Diamonds are a hacker's best friend

Strategie
Diamanten sind wertvoll. „Unternehmensdiamanten“, nämlich die Geschäftsgeheimnisse, Patente, Kundendaten, Source Code und ähnlich Bedeutendes haben meistens noch einen viel höheren Wert als die Kristalle aus der Natur.

In die Gewinnung all dieser Diamanten wird viel investiert. Hat man sie dann, muss man sie adäquat schützen. Spektakuläre Fälle zeigen die umfangreichen Vorbereitungen, Werkzeuge und die hohe Kreativität, mit der Kriminelle trotz allem immer wieder Zugriff auf die wertvollen Güter erlangen. Was sind die Sicherheitsmaßnahmen, die in diesen Fällen versagt haben? Und was lernt man daraus, um die eigenen (Unternehmens-) Diamanten jetzt und in der Zukunft nachhaltig zu schützen?

Es steht viel auf dem Spiel. Und es erwischt die Opfer meist eiskalt. Machen Sie mit uns einen Ausflug in die Welt der teuren Kristalle und der noch teureren Unternehmenswerte und erlangen Sie neue Erkenntnisse für Ihre Sicherheitsstrategien.

Diamantenraub war damals? Weit gefehlt!

2015, London

Beim größten Juwelenraub der britischen Geschichte brachen die Diebe mit einer 35 Kilogramm schweren Bohrmaschine Einstiegslöcher durch die 50 Zentimeter dicke Betonwand zum Tresorraum der Hatton Garden Safe Deposit Company. Der Wert der Beute wird auf 18,5 Millionen Euro geschätzt.

2013, Cannes

Ein dunkel gekleideter Mann ging am Sonntagmittag ins Hotel Carlton. Er trug eine Baseballkappe, sein Gesicht war mit einem Schal verhüllt. Er eilte in die dortige Diamantenausstellung, zog seine Pistole, räumte seine Beute im Wert von mehr als 100 Millionen Euro in mehrere Reisetaschen und verschwand.

2007, Antwerpen

Mit viel Charm erschleicht sich ein Mann mit falscher Identität das Vertrauen der Mitarbeiter einer Bank. Er besucht sie jeden Tag, bringt Schokolade und spioniert über ein Jahr lang alle sicherheitsrelevanten Details vor Ort aus. Eines Tages schlägt er zu und verschwindet mit 24 Kilogramm oder 120.000 Karat Diamanten im Wert von 21 Millionen.

2003, Antwerpen

Beim Diamantenraub aus den als uneinnehmbar geltenden Schließfächern des Antwerpener Diamond Center wurden Kristalle im Wert von geschätzten 100 bis 400 Millionen Euro, die größte jemals gestohlene Menge an Edelsteinen, erbeutet.
Voraus ging eine 27 Monate lange Vorbereitungszeit. In der Gegend, in der die Straßen rund um das Diamond Center mit Überwachungskameras gespickt sind, spielt sich 80 Prozent des Diamanten-Welthandels ab. Fluchtfahrten werden durch ausfahrbare Straßenbarrieren verhindert. 12 Meter neben dem Eingang zum Diamond Center war eine Polizeiwache.

Im Gebäude gab es etliche Videokameras. Der Tresorraum selbst war mit einer besonders soliden Safetür inklusive 100 Millionen möglichen Zahlenkombinationen und Spezialschlüssel verschlossen. Außen an der Tresortür war eine magnetische Vorrichtung angebracht, die Alarm auslöst, sollte jemand die Tür außerhalb der Öffnungszeiten öffnen. Die drei Tonnen schwere Tür zu sprengen, erforderte eine Ladung, die das gesamte Gebäude in die Luft jagen würde. Im Tresorraum selbst befanden sich drei verschiedene Sensoren, die auf Körperwärme, Licht und Bewegungen reagierten. Schlussendlich war jedes Schließfach mit passgenauen Türen eingelassen und mit einem Code-Schloss gesichert.

