SlideShare ist ein Scribd-Unternehmen logo

Webinar: Cyberangriff - Frontbericht

A. Baggenstos & Co. AG
A. Baggenstos & Co. AG

Den 24. Juli 2019 wird Andreas Plüer (ehem. CIO der Meier Tobler AG) nie mehr vergessen. An diesem Tag wurde die gesamte Informatik, für die er verantwortlich war, von Cyberkriminellen gehackt. Wie konnte so etwas passieren? Wie gingen die Hacker vor? Welche präventiven Vorkehrungen hätten den Angriff verhindert, was sind rückblickend seine Empfehlungen für andere Unternehmen?

Internet
1 von 31
Downloaden Sie, um offline zu lesen
Alarmstufe Rot Cyberangriff! 16.05.2021 / Erfahrungsbericht und Ratschläge aus der Praxis von Andreas Plüer / Referat A. Baggenstos & Co. AG
Alarmstufe Rot: Wie ich einen Hackerangriff (üb)erlebte • Was ist passiert? Welche Auswirkungen hatte der Angriff auf das Unternehmen • Weshalb ist das passiert? Wie sind die Hacker vorgegangen • Womit hätte der Angriff erschwert werden können? Präventive Vorkehrungen zum Schutz vor einem Cyberangriff • Welches sind meine Empfehlungen für Sie? Konkrete Ratschläge zur Risikominderung 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 3
Vorgeschichte 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 4 Quelle: Meier Tobler AG Quelle: Meier Tobler AG
Ruhe vor dem Sturm 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 5 Quelle: LAAX / Danuser Quelle: shanemyersphoto
Die SMS, mit der mein Alptraum begann… 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 6 06:45
Angriff! 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 7 Quelle: James Thew
Zeitlicher Ablauf nach dem Angriff am 23./24.07.2019 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 8 Information Geschäftsleitung Meier Tobler durch CFO Einberufung Krisenstab, Information der Führungskräfte, Rückholung von Schlüsselpersonen aus den Ferien (u.a. CIO), Bezug «War Room» CIO eingetroffen, erste Krisenstabsitzung zur Lagebeurteilung und Beschluss von Softortmassnahmen Schadensbild ermittelt, Cyber Security Experten aufgeboten Priorisierung erstellt, Wiederherstellungsarbeiten gestartet Ungewöhnliches Verhalten der IT-Überwachungssysteme, Systemfunktionen gestört, unübersichtliche Gesamtlage für den IT-Dienstleister, Eskalation innerhalb seiner Pikettorganisation Feststellung einer Malware-Attacke. Entscheid zum sofortigen, geordneten Ausschalten aller Systeme CIO-Stv. informiert CFO (Leiter Krisenstab) und CIO, Statusdeklaration «Major Incident»
Reaktion der Medien: Beitrag SRF Börse vom 26.07.19 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 9 Quelle: SRF Börse
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Tag 1 Tag 2 Tag 3 Tag 4 Tag 5 Tag 6 Tag 7 Tag 8 Tag 71 Liefer- und Servicebereitschaft in % Krisenbewältigung auf der Zeitachse 21.10.2020 | Alarmstufe Rot: Referat CoWorking Weinfelden | © EKT AG 10 Telefonzentrale operativ EDR/SOC installiert SAP operativ auf 20 Clients Zentrallager 1 operativ Service App operativ Erste Kunden- lieferung 200 Arbeits- plätze operativ Zentrallager 2 operativ Verteilung neu aufgesetzte PCs Tag 130
Krisenstab im «War Room» 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 11 Quelle: Meier Tobler AG
Weshalb ist das passiert? Wie gingen die Täter vor? (Erklärung von Melani, Nationales Zentrum für Cybersicherheit) 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 12 oder CobaltStrike Quelle: melani.admin.ch
Wie gingen die Täter vor? (bitte eine Erklärung, die alle verstehen!) 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 13 Bösewicht (Cyber-Angreifer) Haus (Unternehmung)
Zuerst etwas zum Thema Netzwerksicherheit: Zugriffsversuch von aussen 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 14 Wachhund (Firewall) !#
Wie gingen die Täter vor? Phase «Delivery», Spear Phishing mit Schadprogramm 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 15 Postbote (E-Mail mit Attachment) Bewohner (Benutzer) Paket (Malware)
Wie gingen die Täter vor? Phase «Installation» der Malware 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 16 ??? ferngesteuerter Spielroboter (Emotet Malware)
Wie gingen die Täter vor? Phase «Command & Control» 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 17 Funkgerät zum Bösewicht (Beacon zum Command-and-Control Server) Bösewicht im Versteck (Professionelle Angreifergruppe mit Command-and-Control Server «C&C») «Wer im Haus ist, ist ein Freund, der darf raus und wieder rein» (Dynamischer Paketfilter der Firewall)
