27. Mai 2021

Hackerangriff auf ein Warenwirtschaftssystem der Lebensmittelindustrie vereitelt

In letzter Zeit häufen sich in der Presse die Schlagzeilen zu Hackerangriffen aus dem Ernährungssektor. Auch wir konnten bei einem Kunden aus der Lebensmittelindustrie einen Cyberangriff auf ein Warenwirtschaftssystem vereiteln. Diesen Fall möchten wir hier näher beschreiben.

Kürzlich erreichten unsere Leitstelle die Kundenevents „Tor Activity to the Internet“ und „SMTP to the Internet“, die auf eine ungewöhnliche Tor-Aktivität und schadhafte E-Mails hindeuten. Eine anschließende tiefgreifende Analyse im „SIEM“ ergab, dass das veraltete Warenwirtschaftssystem des Kunden durch Cyberkriminelle attackiert wurde.

Zu diesem Zeitpunkt konnten Lieferanten des betroffenen Unternehmens über eine „SSL 3.0“ verschlüsselte Schnittstelle auf das Warenwirtschaftssystem zugreifen. Diese veraltete „SSL Version“ nutzten die Angreifer als Einfallstor und konnten so eine E-Mail-Adresse eines Mitarbeiters aus den Stammdaten erspähen, um ihm im Anschluss eine E-Mail mit schadhaftem Anhang zu senden. Beim Öffnen des Anhangs wurde schließlich ein Skript nachgeladen und ausgeführt, um eine Tor-Verbindung aufzubauen. An dieser Stelle konnten wir unseren Kunden über den Angriffsversuch informieren, bevor dieser zum Abschluss gebracht werden konnte.

Ohne die Meldung des Kundensensors wäre im Anschluss eine Malware heruntergeladen und über „cmd.exe“ zur Ausführung gebracht worden. Die erfolgreiche Ausführung und Verbreitung dieser Malware hätte nicht nur einen unerlaubten Zugriff auf das Warenwirtschaftssystem, sondern auch auf das gesamte Kundennetzwerk zur Folge gehabt. Engpässe der Warenverfügbarkeit und im schlimmsten Fall leerstehende Regale sowie Verdienstausfälle wären mögliche Konsequenzen gewesen. Durch die frühzeitige Meldung unseres Kundensensors konnten jedoch größere Schäden verhindert werden.

Auch ein weiteres Feature gibt zukünftig mehr Sicherheit: Die aufgebaute Tor-Verbindung kann ab sofort mithilfe unserer „Active Reponse“ unterbrochen werden. Eine „Active Response“ ist ein vorkonfiguriertes Skript, das ausgeführt wird, wenn ein bestimmter Alarm, eine Alarmstufe oder eine Regelgruppe ausgelöst wurde. Damit kann eine Aktion nach einer bestimmten Zeitspanne rückgängig gemacht oder eine einmalige Aktion konfiguriert werden. Mithilfe von „Active Response“ können wir zeitnah auf Events reagieren und schnell Gegenmaßnahmen ergreifen.

Unsere Handlungsempfehlungen

Sämtliche Systeme sollten regelmäßig aktualisiert und Sicherheitsupdates eingespielt werden. Dies gilt nicht nur für die Anwendung selbst, sondern auch für alle begleitenden Programme, wie die Firewall und das Betriebssystem, auf dem das ERP-System läuft.
Es sollte immer die aktuellste Verschlüsselungstechnologie verwendet werden. SSL 3.0 ist inzwischen veraltet und die Weiterentwicklung erfolgte unter der Bezeichnung TLS. Die aktuellen Versionen sind TLS 1.2 und seit 2018 TLS 1.3.
Bieten Sie sämtlichen Mitarbeitern regelmäßige Security Awareness Schulungen an, um sie für das Thema IT-Sicherheit zu sensibilisieren.
Der Zugriff auf ein System sollte nur den Benutzern gestattet werden, die diesen benötigen. Die Vergabe von präventiven und überwachenden Rechtevorgaben z. B. Zutrittskontrollen erhöhen die Sicherheit.