Die Sicherheitslücken

  1. Die Vorbereitungsphase:
    Der Haupttäter mietete ein Büro im Gebäude, um jederzeit freien Zugang zu seinem Schließfach zu haben. Beim Abschluss der Mietverträge wurden keine Auskünfte über ihn eingeholt.
  2. Der Tatzeitpunkt:
    In der Nacht und besonders am betroffenen Wochenende war das Gebäude noch leerer als sonst.
  3. Lücken in der äußeren Sicherheitsschicht:
    Ins Gebäude kamen die Täter aufgrund der fehlenden Videoüberwachung am Hintereingang und der leicht zu ermittelnden Funkfrequenz des Garageneingangs.
  4. Nachlässigkeit:
    Für wahrscheinlich halten die Ermittler, dass das Bedienpersonal regelmäßig darauf verzichtete, die Zahlenkombination der Tresortür beim Abschließen zu verstellen.
  5. Routine:
    Der Hauptschlüssel der Tresortür musste jedes Mal an den Stiel angeschraubt und damit tief in die Tür eingeführt und dann wieder vom Stiel abgeschraubt werden. Üblich war aber, den Stiel mitsamt Schlüssel in einer Art Besenkammer aufzubewahren.
  6. Die zweiteilige magnetische Vorrichtung zur Meldung einer Türöffnung an die ständig besetzte Alarmzentrale konnte wenige Tage vor der Tat unbemerkt präpariert werden.
  7. Der Bewegungsmelder, eine Infrarotquelle, wurde am Tag vor dem Raub durch Einsprühen mit Haarspray mit einem fast unsichtbaren Film überzogen.
  8. Der Lichtsensor im Tresorraum wurde während des Raubes mit mehreren Lagen Klebeband blind gemacht.
  9. Der Infrarotsensor für Körperwärme wurde durch eine präparierte Styroporplatte und Teleskopstange aus dem Baumarkt abgeschirmt.
  10. Die Schließfächer wurden kurzerhand mit Gewalt statt Schlüssel und Buchstabenkombinationen geöffnet.

Unternehmensdiamanten in Gefahr!

Warum sind Unternehmen wertvoll? Weil sie Werte geschaffen haben und diese nachhaltig schützen. Ihre Unternehmensdiamanten sind vielfältiger Natur: Patente, Produktinnovationen, Sourcecode, Geschäftsgeheimnisse und –pläne, umfassende Produktion, Datenbanken mit vielfältigen (Kunden-) Daten, Vermögen und vieles mehr.

All das wird über Jahre, Jahrzehnte oder Jahrhunderte aufgebaut. Und kann doch über Nacht gestohlen oder zerstört werden, ohne dass ein Täter jemals physischen Zugriff hat.

2017, weltweit

WannaCry und NotPetya – Cyberangreifer schlugen jeweils zu Randzeiten zu: WannaCry traf Europa am Freitagnachmittag und NotPetya begann sein Wirken am Tag vor dem Nationalfeiertag in der Ukraine. Quasi über Nacht verbreitete sich NotPetya: Ausgehend von einem Update der ukrainischen Steuersoftware MeDoc, die jeder nutzt, der in der Ukraine Steuern zahlen muss. Die Verbreitung des Schadcodes war unvergleichbar raffiniert. So kam es auch, dass mehrere europäische und amerikanische Großkonzerne in kürzester Zeit betroffen waren und Verluste in dreistelliger Millionenhöhe und Produktionsausfälle meldeten.

Dabei hätten diese Schäden durchaus verhindert werden können. Die Angreifer nutzten Schwachstellen in veralteten Programmen. Ein Faux pas aus dem viele IT-Abteilungen weltweit lernten.