Wie gingen die Täter vor? Phase «Installation» weiterer Schadsoftware 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 18 Werkzeugkasten (Cobalt Strike Pen-Test-Soft- ware)
Wie gingen die Täter vor? Phase «Installation» weiterer Schadsoftware 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 19
Wie gingen die Täter vor? Phase «Installation» weiterer Schadsoftware 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 20
Wie gingen die Täter vor? Phase «Installation» weiterer Schadsoftware 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 21 ??? ✓ Funkgerät und Werkzeugkasten getarnt (Kommunikation limitiert, Domain Fronting, Malleable C2 Profiles)
Wie gingen die Täter vor? Phase «Installation» weiterer Schadsoftware 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 22 Passepartout für alle Räume (Lateral movement) Ausweisfälschung (Privillege escalation) Kopierer von Bewohnern (Hash reverse decryption)
Wie gingen die Täter vor? Phase «Command & Control» 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 23 Bösewicht kopiert Bewohner, gibt ihm gefälschten Ausweis und Passepartout (Vertical privilege escalation, gestohlener Benutzer mit Domain-Admin-Rechten)
Wie gingen die Täter vor? Phase «Action on Objectives» 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 24 Angreifer gewinnt Zugang zur Haus- zentrale mit Passepartout und übernimmt damit die Kontrolle über das ganze Haus (Angreifer übernimmt Domain Controller, dann «Actions on Objective», d.h. Exfiltration von Daten, Sabotage, Spionage, Verschlüsselung) Hauszentrale (Domain Controller)
Wie gingen die Täter vor? Phase «Action on Objectives» 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 25 Wohnung wird unbewohnbar gemacht Schlüssel ausgewechselt Lösegeldforderung (MegaCortex-Verteilung, Verschlüsselung aller Server, Clients und Daten, Lösegeldforderung: Bitcoins)
Nun wissen Sie Bescheid! Kurze Zusammenfassung der Hauptdarsteller 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 26 Bösewicht Cyber-Angreifer Wachhund Firewall Postbote E-Mail mit Attachment Spielroboter Emotet Malware Funkgerät Beacon zum C&C Server Cobalt Strike Pen-Test-Software Werkzeugkasten Privillege escalation Ausweisfälschung Passepartout Lateral movement
Weshalb ist das passiert? Wie gingen die Täter vor? (jetzt ist vieles klarer!) 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 27 oder CobaltStrike Quelle: melani.admin.ch
Weshalb ist das passiert? Wie gingen die Täter vor? (Fortsetzung) 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 28 Quelle: melani.admin.ch oder MegaCortex
Welche Vorkehrungen hätten den Angriff erschwert? 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 29
Welche Vorkehrungen hätten den Angriff erschwert? 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 30 • Ausbruchszeit zwischen Erstangriff (Emotet) und Hauptangriff (CobaltStrike) bei Meier Tobler: 72 Tage • Diese Zeit wäre zur Angriffsbekämpfung zur Verfügung gestanden, wäre der Angriff entdeckt worden A N Quelle: CrowdStrike
• Gewinnen Sie die Einsicht, dass jede Unternehmung, egal in welcher Branche und von welcher Grösse, ein Ziel eines Cyberangriffs werden kann. Es ist eine Frage des Aufwands, den der Angreifer dazu betreiben will. • Bauen Sie ein effektives Sicherheitsdispositiv auf (folgender Präsentationsteil) • Berücksichtigen Sie den Faktor "Mensch": Informieren und sensibilisieren Sie Ihre Anwender. Beim Cyberangriff ist der Mensch in der Regel das schwächste Glied (Social Engineering). Aber: bei der Bewältigung des Angriffs ist der Mensch eines der stärksten Elemente. • Bereiten Sie sich vor. Üben Sie den Krisenfall. Testen Sie, ob Backups - geschützt vom übrigen Netzwerk – im Notfall wiederherstellbar sind. • Sprechen Sie über das Thema Cybersicherheit. Teilen Sie Ihre Erfahrungen, auch Ihre "Beinahe-Unfälle" http://linkedin.com/in/andreas-plueer | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG Welches sind meine konkreten Empfehlungen für Sie? 31 16.06.2021
Informationen rund um Energie 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 32 Andreas Plüer Bereichsleiter Digital Services Telefon 071 440 63 33 andreas.plueer@ekt.ch www.ekt.ch

