SlideShare ist ein Scribd-Unternehmen logo
1 von 31
Downloaden Sie, um offline zu lesen
Alarmstufe Rot
Cyberangriff!
16.05.2021 / Erfahrungsbericht und Ratschläge aus der Praxis von Andreas Plüer / Referat A. Baggenstos & Co. AG
Alarmstufe Rot: Wie ich einen Hackerangriff (üb)erlebte
• Was ist passiert?
Welche Auswirkungen hatte der Angriff auf das Unternehmen
• Weshalb ist das passiert?
Wie sind die Hacker vorgegangen
• Womit hätte der Angriff erschwert werden können?
Präventive Vorkehrungen zum Schutz vor einem Cyberangriff
• Welches sind meine Empfehlungen für Sie?
Konkrete Ratschläge zur Risikominderung
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 3
Vorgeschichte
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 4
Quelle: Meier Tobler AG
Quelle: Meier Tobler AG
Ruhe vor dem Sturm
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 5
Quelle: LAAX / Danuser
Quelle: shanemyersphoto
Die SMS, mit der mein Alptraum begann…
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 6
06:45
Angriff!
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 7
Quelle: James Thew
Zeitlicher Ablauf nach dem Angriff am 23./24.07.2019
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 8
Information Geschäftsleitung Meier Tobler durch CFO
Einberufung Krisenstab, Information der Führungskräfte, Rückholung von Schlüsselpersonen aus den
Ferien (u.a. CIO), Bezug «War Room»
CIO eingetroffen, erste Krisenstabsitzung zur Lagebeurteilung und Beschluss von Softortmassnahmen
Schadensbild ermittelt, Cyber Security Experten aufgeboten
Priorisierung erstellt, Wiederherstellungsarbeiten gestartet
Ungewöhnliches Verhalten der IT-Überwachungssysteme, Systemfunktionen gestört, unübersichtliche
Gesamtlage für den IT-Dienstleister, Eskalation innerhalb seiner Pikettorganisation
Feststellung einer Malware-Attacke. Entscheid zum sofortigen, geordneten Ausschalten aller Systeme
CIO-Stv. informiert CFO (Leiter Krisenstab) und CIO, Statusdeklaration «Major Incident»
Reaktion der Medien: Beitrag SRF Börse vom 26.07.19
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 9
Quelle:
SRF
Börse
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Tag 1 Tag 2 Tag 3 Tag 4 Tag 5 Tag 6 Tag 7 Tag 8 Tag 71
Liefer- und Servicebereitschaft in %
Krisenbewältigung auf der Zeitachse
21.10.2020 | Alarmstufe Rot: Referat CoWorking Weinfelden | © EKT AG 10
Telefonzentrale
operativ
EDR/SOC
installiert
SAP
operativ
auf 20 Clients
Zentrallager 1
operativ
Service App
operativ
Erste Kunden-
lieferung
200 Arbeits-
plätze operativ Zentrallager 2
operativ
Verteilung neu
aufgesetzte
PCs
Tag 130
Krisenstab im «War Room»
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 11
Quelle:
Meier
Tobler
AG
Weshalb ist das passiert? Wie gingen die Täter vor?
(Erklärung von Melani, Nationales Zentrum für Cybersicherheit)
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 12
oder CobaltStrike
Quelle: melani.admin.ch
Wie gingen die Täter vor?
(bitte eine Erklärung, die alle verstehen!)
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 13
Bösewicht
(Cyber-Angreifer) Haus
(Unternehmung)
Zuerst etwas zum Thema Netzwerksicherheit:
Zugriffsversuch von aussen
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 14
Wachhund
(Firewall)
!#
Wie gingen die Täter vor?
Phase «Delivery», Spear Phishing mit Schadprogramm
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 15
Postbote
(E-Mail mit Attachment) Bewohner
(Benutzer)
Paket
(Malware)
Wie gingen die Täter vor?
Phase «Installation» der Malware
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 16
???
ferngesteuerter Spielroboter
(Emotet Malware)
Wie gingen die Täter vor?
Phase «Command & Control»
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 17
Funkgerät zum Bösewicht
(Beacon zum Command-and-Control Server)
Bösewicht im Versteck
(Professionelle Angreifergruppe mit
Command-and-Control Server «C&C»)
«Wer im Haus ist, ist ein
Freund, der darf raus und
wieder rein»
(Dynamischer Paketfilter
der Firewall)
Wie gingen die Täter vor?
Phase «Installation» weiterer Schadsoftware
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 18