2015/16, Österreich

Der 23. Dezember 2015 geht als schwarzer Tag in die Firmengeschichte des Flugzeugzulieferers FACC ein. Es war der Tag, an dem ein Mitarbeiter der Finanzbuchhaltung die ersten 13 Millionen Euro an Internetbetrüger überwies. Mit einer gefälschten Mailadresse des Vorstandschefs wurde vorgetäuscht, dass es sich um eine streng vertrauliche Transaktion für einen Firmenkauf handle. Der Schriftverkehr umfasst rund 40 Mails, um Vertrauen aufzubauen. Bis alle Abbuchungen am 19. Jänner bemerkt wurden, waren in Summe 50 Millionen Euro weg.

In so einem Fall ist IT-Sicherheitstechnik machtlos. Der Mensch entscheidet über seine Handlungen und ist in dem Fall anscheinend auf einen sehr gut vorbereiteten und mit Perfektion ausgeführten „Fake President Fraud“ hereingefallen. Die Spuren sind verwischt und die Beute wohl für immer unwiederbringlich.

2015, in 30 Ländern

Banken verwahren bares Geld. Daher erwartet man eine hochsichere Infrastruktur – nicht nur physisch, sondern auch digital. Umso mehr verwunderte es als Geldautomaten weltweit plötzlich Berge von Scheinen ausspuckten und immer jemand zur Stelle war, um sie einzusammeln. Millionen wanderten unbemerkt von einem Konto aufs andere. Zwei Jahre lang hatten Angreifer die Systeme von 100 Banken weltweit im Griff. Insgesamt haben sie bis zu einer Milliarde Dollar gestohlen.

„Carbanak“ nannte man die Gruppe, die sich nach Medienberichten mit Trojanern in die Benutzerkonten der Banken hackten, Zugriff auf die Überwachungskameras der Banken sowie die Masteraccounts der Angestellten erlangten und somit Bankautomaten umprogrammieren konnten.

Die Vorfälle zeigen, was durch detaillierte Vorbereitung und Präzision in der Durchführung heute alles möglich ist, ohne dass eine Person jemals bei einer der angegriffenen Banken vor Ort hätte sein müssen. Und es traf wieder: das vermeintlich hochgesicherte Kerngeschäft von großen Unternehmen.

2013, USA

Yahoo hat 3 Milliarden Nutzer. Alle Nutzerkonten wurden gehackt. Die Angreifer bekamen Zugriff auf die Namen, E-Mailadressen und Telefonnummern. Außerdem waren auch die Sicherheitsabfragen betroffen, mit denen sich vergessene Passwörter wiederherstellen ließen.

Eigentlich erscheint dieser besonders ausgeklügelte Angriff auf das Kerngeschäft des Internetunternehmens als vollkommen unmöglich und doch wurde er durch die Raffinesse der Täter Realität. Nahezu unglaublich scheint dabei nicht nur die Masse der entwendeten Daten, sondern auch die Entdeckung des Angriffs. Erst 2016 bestätigte das Unternehmen einen Angriff auf eine Milliarde Nutzerkonten. Und noch ein Jahr später gab man bekannt, dass es doch drei Milliarden betroffene Accounts waren.

Die auffälligen Parallelen der zwei Welten

  1. Strategie
    Der Kreativität auf Seiten der Angreifer sind keine Grenzen gesetzt. Einfallstore sind vielfältig.
  2. Ressourcen
    Täter nehmen sich jahrelang für die Vorbereitungendes perfekten Plans viel Zeit.
  3. Details
    Es werden die winzigen Schlupflöcher in vermeintlichen Hochsicherheitsstrukturen gesucht und ausgenutzt.
  4. Erfahrung
    Die größten Angriffe werden durch hochprofessionelle Gruppen ausgeführt.
  5. Timing
    Der richtige Angriffszeitpunkt ist für erfolgreiche Angriffe entscheidend.
  6. Ziel
    Das schwächste Glied wird fokussiert, es ist nicht selten der Mensch.
  7. Nichts wird dem Zufall überlassen.
  8. Weg ist weg.