Empfohlen

Webinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenWebinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - Abwehrmöglichkeiten
A. Baggenstos & Co. AG
 
Webinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenWebinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - Abwehrmöglichkeiten
A. Baggenstos & Co. AG
 
SBA Live Academy - "BIG BANG!" Highlights & key takeaways of 24 security talks
SBA Live Academy - "BIG BANG!" Highlights & key takeaways of 24 security talksSBA Live Academy - "BIG BANG!" Highlights & key takeaways of 24 security talks
SBA Live Academy - "BIG BANG!" Highlights & key takeaways of 24 security talks
SBA Research
 
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Research
 
SBA Live Academy, Supply Chain & Cyber Security in einem Atemzug by Stefan Ja...
SBA Live Academy, Supply Chain & Cyber Security in einem Atemzug by Stefan Ja...SBA Live Academy, Supply Chain & Cyber Security in einem Atemzug by Stefan Ja...
SBA Live Academy, Supply Chain & Cyber Security in einem Atemzug by Stefan Ja...
SBA Research
 
Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter
A. Baggenstos & Co. AG
 
SysWatch
SysWatchSysWatch
SysWatch
CamData
 
Outpost24 webinar mit oder ohne agenten
Outpost24 webinar mit oder ohne agentenOutpost24 webinar mit oder ohne agenten
Outpost24 webinar mit oder ohne agenten
Outpost24
 

Empfohlen

Webinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenWebinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - Abwehrmöglichkeiten
A. Baggenstos & Co. AG
 
Webinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - AbwehrmöglichkeitenWebinar Cyberangriff - Abwehrmöglichkeiten
Webinar Cyberangriff - Abwehrmöglichkeiten
A. Baggenstos & Co. AG
 
SBA Live Academy - "BIG BANG!" Highlights & key takeaways of 24 security talks
SBA Live Academy - "BIG BANG!" Highlights & key takeaways of 24 security talksSBA Live Academy - "BIG BANG!" Highlights & key takeaways of 24 security talks
SBA Live Academy - "BIG BANG!" Highlights & key takeaways of 24 security talks
SBA Research
 
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Research
 
SBA Live Academy, Supply Chain & Cyber Security in einem Atemzug by Stefan Ja...
SBA Live Academy, Supply Chain & Cyber Security in einem Atemzug by Stefan Ja...SBA Live Academy, Supply Chain & Cyber Security in einem Atemzug by Stefan Ja...
SBA Live Academy, Supply Chain & Cyber Security in einem Atemzug by Stefan Ja...
SBA Research
 
Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter
A. Baggenstos & Co. AG
 
SysWatch
SysWatchSysWatch
SysWatch
CamData
 
Outpost24 webinar mit oder ohne agenten
Outpost24 webinar mit oder ohne agentenOutpost24 webinar mit oder ohne agenten
Outpost24 webinar mit oder ohne agenten
Outpost24
 
Schaeffer Jester Smart Metering Datensicherheit
Schaeffer Jester Smart Metering DatensicherheitSchaeffer Jester Smart Metering Datensicherheit
Schaeffer Jester Smart Metering Datensicherheit
Philippe A. R. Schaeffer
 
Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)
Praxistage
 
CyberDirekt_Risikolage_2022_teaser.pdf
CyberDirekt_Risikolage_2022_teaser.pdfCyberDirekt_Risikolage_2022_teaser.pdf
CyberDirekt_Risikolage_2022_teaser.pdf
TobiasBessel
 
Slides zum Impulsreferat: NIS2 - Was steckt konkret dahinter? - DNUG Stammtis...
Slides zum Impulsreferat: NIS2 - Was steckt konkret dahinter? - DNUG Stammtis...Slides zum Impulsreferat: NIS2 - Was steckt konkret dahinter? - DNUG Stammtis...
Slides zum Impulsreferat: NIS2 - Was steckt konkret dahinter? - DNUG Stammtis...
DNUG e.V.
 