Werkzeugkasten
(Cobalt Strike
Pen-Test-Soft-
ware)
Wie gingen die Täter vor?
Phase «Installation» weiterer Schadsoftware
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 19
Wie gingen die Täter vor?
Phase «Installation» weiterer Schadsoftware
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 20
Wie gingen die Täter vor?
Phase «Installation» weiterer Schadsoftware
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 21
???
✓
Funkgerät und Werkzeugkasten
getarnt
(Kommunikation limitiert,
Domain Fronting, Malleable C2
Profiles)
Wie gingen die Täter vor?
Phase «Installation» weiterer Schadsoftware
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 22
Passepartout für alle
Räume
(Lateral movement)
Ausweisfälschung
(Privillege escalation)
Kopierer von Bewohnern
(Hash reverse decryption)
Wie gingen die Täter vor?
Phase «Command & Control»
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 23
Bösewicht kopiert Bewohner,
gibt ihm gefälschten Ausweis
und Passepartout
(Vertical privilege escalation,
gestohlener Benutzer mit
Domain-Admin-Rechten)
Wie gingen die Täter vor?
Phase «Action on Objectives»
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 24
Angreifer gewinnt Zugang zur Haus-
zentrale mit Passepartout und übernimmt
damit die Kontrolle über das ganze Haus
(Angreifer übernimmt Domain Controller,
dann «Actions on Objective», d.h.
Exfiltration von Daten, Sabotage,
Spionage, Verschlüsselung)
Hauszentrale
(Domain Controller)
Wie gingen die Täter vor?
Phase «Action on Objectives»
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 25
Wohnung wird unbewohnbar gemacht
Schlüssel ausgewechselt
Lösegeldforderung
(MegaCortex-Verteilung,
Verschlüsselung aller Server, Clients
und Daten, Lösegeldforderung:
Bitcoins)
Nun wissen Sie Bescheid!
Kurze Zusammenfassung der Hauptdarsteller
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 26
Bösewicht
Cyber-Angreifer
Wachhund
Firewall
Postbote
E-Mail mit
Attachment
Spielroboter
Emotet Malware
Funkgerät
Beacon zum
C&C Server
Cobalt Strike
Pen-Test-Software
Werkzeugkasten
Privillege
escalation
Ausweisfälschung
Passepartout
Lateral
movement
Weshalb ist das passiert? Wie gingen die Täter vor?
(jetzt ist vieles klarer!)
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 27
oder CobaltStrike
Quelle:
melani.admin.ch
Weshalb ist das passiert? Wie gingen die Täter vor?
(Fortsetzung)
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 28
Quelle:
melani.admin.ch
oder MegaCortex
Welche Vorkehrungen hätten den Angriff erschwert?
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 29
Welche Vorkehrungen hätten den Angriff erschwert?
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 30
• Ausbruchszeit zwischen Erstangriff (Emotet) und Hauptangriff (CobaltStrike) bei Meier Tobler: 72 Tage
• Diese Zeit wäre zur Angriffsbekämpfung zur Verfügung gestanden, wäre der Angriff entdeckt worden
A
N
Quelle: CrowdStrike
• Gewinnen Sie die Einsicht, dass jede Unternehmung, egal in welcher Branche und von welcher Grösse, ein
Ziel eines Cyberangriffs werden kann. Es ist eine Frage des Aufwands, den der Angreifer dazu betreiben will.
• Bauen Sie ein effektives Sicherheitsdispositiv auf (folgender Präsentationsteil)
• Berücksichtigen Sie den Faktor "Mensch": Informieren und sensibilisieren Sie Ihre Anwender. Beim
Cyberangriff ist der Mensch in der Regel das schwächste Glied (Social Engineering). Aber: bei der
Bewältigung des Angriffs ist der Mensch eines der stärksten Elemente.
• Bereiten Sie sich vor. Üben Sie den Krisenfall. Testen Sie, ob Backups - geschützt vom übrigen Netzwerk –
im Notfall wiederherstellbar sind.
• Sprechen Sie über das Thema Cybersicherheit. Teilen Sie Ihre Erfahrungen, auch Ihre "Beinahe-Unfälle"
http://linkedin.com/in/andreas-plueer
| Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG
Welches sind meine konkreten Empfehlungen für Sie?
31
16.06.2021
Informationen rund um Energie
16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 32
Andreas Plüer
Bereichsleiter Digital Services
Telefon 071 440 63 33
andreas.plueer@ekt.ch
www.ekt.ch

