ersten Abend trifft sich der Krisenstab jede Stunde. Wir besprechen die neusten Erkenntnisse, um dann wieder neue Massnahmen zu definieren. Dieses iterative Vorgehen dauert an, bis der Vorfall bewältigt ist und die Hochschule wieder in den Normalbetrieb übergehen kann. Das Einzige, was sich ändert, ist das Zeitintervall, in dem sich der Krisenstab trifft. Bald findet die Lagebesprechung nur noch täglich statt. Bei der Unsichtbaren Universität dauert die gesamte Bewältigung zwei Wochen und fordert alle Beteiligten aufs Höchste, so dass man danach reif für die Ferieninsel ist.

Mit der Zeit ergibt sich ein Bild, wie es zu diesem Vorfall gekommen ist. Anhand der Daten im zentralen Log-Management kann das Team von Polly Systeme identifizierten, die möglicherweise den Angriffspunkt bildeten. Durch die forensische Analyse dieser Systeme erstellen wir den folgenden Sachverhalt: Ein Student hatte vor einigen Monaten einen Angriff mit der Info Stealer Schadsoftware auf seinem privaten Gerät gemeldet. Daraufhin wurde er angewiesen, alle seine Passwörter zu ändern. Leider hatte der Student vergessen, ein einziges Passwort zu wechseln: den VPN-Zugang ins Hochschulnetzwerk.

Arbeitsteilung in der Cybercrime Wirtschaft

Wie in unserer Arbeitswelt, praktiziert auch die Cybercrime Wirtschaft Arbeitsteilung – schliesslich muss man sich spezialisieren, um erfolgreich zu sein. Vermutlich verkaufte die erste Täterschaft die mit Info Stealer abgegriffenen Daten und Logins des Studenten auf dem Schwarzmarkt. Die nächste Täterschaft kaufte diese Daten und benutzt den VPN-Zugang schliesslich erfolgreich. Durch Schwachstellen konnte sich die zweite Täterschaft Zugang zu einem Konto des erwähnten Systemadministrators verschaffen, der die höchsten Rechte besitzt. Diese Täterschaft spezialisiert sich auf den Diebstahl von Daten, auf die Verschlüsselung von Systemen und die Erpressung von Lösegeld. Das Businessmodell besteht oft aus einer doppelten Erpressung: Bei der ersten Erpressung geht es um den Schlüssel, mit dem die Hochschule die verschlüsselten Systeme wieder entschlüsseln kann. Mit der zweiten Erpressung verspricht die Täterschaft, die erbeuteten Daten nicht zu veröffentlichen.

Beschlagnahmung gestohlener Daten

Sobald klar ist, welche Angriffspunkte bei der Unsichtbaren Universität ausgenutzt wurden, geht es an die Reparatur der Systeme oder sogar an deren Neuaufbau. Da die Täterschaft schon seit mehreren Monaten Zugang zur Infrastruktur hatte, müssen wir alle Back-ups als kompromittiert betrachten. Deshalb entscheidet der Krisenstab, alle Systeme neu aufzubauen und schrittweise wieder ans Internet anzubinden. Es wird etwa zwei bis drei Monate dauern, bis alles wieder so läuft wie vor dem Angriff und die Sicherheit garantiert werden kann. Glücklicherweise ist auch die Strafverfolgungsbehörde mit im Boot. Die Täterschaft hat es zwar geschafft, interne Daten der Unsichtbaren Universität zu stehlen, doch bevor sie an die exfiltrierten Daten herankommen, gelingt es der Polizei, ihren Server im Ausland zu beschlagnahmen.

Es kommt auf alle Einzelnen drauf an

Mit der Motivation und dem Einsatz aller Beteiligten können wir die Auswirkungen des Angriffs eindämmen und die Infrastruktur der Unsichtbaren Universität schützen. Es kommt auf jede einzelne Person und die intensive Zusammenarbeit an; denn jede Sekunde und jede neue Erkenntnis kann die ganze Situation verändern. Die Lessons Learned werden in die Vorbereitung für den nächsten IT-Sicherheitsvorfall eingebaut, der hoffentlich auf sich warten lässt.