Der schnellste Weg, ihr Wissen zu schützen
Der schnellste Weg, ihr Wissen zu schützenDer schnellste Weg, ihr Wissen zu schützen
Der schnellste Weg, ihr Wissen zu schützen
team-WIBU
 
Mag.a Natascha Jäger (COGITANDA Dataprotect).
Mag.a Natascha Jäger (COGITANDA Dataprotect).Mag.a Natascha Jäger (COGITANDA Dataprotect).
Mag.a Natascha Jäger (COGITANDA Dataprotect).
Agenda Europe 2035
 
Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...
Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...
Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...
OPITZ CONSULTING Deutschland
 
Internet of (Every)Thing
Internet of (Every)ThingInternet of (Every)Thing
Internet of (Every)Thing
Fraunhofer AISEC
 
It Sicherheit in der Instandhaltung
It Sicherheit in der InstandhaltungIt Sicherheit in der Instandhaltung
It Sicherheit in der Instandhaltung
Branding Maintenance
 
Software That Matters - Agile Anforderungsanalyse mit Impact Mapping
Software That Matters - Agile Anforderungsanalyse mit Impact MappingSoftware That Matters - Agile Anforderungsanalyse mit Impact Mapping
Software That Matters - Agile Anforderungsanalyse mit Impact Mapping
Nils Wloka
 
Werner Panhauser (Helvetia Versicherungen)
Werner Panhauser (Helvetia Versicherungen)Werner Panhauser (Helvetia Versicherungen)
Werner Panhauser (Helvetia Versicherungen)
Praxistage
 
Mag. Rainer Michael Semper (T-Mobile Austria)
Mag. Rainer Michael Semper (T-Mobile Austria)Mag. Rainer Michael Semper (T-Mobile Austria)
Mag. Rainer Michael Semper (T-Mobile Austria)
Praxistage
 
Webinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissen
Webinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissenWebinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissen
Webinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissen
A. Baggenstos & Co. AG
 
Azure Migration and Modernization Program (AMMP)
Azure Migration and Modernization Program (AMMP)Azure Migration and Modernization Program (AMMP)
Azure Migration and Modernization Program (AMMP)
A. Baggenstos & Co. AG
 
Webinar: Gamechanger Microsoft Power Plattform
Webinar: Gamechanger Microsoft Power PlattformWebinar: Gamechanger Microsoft Power Plattform
Webinar: Gamechanger Microsoft Power Plattform
A. Baggenstos & Co. AG
 
Webinar Darktrace: Fragen und Antworten
Webinar Darktrace: Fragen und AntwortenWebinar Darktrace: Fragen und Antworten
Webinar Darktrace: Fragen und Antworten
A. Baggenstos & Co. AG
 
Webinar: Darktrace - maximale Cybersecurity dank künstlicher Intelligenz
Webinar: Darktrace - maximale Cybersecurity dank künstlicher IntelligenzWebinar: Darktrace - maximale Cybersecurity dank künstlicher Intelligenz
Webinar: Darktrace - maximale Cybersecurity dank künstlicher Intelligenz
A. Baggenstos & Co. AG
 
Windows 365 oder Azure Virtual Desktop?
Windows 365 oder Azure Virtual Desktop?Windows 365 oder Azure Virtual Desktop?
Windows 365 oder Azure Virtual Desktop?
A. Baggenstos & Co. AG
 
Neues CSP Lizenzmodell - Microsoft New Commerce Experience
Neues CSP Lizenzmodell - Microsoft New Commerce ExperienceNeues CSP Lizenzmodell - Microsoft New Commerce Experience
Neues CSP Lizenzmodell - Microsoft New Commerce Experience
A. Baggenstos & Co. AG
 
Webinar: Azure Virtual Desktop in der Praxis
Webinar: Azure Virtual Desktop in der PraxisWebinar: Azure Virtual Desktop in der Praxis
Webinar: Azure Virtual Desktop in der Praxis
A. Baggenstos & Co. AG
 
Webinar: Neue Arbeitswelt – Zusammenarbeiten mit Lenovo Teams Raum Systemen
Webinar: Neue Arbeitswelt – Zusammenarbeiten mit Lenovo Teams Raum SystemenWebinar: Neue Arbeitswelt – Zusammenarbeiten mit Lenovo Teams Raum Systemen
Webinar: Neue Arbeitswelt – Zusammenarbeiten mit Lenovo Teams Raum Systemen
A. Baggenstos & Co. AG
 