Weitere ähnliche Inhalte

Ähnlich wie Webinar: Cyberangriff - Frontbericht

Schaeffer Jester Smart Metering Datensicherheit
Schaeffer Jester Smart Metering DatensicherheitSchaeffer Jester Smart Metering Datensicherheit
Schaeffer Jester Smart Metering DatensicherheitPhilippe A. R. Schaeffer
 
Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)Praxistage
 
CyberDirekt_Risikolage_2022_teaser.pdf
CyberDirekt_Risikolage_2022_teaser.pdfCyberDirekt_Risikolage_2022_teaser.pdf
CyberDirekt_Risikolage_2022_teaser.pdfTobiasBessel
 
Slides zum Impulsreferat: NIS2 - Was steckt konkret dahinter? - DNUG Stammtis...
Slides zum Impulsreferat: NIS2 - Was steckt konkret dahinter? - DNUG Stammtis...Slides zum Impulsreferat: NIS2 - Was steckt konkret dahinter? - DNUG Stammtis...
Slides zum Impulsreferat: NIS2 - Was steckt konkret dahinter? - DNUG Stammtis...DNUG e.V.
 
Der schnellste Weg, ihr Wissen zu schützen
Der schnellste Weg, ihr Wissen zu schützenDer schnellste Weg, ihr Wissen zu schützen
Der schnellste Weg, ihr Wissen zu schützenteam-WIBU
 
Mag.a Natascha Jäger (COGITANDA Dataprotect).
Mag.a Natascha Jäger (COGITANDA Dataprotect).Mag.a Natascha Jäger (COGITANDA Dataprotect).
Mag.a Natascha Jäger (COGITANDA Dataprotect).Agenda Europe 2035
 
Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...
Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...
Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...OPITZ CONSULTING Deutschland
 
It Sicherheit in der Instandhaltung
It Sicherheit in der InstandhaltungIt Sicherheit in der Instandhaltung
It Sicherheit in der InstandhaltungBranding Maintenance
 
Software That Matters - Agile Anforderungsanalyse mit Impact Mapping
Software That Matters - Agile Anforderungsanalyse mit Impact MappingSoftware That Matters - Agile Anforderungsanalyse mit Impact Mapping
Software That Matters - Agile Anforderungsanalyse mit Impact MappingNils Wloka
 
Werner Panhauser (Helvetia Versicherungen)
Werner Panhauser (Helvetia Versicherungen)Werner Panhauser (Helvetia Versicherungen)
Werner Panhauser (Helvetia Versicherungen)Praxistage
 
Mag. Rainer Michael Semper (T-Mobile Austria)
Mag. Rainer Michael Semper (T-Mobile Austria)Mag. Rainer Michael Semper (T-Mobile Austria)
Mag. Rainer Michael Semper (T-Mobile Austria)Praxistage
 

