Marc Lauener, Chef Personelles FUB
Der Lebenslauf war viel zu wenig detailliert für das geforderte Profil.
Marc Lauener, Chef Personelles FUB
Spearphising
Diego Schmidlin, Chef der Abteilung Cyber Security (rechts im Bild), erklärt dem Chef Personelles FUB, Marc Lauener, wie der Angriff auf ihn genau abgelaufen ist. Bild ZVG Schweizer Armee
Die Rekrutierung von Fachkräften ist für die Führungsunterstützungsbasis (FUB) eine Herausforderung. Viele attraktive IT-Unternehmen kämpfen auf dem ausgetrockneten Arbeitsmarkt um die besten Talente. Dieser Notstand wurde ausgenutzt für einen Cyberangriff auf den Chef Personelles der FUB. Er ist geglückt, zumindest teilweise.
Die Abteilung Betrieb erbringt robuste und hochsichere IKT-Services zugunsten der Schweizer Armee: hier werden die zentralen Aufgaben der FUB erledigt. Für die Stelle als Chef/in dieser Abteilung ab Januar 2020 hatte Marc Lauener, der Chef Personelles der FUB, während einigen Wochen eine passende Besetzung gesucht. Das erste Fenster für die Ausschreibung inklusive Online-Bewerbungstool hatte sich wieder geschlossen, als sich ein Bewerber direkt per Mail an Lauener wandte.
Ein raffinierter Angriff
Er habe sich eigentlich auf dem offiziellen Weg bewerben wollen, aber die Online-Bewerbung sei bereits inaktiv, schrieb der vermeintliche Bewerber. «Der Mailtext war eine Art Motivationsschreiben. Der Kandidat klang vielversprechend. Handynummer und LinkedIn-Profil waren angegeben. Trotzdem hat mich etwas stutzig gemacht», erinnert sich Marc Lauener an seinen ersten Eindruck. Der Bewerber gab an, bei der Liechtensteinischen Nationalbank zu arbeiten. Da Lauener noch nie von dieser gehört hatte, machte er eine Onlinerecherche. Als Ergebnis wurde die Liechtensteinische Landesbank angezeigt, die Liechtensteinische Nationalbank gibt es nicht.
Ein Moment der Ungenauigkeit
Lauener bemerkte diesen feinen Unterschied nicht und fühlte sich vorläufig bestätigt, dass die Bewerbung echt sei. Sensibilisiert von verschiedenen Kampagnen, wählte er trotzdem noch eine zweite Überprüfungsmethode und rief das LinkedIn-Profil des Bewerbers auf. Das Profil erschien und deckte sich mit dem Inhalt des Motivationsschreibens. «Nach diesem zweiten Check fühlte ich mich sicher genug und öffnete das PDF im Anhang.»
In die Falle getappt
Der Inhalt des PDFs liess beim Chef Personelles dann aber die Alarmglocken läuten. «Der Lebenslauf war viel zu wenig detailliert für das geforderte Profil. Da bekam ich definitiv ein schlechtes Gefühl. Ich schloss das Dokument und klickte auf den Spam-Button», erzählt er. Nun musste er sich darauf verlassen, dass die Kollegen aus der Sicherheitsabteilung ihre Arbeit gemacht hatten. Und tatsächlich, diese waren vorbereitet. «Mit dem Öffnen des PDFs wurden manipulierte Makros aktiviert, die es den Akteuren erlaubt hätten, ins System einzudringen. Gegen solche Arten von Angriffen sind unsere Systeme jedoch gut abgesichert und der Angriff blieb erfolglos», erklärt Diego Schmidlin, Chief Information Security Officer bei der FUB.
Typisches Vorgehen
Das Vorgehen sei typisch für «Spearphising» (siehe Kasten): Es wird ein glaubwürdiges Profil erstellt, in diesem Fall wäre wohl auch ein Anruf auf die Handynummer beantwortet worden. So wird die Zielperson dazu verleitet, Dokumente von einem unbekannten Absender zu öffnen. «Unsere Aufgabe in der Abteilung Cyber Security ist es, diese erste Unachtsamkeit der Zielperson aufzufangen», so Schmidlin, «mit verschiedenen Sicherheits- und Überwachungsmassnahmen bauen wir eine mehrstufige Abwehrlinie auf».
Etwas gelernt
«Nach dem Vorfall haben wir uns im Team intensiv darüber unterhalten, wie wir mit Bewerbungen per Mail umgehen können», sagt Lauener heute, «sie sind für uns wichtig, bergen aber auch ein Sicherheitsrisiko». Sein Team sei seit dem Vorfall noch vorsichtiger geworden. «Darum liegt mir viel daran, dieses Erlebnis zu erzählen. Ich habe gelernt: Wir alle können zur Zielscheibe werden».
Der «Täter» war ein Insider
Diego Schmidlin ist zufrieden: «Wir optimieren unsere Abwehrmechanismen ständig. Dass der Chef Personelles so skeptisch war und den Spam-Button gedrückt hat, zeigt uns, dass unsere Sensibilisierungsmassnahmen wirken». Und er muss schmunzeln, während er das sagt, denn: Dieser direkte Angriff auf den Chef Personelles war ein Teil der wiederkehrenden Sensibilisierungsmassnahmen. Der Angriff kam also aus der FUB selber. Ähnlich wie bei einer Feuerübung, wenn ganze Gebäude zum Training evakuiert werden, funktionieren die Sensibilisierungsübungen im Bereich Cybersicherheit. «Wer diese Erfahrung einmal gemacht hat, bleibt danach vorsichtig. Dass wir diesen Effekt auch mit einem simulierten Angriff erreichen können, ist sehr wertvoll», so Schmidlin, «damit erhöhen wir die Cybersicherheit der Armee».
Quelle: Schweizer Armee
25.9.2020
Was ist Spearphising?
Während Phisingmails keinen konkreten Adressaten haben, sind Spearphising-Angriffe gezielt auf bestimmte Personen gerichtet. Häufig sind die Zielpersonen in exponierten Funktionen tätig, Angestellte in der Personalabteilung etwa, die auch regelmässig Nachrichten von ausserhalb der Organisation erhalten. Spontanbewerbungen gehören für sie zum Arbeitsalltag. Die Angreifer wollen Zugriff auf den Rechner der Opfer bekommen. Über Makros, die in vielen Programmen aktiviert werden, wenn ein Dokument geöffnet wird, erhalten sie diesen Zugriff. Von dort aus versuchen die Angreifer, sich Zugang zu Accounts zu verschaffen oder die Rechte der Zielperson für die eigenen Zwecke nutzen. Geschickte Angreifer vermeiden, dass die Malware von Schutzprogrammen erkannt werden und umgehen damit die Sicherheitsschleusen der Organisation. Damit allfällige neue Techniken von Angreifern schnell erkannt und abgewehrt werden können, sind Absprachen unter verschiedenen Organisationen deshalb wichtig.