Webinar: Geodaten aus der Cloud - ready for the future?
Webinar: Geodaten aus der Cloud - ready for the future?Webinar: Geodaten aus der Cloud - ready for the future?
Webinar: Geodaten aus der Cloud - ready for the future?
A. Baggenstos & Co. AG
 

Weitere ähnliche Inhalte

Ähnlich wie Webinar: Cyberangriff - Frontbericht

Der schnellste Weg, ihr Wissen zu schützen
Der schnellste Weg, ihr Wissen zu schützenDer schnellste Weg, ihr Wissen zu schützen
Der schnellste Weg, ihr Wissen zu schützen
team-WIBU
 

Ähnlich wie Webinar: Cyberangriff - Frontbericht (12)

Schaeffer Jester Smart Metering Datensicherheit
Schaeffer Jester Smart Metering DatensicherheitSchaeffer Jester Smart Metering Datensicherheit
Schaeffer Jester Smart Metering Datensicherheit
 
Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)
 
CyberDirekt_Risikolage_2022_teaser.pdf
CyberDirekt_Risikolage_2022_teaser.pdfCyberDirekt_Risikolage_2022_teaser.pdf
CyberDirekt_Risikolage_2022_teaser.pdf
 
Slides zum Impulsreferat: NIS2 - Was steckt konkret dahinter? - DNUG Stammtis...
Slides zum Impulsreferat: NIS2 - Was steckt konkret dahinter? - DNUG Stammtis...Slides zum Impulsreferat: NIS2 - Was steckt konkret dahinter? - DNUG Stammtis...
Slides zum Impulsreferat: NIS2 - Was steckt konkret dahinter? - DNUG Stammtis...
 
Der schnellste Weg, ihr Wissen zu schützen
Der schnellste Weg, ihr Wissen zu schützenDer schnellste Weg, ihr Wissen zu schützen
Der schnellste Weg, ihr Wissen zu schützen
 
Mag.a Natascha Jäger (COGITANDA Dataprotect).
Mag.a Natascha Jäger (COGITANDA Dataprotect).Mag.a Natascha Jäger (COGITANDA Dataprotect).
Mag.a Natascha Jäger (COGITANDA Dataprotect).
 
Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...
Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...
Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...
 
Internet of (Every)Thing
Internet of (Every)ThingInternet of (Every)Thing
Internet of (Every)Thing
 
It Sicherheit in der Instandhaltung
It Sicherheit in der InstandhaltungIt Sicherheit in der Instandhaltung
It Sicherheit in der Instandhaltung
 
Software That Matters - Agile Anforderungsanalyse mit Impact Mapping
Software That Matters - Agile Anforderungsanalyse mit Impact MappingSoftware That Matters - Agile Anforderungsanalyse mit Impact Mapping
Software That Matters - Agile Anforderungsanalyse mit Impact Mapping
 
Werner Panhauser (Helvetia Versicherungen)
Werner Panhauser (Helvetia Versicherungen)Werner Panhauser (Helvetia Versicherungen)
Werner Panhauser (Helvetia Versicherungen)
 
Mag. Rainer Michael Semper (T-Mobile Austria)
Mag. Rainer Michael Semper (T-Mobile Austria)Mag. Rainer Michael Semper (T-Mobile Austria)
Mag. Rainer Michael Semper (T-Mobile Austria)
 

Mehr von A. Baggenstos & Co. AG

Webinar: Azure Virtual Desktop in der Praxis
Webinar: Azure Virtual Desktop in der PraxisWebinar: Azure Virtual Desktop in der Praxis
Webinar: Azure Virtual Desktop in der Praxis
A. Baggenstos & Co. AG
 

Mehr von A. Baggenstos & Co. AG (20)

Webinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissen
Webinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissenWebinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissen
Webinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissen
 
Azure Migration and Modernization Program (AMMP)
Azure Migration and Modernization Program (AMMP)Azure Migration and Modernization Program (AMMP)
Azure Migration and Modernization Program (AMMP)
 
Webinar: Gamechanger Microsoft Power Plattform
Webinar: Gamechanger Microsoft Power PlattformWebinar: Gamechanger Microsoft Power Plattform
Webinar: Gamechanger Microsoft Power Plattform
 
Webinar Darktrace: Fragen und Antworten
Webinar Darktrace: Fragen und AntwortenWebinar Darktrace: Fragen und Antworten
Webinar Darktrace: Fragen und Antworten
 
Webinar: Darktrace - maximale Cybersecurity dank künstlicher Intelligenz
Webinar: Darktrace - maximale Cybersecurity dank künstlicher IntelligenzWebinar: Darktrace - maximale Cybersecurity dank künstlicher Intelligenz
Webinar: Darktrace - maximale Cybersecurity dank künstlicher Intelligenz
 
Windows 365 oder Azure Virtual Desktop?
Windows 365 oder Azure Virtual Desktop?Windows 365 oder Azure Virtual Desktop?
Windows 365 oder Azure Virtual Desktop?
 