Ähnlich wie Webinar: Cyberangriff - Frontbericht (12)

Schaeffer Jester Smart Metering Datensicherheit
Schaeffer Jester Smart Metering DatensicherheitSchaeffer Jester Smart Metering Datensicherheit
Schaeffer Jester Smart Metering Datensicherheit
 
Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)
 
CyberDirekt_Risikolage_2022_teaser.pdf
CyberDirekt_Risikolage_2022_teaser.pdfCyberDirekt_Risikolage_2022_teaser.pdf
CyberDirekt_Risikolage_2022_teaser.pdf
 
Slides zum Impulsreferat: NIS2 - Was steckt konkret dahinter? - DNUG Stammtis...
Slides zum Impulsreferat: NIS2 - Was steckt konkret dahinter? - DNUG Stammtis...Slides zum Impulsreferat: NIS2 - Was steckt konkret dahinter? - DNUG Stammtis...
Slides zum Impulsreferat: NIS2 - Was steckt konkret dahinter? - DNUG Stammtis...
 
Der schnellste Weg, ihr Wissen zu schützen
Der schnellste Weg, ihr Wissen zu schützenDer schnellste Weg, ihr Wissen zu schützen
Der schnellste Weg, ihr Wissen zu schützen
 
Mag.a Natascha Jäger (COGITANDA Dataprotect).
Mag.a Natascha Jäger (COGITANDA Dataprotect).Mag.a Natascha Jäger (COGITANDA Dataprotect).
Mag.a Natascha Jäger (COGITANDA Dataprotect).
 
Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...
Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...
Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...
 
Internet of (Every)Thing
Internet of (Every)ThingInternet of (Every)Thing
Internet of (Every)Thing
 
It Sicherheit in der Instandhaltung
It Sicherheit in der InstandhaltungIt Sicherheit in der Instandhaltung
It Sicherheit in der Instandhaltung
 
Software That Matters - Agile Anforderungsanalyse mit Impact Mapping
Software That Matters - Agile Anforderungsanalyse mit Impact MappingSoftware That Matters - Agile Anforderungsanalyse mit Impact Mapping
Software That Matters - Agile Anforderungsanalyse mit Impact Mapping
 
Werner Panhauser (Helvetia Versicherungen)
Werner Panhauser (Helvetia Versicherungen)Werner Panhauser (Helvetia Versicherungen)
Werner Panhauser (Helvetia Versicherungen)
 
Mag. Rainer Michael Semper (T-Mobile Austria)
Mag. Rainer Michael Semper (T-Mobile Austria)Mag. Rainer Michael Semper (T-Mobile Austria)
Mag. Rainer Michael Semper (T-Mobile Austria)
 

Mehr von A. Baggenstos & Co. AG

Webinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissen
Webinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissenWebinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissen
Webinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissenA. Baggenstos & Co. AG
 
Azure Migration and Modernization Program (AMMP)
Azure Migration and Modernization Program (AMMP)Azure Migration and Modernization Program (AMMP)
Azure Migration and Modernization Program (AMMP)A. Baggenstos & Co. AG
 
Webinar: Gamechanger Microsoft Power Plattform
Webinar: Gamechanger Microsoft Power PlattformWebinar: Gamechanger Microsoft Power Plattform
Webinar: Gamechanger Microsoft Power PlattformA. Baggenstos & Co. AG
 
Webinar Darktrace: Fragen und Antworten
Webinar Darktrace: Fragen und AntwortenWebinar Darktrace: Fragen und Antworten
Webinar Darktrace: Fragen und AntwortenA. Baggenstos & Co. AG
 
Webinar: Darktrace - maximale Cybersecurity dank künstlicher Intelligenz
Webinar: Darktrace - maximale Cybersecurity dank künstlicher IntelligenzWebinar: Darktrace - maximale Cybersecurity dank künstlicher Intelligenz
Webinar: Darktrace - maximale Cybersecurity dank künstlicher IntelligenzA. Baggenstos & Co. AG
 
Windows 365 oder Azure Virtual Desktop?
Windows 365 oder Azure Virtual Desktop?Windows 365 oder Azure Virtual Desktop?
Windows 365 oder Azure Virtual Desktop?A. Baggenstos & Co. AG
 
Neues CSP Lizenzmodell - Microsoft New Commerce Experience
Neues CSP Lizenzmodell - Microsoft New Commerce ExperienceNeues CSP Lizenzmodell - Microsoft New Commerce Experience
Neues CSP Lizenzmodell - Microsoft New Commerce ExperienceA. Baggenstos & Co. AG
 
Webinar: Azure Virtual Desktop in der Praxis
Webinar: Azure Virtual Desktop in der PraxisWebinar: Azure Virtual Desktop in der Praxis
Webinar: Azure Virtual Desktop in der PraxisA. Baggenstos & Co. AG
 
Webinar: Neue Arbeitswelt – Zusammenarbeiten mit Lenovo Teams Raum Systemen
Webinar: Neue Arbeitswelt – Zusammenarbeiten mit Lenovo Teams Raum SystemenWebinar: Neue Arbeitswelt – Zusammenarbeiten mit Lenovo Teams Raum Systemen
Webinar: Neue Arbeitswelt – Zusammenarbeiten mit Lenovo Teams Raum SystemenA. Baggenstos & Co. AG
 
Webinar: Geodaten aus der Cloud - ready for the future?
Webinar: Geodaten aus der Cloud - ready for the future?Webinar: Geodaten aus der Cloud - ready for the future?
Webinar: Geodaten aus der Cloud - ready for the future?A. Baggenstos & Co. AG
 
Webinar: Wie Hunziker Betatech Microsoft Teams einsetzt
Webinar: Wie Hunziker Betatech Microsoft Teams einsetztWebinar: Wie Hunziker Betatech Microsoft Teams einsetzt
Webinar: Wie Hunziker Betatech Microsoft Teams einsetztA. Baggenstos & Co. AG
 
Webinar: Microsoft Teams im Kundenservice
Webinar: Microsoft Teams im KundenserviceWebinar: Microsoft Teams im Kundenservice
Webinar: Microsoft Teams im KundenserviceA. Baggenstos & Co. AG
 
Webinar: Kommunizieren Sie schon oder telefonieren Sie noch?
Webinar: Kommunizieren Sie schon oder telefonieren Sie noch?Webinar: Kommunizieren Sie schon oder telefonieren Sie noch?
Webinar: Kommunizieren Sie schon oder telefonieren Sie noch?A. Baggenstos & Co. AG
 
Webinar: Information Governance in Microsoft 365
Webinar: Information Governance in Microsoft 365Webinar: Information Governance in Microsoft 365
Webinar: Information Governance in Microsoft 365A. Baggenstos & Co. AG
 
Webinar: Advanced Threat Protection für maximale Clientsecurity
Webinar: Advanced Threat Protection für maximale ClientsecurityWebinar: Advanced Threat Protection für maximale Clientsecurity
Webinar: Advanced Threat Protection für maximale ClientsecurityA. Baggenstos & Co. AG
 
Erfahrungsaustausch nach einem Monat Homeoffice
Erfahrungsaustausch nach einem Monat HomeofficeErfahrungsaustausch nach einem Monat Homeoffice
Erfahrungsaustausch nach einem Monat HomeofficeA. Baggenstos & Co. AG
 

Mehr von A. Baggenstos & Co. AG (20)

Webinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissen
Webinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissenWebinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissen
Webinar: Neues Datenschutzgesetz und Microsoft 365 - das müssen Sie wissen
 
Azure Migration and Modernization Program (AMMP)
Azure Migration and Modernization Program (AMMP)Azure Migration and Modernization Program (AMMP)
Azure Migration and Modernization Program (AMMP)
 