Neues CSP Lizenzmodell - Microsoft New Commerce Experience
Neues CSP Lizenzmodell - Microsoft New Commerce ExperienceNeues CSP Lizenzmodell - Microsoft New Commerce Experience
Neues CSP Lizenzmodell - Microsoft New Commerce Experience
 
Webinar: Azure Virtual Desktop in der Praxis
Webinar: Azure Virtual Desktop in der PraxisWebinar: Azure Virtual Desktop in der Praxis
Webinar: Azure Virtual Desktop in der Praxis
 
Webinar: Neue Arbeitswelt – Zusammenarbeiten mit Lenovo Teams Raum Systemen
Webinar: Neue Arbeitswelt – Zusammenarbeiten mit Lenovo Teams Raum SystemenWebinar: Neue Arbeitswelt – Zusammenarbeiten mit Lenovo Teams Raum Systemen
Webinar: Neue Arbeitswelt – Zusammenarbeiten mit Lenovo Teams Raum Systemen
 
Webinar: Geodaten aus der Cloud - ready for the future?
Webinar: Geodaten aus der Cloud - ready for the future?Webinar: Geodaten aus der Cloud - ready for the future?
Webinar: Geodaten aus der Cloud - ready for the future?
 
Webinar: Wie Hunziker Betatech Microsoft Teams einsetzt
Webinar: Wie Hunziker Betatech Microsoft Teams einsetztWebinar: Wie Hunziker Betatech Microsoft Teams einsetzt
Webinar: Wie Hunziker Betatech Microsoft Teams einsetzt
 
Webinar: Microsoft Teams im Kundenservice
Webinar: Microsoft Teams im KundenserviceWebinar: Microsoft Teams im Kundenservice
Webinar: Microsoft Teams im Kundenservice
 
Webinar: Kommunizieren Sie schon oder telefonieren Sie noch?
Webinar: Kommunizieren Sie schon oder telefonieren Sie noch?Webinar: Kommunizieren Sie schon oder telefonieren Sie noch?
Webinar: Kommunizieren Sie schon oder telefonieren Sie noch?
 
Webinar: Information Governance in Microsoft 365
Webinar: Information Governance in Microsoft 365Webinar: Information Governance in Microsoft 365
Webinar: Information Governance in Microsoft 365
 
Datenverschlüsselung in der Praxis
Datenverschlüsselung in der PraxisDatenverschlüsselung in der Praxis
Datenverschlüsselung in der Praxis
 
Webinar: Advanced Threat Protection für maximale Clientsecurity
Webinar: Advanced Threat Protection für maximale ClientsecurityWebinar: Advanced Threat Protection für maximale Clientsecurity
Webinar: Advanced Threat Protection für maximale Clientsecurity
 
Erfahrungsaustausch nach einem Monat Homeoffice
Erfahrungsaustausch nach einem Monat HomeofficeErfahrungsaustausch nach einem Monat Homeoffice
Erfahrungsaustausch nach einem Monat Homeoffice
 
Webinar: 99% mehr Sicherheit mit MFA
Webinar: 99% mehr Sicherheit mit MFAWebinar: 99% mehr Sicherheit mit MFA
Webinar: 99% mehr Sicherheit mit MFA
 
5 Schritte zu mehr Cybersecurity
5 Schritte zu mehr Cybersecurity5 Schritte zu mehr Cybersecurity
5 Schritte zu mehr Cybersecurity
 
Microsoft Teams im Unternehmen
Microsoft Teams im UnternehmenMicrosoft Teams im Unternehmen
Microsoft Teams im Unternehmen
 