Webinar: Gamechanger Microsoft Power Plattform
Webinar: Gamechanger Microsoft Power PlattformWebinar: Gamechanger Microsoft Power Plattform
Webinar: Gamechanger Microsoft Power Plattform
 
Webinar Darktrace: Fragen und Antworten
Webinar Darktrace: Fragen und AntwortenWebinar Darktrace: Fragen und Antworten
Webinar Darktrace: Fragen und Antworten
 
Webinar: Darktrace - maximale Cybersecurity dank künstlicher Intelligenz
Webinar: Darktrace - maximale Cybersecurity dank künstlicher IntelligenzWebinar: Darktrace - maximale Cybersecurity dank künstlicher Intelligenz
Webinar: Darktrace - maximale Cybersecurity dank künstlicher Intelligenz
 
Windows 365 oder Azure Virtual Desktop?
Windows 365 oder Azure Virtual Desktop?Windows 365 oder Azure Virtual Desktop?
Windows 365 oder Azure Virtual Desktop?
 
Neues CSP Lizenzmodell - Microsoft New Commerce Experience
Neues CSP Lizenzmodell - Microsoft New Commerce ExperienceNeues CSP Lizenzmodell - Microsoft New Commerce Experience
Neues CSP Lizenzmodell - Microsoft New Commerce Experience
 
Webinar: Azure Virtual Desktop in der Praxis
Webinar: Azure Virtual Desktop in der PraxisWebinar: Azure Virtual Desktop in der Praxis
Webinar: Azure Virtual Desktop in der Praxis
 
Webinar: Neue Arbeitswelt – Zusammenarbeiten mit Lenovo Teams Raum Systemen
Webinar: Neue Arbeitswelt – Zusammenarbeiten mit Lenovo Teams Raum SystemenWebinar: Neue Arbeitswelt – Zusammenarbeiten mit Lenovo Teams Raum Systemen
Webinar: Neue Arbeitswelt – Zusammenarbeiten mit Lenovo Teams Raum Systemen
 
Webinar: Geodaten aus der Cloud - ready for the future?
Webinar: Geodaten aus der Cloud - ready for the future?Webinar: Geodaten aus der Cloud - ready for the future?
Webinar: Geodaten aus der Cloud - ready for the future?
 
Webinar: Wie Hunziker Betatech Microsoft Teams einsetzt
Webinar: Wie Hunziker Betatech Microsoft Teams einsetztWebinar: Wie Hunziker Betatech Microsoft Teams einsetzt
Webinar: Wie Hunziker Betatech Microsoft Teams einsetzt
 
Webinar: Microsoft Teams im Kundenservice
Webinar: Microsoft Teams im KundenserviceWebinar: Microsoft Teams im Kundenservice
Webinar: Microsoft Teams im Kundenservice
 
Webinar: Kommunizieren Sie schon oder telefonieren Sie noch?
Webinar: Kommunizieren Sie schon oder telefonieren Sie noch?Webinar: Kommunizieren Sie schon oder telefonieren Sie noch?
Webinar: Kommunizieren Sie schon oder telefonieren Sie noch?
 
Webinar: Information Governance in Microsoft 365
Webinar: Information Governance in Microsoft 365Webinar: Information Governance in Microsoft 365
Webinar: Information Governance in Microsoft 365
 
Datenverschlüsselung in der Praxis
Datenverschlüsselung in der PraxisDatenverschlüsselung in der Praxis
Datenverschlüsselung in der Praxis
 
Webinar: Advanced Threat Protection für maximale Clientsecurity
Webinar: Advanced Threat Protection für maximale ClientsecurityWebinar: Advanced Threat Protection für maximale Clientsecurity
Webinar: Advanced Threat Protection für maximale Clientsecurity
 
Erfahrungsaustausch nach einem Monat Homeoffice
Erfahrungsaustausch nach einem Monat HomeofficeErfahrungsaustausch nach einem Monat Homeoffice
Erfahrungsaustausch nach einem Monat Homeoffice
 
Webinar: 99% mehr Sicherheit mit MFA
Webinar: 99% mehr Sicherheit mit MFAWebinar: 99% mehr Sicherheit mit MFA
Webinar: 99% mehr Sicherheit mit MFA
 
5 Schritte zu mehr Cybersecurity
5 Schritte zu mehr Cybersecurity5 Schritte zu mehr Cybersecurity
5 Schritte zu mehr Cybersecurity
 
Microsoft Teams im Unternehmen
Microsoft Teams im UnternehmenMicrosoft Teams im Unternehmen
Microsoft Teams im Unternehmen
 

Webinar: Cyberangriff - Frontbericht

  • 1. Alarmstufe Rot Cyberangriff! 16.05.2021 / Erfahrungsbericht und Ratschläge aus der Praxis von Andreas Plüer / Referat A. Baggenstos & Co. AG
  • 2. Alarmstufe Rot: Wie ich einen Hackerangriff (üb)erlebte • Was ist passiert? Welche Auswirkungen hatte der Angriff auf das Unternehmen • Weshalb ist das passiert? Wie sind die Hacker vorgegangen • Womit hätte der Angriff erschwert werden können? Präventive Vorkehrungen zum Schutz vor einem Cyberangriff • Welches sind meine Empfehlungen für Sie? Konkrete Ratschläge zur Risikominderung 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 3
  • 3. Vorgeschichte 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 4 Quelle: Meier Tobler AG Quelle: Meier Tobler AG
  • 4. Ruhe vor dem Sturm 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 5 Quelle: LAAX / Danuser Quelle: shanemyersphoto
  • 5. Die SMS, mit der mein Alptraum begann… 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 6 06:45
  • 6. Angriff! 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 7 Quelle: James Thew
  • 7. Zeitlicher Ablauf nach dem Angriff am 23./24.07.2019 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 8 Information Geschäftsleitung Meier Tobler durch CFO Einberufung Krisenstab, Information der Führungskräfte, Rückholung von Schlüsselpersonen aus den Ferien (u.a. CIO), Bezug «War Room» CIO eingetroffen, erste Krisenstabsitzung zur Lagebeurteilung und Beschluss von Softortmassnahmen Schadensbild ermittelt, Cyber Security Experten aufgeboten Priorisierung erstellt, Wiederherstellungsarbeiten gestartet Ungewöhnliches Verhalten der IT-Überwachungssysteme, Systemfunktionen gestört, unübersichtliche Gesamtlage für den IT-Dienstleister, Eskalation innerhalb seiner Pikettorganisation Feststellung einer Malware-Attacke. Entscheid zum sofortigen, geordneten Ausschalten aller Systeme CIO-Stv. informiert CFO (Leiter Krisenstab) und CIO, Statusdeklaration «Major Incident»
  • 8. Reaktion der Medien: Beitrag SRF Börse vom 26.07.19 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 9 Quelle: SRF Börse
  • 9. 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Tag 1 Tag 2 Tag 3 Tag 4 Tag 5 Tag 6 Tag 7 Tag 8 Tag 71 Liefer- und Servicebereitschaft in % Krisenbewältigung auf der Zeitachse 21.10.2020 | Alarmstufe Rot: Referat CoWorking Weinfelden | © EKT AG 10 Telefonzentrale operativ EDR/SOC installiert SAP operativ auf 20 Clients Zentrallager 1 operativ Service App operativ Erste Kunden- lieferung 200 Arbeits- plätze operativ Zentrallager 2 operativ Verteilung neu aufgesetzte PCs Tag 130
  • 10. Krisenstab im «War Room» 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 11 Quelle: Meier Tobler AG
  • 11. Weshalb ist das passiert? Wie gingen die Täter vor? (Erklärung von Melani, Nationales Zentrum für Cybersicherheit) 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 12 oder CobaltStrike Quelle: melani.admin.ch
  • 12. Wie gingen die Täter vor? (bitte eine Erklärung, die alle verstehen!) 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 13 Bösewicht (Cyber-Angreifer) Haus (Unternehmung)
  • 13. Zuerst etwas zum Thema Netzwerksicherheit: Zugriffsversuch von aussen 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 14 Wachhund (Firewall) !#