Webinar: Cyberangriff - Frontbericht

  • 1. Alarmstufe Rot Cyberangriff! 16.05.2021 / Erfahrungsbericht und Ratschläge aus der Praxis von Andreas Plüer / Referat A. Baggenstos & Co. AG
  • 2. Alarmstufe Rot: Wie ich einen Hackerangriff (üb)erlebte • Was ist passiert? Welche Auswirkungen hatte der Angriff auf das Unternehmen • Weshalb ist das passiert? Wie sind die Hacker vorgegangen • Womit hätte der Angriff erschwert werden können? Präventive Vorkehrungen zum Schutz vor einem Cyberangriff • Welches sind meine Empfehlungen für Sie? Konkrete Ratschläge zur Risikominderung 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 3
  • 3. Vorgeschichte 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 4 Quelle: Meier Tobler AG Quelle: Meier Tobler AG
  • 4. Ruhe vor dem Sturm 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 5 Quelle: LAAX / Danuser Quelle: shanemyersphoto
  • 5. Die SMS, mit der mein Alptraum begann… 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 6 06:45
  • 6. Angriff! 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 7 Quelle: James Thew
  • 7. Zeitlicher Ablauf nach dem Angriff am 23./24.07.2019 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 8 Information Geschäftsleitung Meier Tobler durch CFO Einberufung Krisenstab, Information der Führungskräfte, Rückholung von Schlüsselpersonen aus den Ferien (u.a. CIO), Bezug «War Room» CIO eingetroffen, erste Krisenstabsitzung zur Lagebeurteilung und Beschluss von Softortmassnahmen Schadensbild ermittelt, Cyber Security Experten aufgeboten Priorisierung erstellt, Wiederherstellungsarbeiten gestartet Ungewöhnliches Verhalten der IT-Überwachungssysteme, Systemfunktionen gestört, unübersichtliche Gesamtlage für den IT-Dienstleister, Eskalation innerhalb seiner Pikettorganisation Feststellung einer Malware-Attacke. Entscheid zum sofortigen, geordneten Ausschalten aller Systeme CIO-Stv. informiert CFO (Leiter Krisenstab) und CIO, Statusdeklaration «Major Incident»
  • 8. Reaktion der Medien: Beitrag SRF Börse vom 26.07.19 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 9 Quelle: SRF Börse
  • 9. 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Tag 1 Tag 2 Tag 3 Tag 4 Tag 5 Tag 6 Tag 7 Tag 8 Tag 71 Liefer- und Servicebereitschaft in % Krisenbewältigung auf der Zeitachse 21.10.2020 | Alarmstufe Rot: Referat CoWorking Weinfelden | © EKT AG 10 Telefonzentrale operativ EDR/SOC installiert SAP operativ auf 20 Clients Zentrallager 1 operativ Service App operativ Erste Kunden- lieferung 200 Arbeits- plätze operativ Zentrallager 2 operativ Verteilung neu aufgesetzte PCs Tag 130
  • 10. Krisenstab im «War Room» 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 11 Quelle: Meier Tobler AG
  • 11. Weshalb ist das passiert? Wie gingen die Täter vor? (Erklärung von Melani, Nationales Zentrum für Cybersicherheit) 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 12 oder CobaltStrike Quelle: melani.admin.ch
  • 12. Wie gingen die Täter vor? (bitte eine Erklärung, die alle verstehen!) 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 13 Bösewicht (Cyber-Angreifer) Haus (Unternehmung)
  • 13. Zuerst etwas zum Thema Netzwerksicherheit: Zugriffsversuch von aussen 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 14 Wachhund (Firewall) !#
  • 14. Wie gingen die Täter vor? Phase «Delivery», Spear Phishing mit Schadprogramm 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 15 Postbote (E-Mail mit Attachment) Bewohner (Benutzer) Paket (Malware)
  • 15. Wie gingen die Täter vor? Phase «Installation» der Malware 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 16 ??? ferngesteuerter Spielroboter (Emotet Malware)
  • 16. Wie gingen die Täter vor? Phase «Command & Control» 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 17 Funkgerät zum Bösewicht (Beacon zum Command-and-Control Server) Bösewicht im Versteck (Professionelle Angreifergruppe mit Command-and-Control Server «C&C») «Wer im Haus ist, ist ein Freund, der darf raus und wieder rein» (Dynamischer Paketfilter der Firewall)
  • 17. Wie gingen die Täter vor? Phase «Installation» weiterer Schadsoftware 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 18 Werkzeugkasten (Cobalt Strike Pen-Test-Soft- ware)
  • 18. Wie gingen die Täter vor? Phase «Installation» weiterer Schadsoftware 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 19
  • 19. Wie gingen die Täter vor? Phase «Installation» weiterer Schadsoftware 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 20
  • 20. Wie gingen die Täter vor? Phase «Installation» weiterer Schadsoftware 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 21 ??? ✓ Funkgerät und Werkzeugkasten getarnt (Kommunikation limitiert, Domain Fronting, Malleable C2 Profiles)
  • 21. Wie gingen die Täter vor? Phase «Installation» weiterer Schadsoftware 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 22 Passepartout für alle Räume (Lateral movement) Ausweisfälschung (Privillege escalation) Kopierer von Bewohnern (Hash reverse decryption)
  • 22. Wie gingen die Täter vor? Phase «Command & Control» 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 23 Bösewicht kopiert Bewohner, gibt ihm gefälschten Ausweis und Passepartout (Vertical privilege escalation, gestohlener Benutzer mit Domain-Admin-Rechten)
  • 23. Wie gingen die Täter vor? Phase «Action on Objectives» 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 24 Angreifer gewinnt Zugang zur Haus- zentrale mit Passepartout und übernimmt damit die Kontrolle über das ganze Haus (Angreifer übernimmt Domain Controller, dann «Actions on Objective», d.h. Exfiltration von Daten, Sabotage, Spionage, Verschlüsselung) Hauszentrale (Domain Controller)
  • 24. Wie gingen die Täter vor? Phase «Action on Objectives» 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 25 Wohnung wird unbewohnbar gemacht Schlüssel ausgewechselt Lösegeldforderung (MegaCortex-Verteilung, Verschlüsselung aller Server, Clients und Daten, Lösegeldforderung: Bitcoins)
  • 25. Nun wissen Sie Bescheid! Kurze Zusammenfassung der Hauptdarsteller 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 26 Bösewicht Cyber-Angreifer Wachhund Firewall Postbote E-Mail mit Attachment Spielroboter Emotet Malware Funkgerät Beacon zum C&C Server Cobalt Strike Pen-Test-Software Werkzeugkasten Privillege escalation Ausweisfälschung Passepartout Lateral movement
  • 26. Weshalb ist das passiert? Wie gingen die Täter vor? (jetzt ist vieles klarer!) 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 27 oder CobaltStrike Quelle: melani.admin.ch
  • 27. Weshalb ist das passiert? Wie gingen die Täter vor? (Fortsetzung) 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 28 Quelle: melani.admin.ch oder MegaCortex
  • 28. Welche Vorkehrungen hätten den Angriff erschwert? 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 29
  • 29. Welche Vorkehrungen hätten den Angriff erschwert? 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 30 • Ausbruchszeit zwischen Erstangriff (Emotet) und Hauptangriff (CobaltStrike) bei Meier Tobler: 72 Tage • Diese Zeit wäre zur Angriffsbekämpfung zur Verfügung gestanden, wäre der Angriff entdeckt worden A N Quelle: CrowdStrike
  • 30. • Gewinnen Sie die Einsicht, dass jede Unternehmung, egal in welcher Branche und von welcher Grösse, ein Ziel eines Cyberangriffs werden kann. Es ist eine Frage des Aufwands, den der Angreifer dazu betreiben will. • Bauen Sie ein effektives Sicherheitsdispositiv auf (folgender Präsentationsteil) • Berücksichtigen Sie den Faktor "Mensch": Informieren und sensibilisieren Sie Ihre Anwender. Beim Cyberangriff ist der Mensch in der Regel das schwächste Glied (Social Engineering). Aber: bei der Bewältigung des Angriffs ist der Mensch eines der stärksten Elemente. • Bereiten Sie sich vor. Üben Sie den Krisenfall. Testen Sie, ob Backups - geschützt vom übrigen Netzwerk – im Notfall wiederherstellbar sind. • Sprechen Sie über das Thema Cybersicherheit. Teilen Sie Ihre Erfahrungen, auch Ihre "Beinahe-Unfälle" http://linkedin.com/in/andreas-plueer | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG Welches sind meine konkreten Empfehlungen für Sie? 31 16.06.2021
  • 31. Informationen rund um Energie 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 32 Andreas Plüer Bereichsleiter Digital Services Telefon 071 440 63 33 andreas.plueer@ekt.ch www.ekt.ch