  • 14. Wie gingen die Täter vor? Phase «Delivery», Spear Phishing mit Schadprogramm 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 15 Postbote (E-Mail mit Attachment) Bewohner (Benutzer) Paket (Malware)
  • 15. Wie gingen die Täter vor? Phase «Installation» der Malware 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 16 ??? ferngesteuerter Spielroboter (Emotet Malware)
  • 16. Wie gingen die Täter vor? Phase «Command & Control» 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 17 Funkgerät zum Bösewicht (Beacon zum Command-and-Control Server) Bösewicht im Versteck (Professionelle Angreifergruppe mit Command-and-Control Server «C&C») «Wer im Haus ist, ist ein Freund, der darf raus und wieder rein» (Dynamischer Paketfilter der Firewall)
  • 17. Wie gingen die Täter vor? Phase «Installation» weiterer Schadsoftware 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 18 Werkzeugkasten (Cobalt Strike Pen-Test-Soft- ware)
  • 18. Wie gingen die Täter vor? Phase «Installation» weiterer Schadsoftware 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 19
  • 19. Wie gingen die Täter vor? Phase «Installation» weiterer Schadsoftware 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 20
  • 20. Wie gingen die Täter vor? Phase «Installation» weiterer Schadsoftware 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 21 ??? ✓ Funkgerät und Werkzeugkasten getarnt (Kommunikation limitiert, Domain Fronting, Malleable C2 Profiles)
  • 21. Wie gingen die Täter vor? Phase «Installation» weiterer Schadsoftware 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 22 Passepartout für alle Räume (Lateral movement) Ausweisfälschung (Privillege escalation) Kopierer von Bewohnern (Hash reverse decryption)
  • 22. Wie gingen die Täter vor? Phase «Command & Control» 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 23 Bösewicht kopiert Bewohner, gibt ihm gefälschten Ausweis und Passepartout (Vertical privilege escalation, gestohlener Benutzer mit Domain-Admin-Rechten)
  • 23. Wie gingen die Täter vor? Phase «Action on Objectives» 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 24 Angreifer gewinnt Zugang zur Haus- zentrale mit Passepartout und übernimmt damit die Kontrolle über das ganze Haus (Angreifer übernimmt Domain Controller, dann «Actions on Objective», d.h. Exfiltration von Daten, Sabotage, Spionage, Verschlüsselung) Hauszentrale (Domain Controller)
  • 24. Wie gingen die Täter vor? Phase «Action on Objectives» 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 25 Wohnung wird unbewohnbar gemacht Schlüssel ausgewechselt Lösegeldforderung (MegaCortex-Verteilung, Verschlüsselung aller Server, Clients und Daten, Lösegeldforderung: Bitcoins)
  • 25. Nun wissen Sie Bescheid! Kurze Zusammenfassung der Hauptdarsteller 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 26 Bösewicht Cyber-Angreifer Wachhund Firewall Postbote E-Mail mit Attachment Spielroboter Emotet Malware Funkgerät Beacon zum C&C Server Cobalt Strike Pen-Test-Software Werkzeugkasten Privillege escalation Ausweisfälschung Passepartout Lateral movement
  • 26. Weshalb ist das passiert? Wie gingen die Täter vor? (jetzt ist vieles klarer!) 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 27 oder CobaltStrike Quelle: melani.admin.ch
  • 27. Weshalb ist das passiert? Wie gingen die Täter vor? (Fortsetzung) 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 28 Quelle: melani.admin.ch oder MegaCortex
  • 28. Welche Vorkehrungen hätten den Angriff erschwert? 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 29
  • 29. Welche Vorkehrungen hätten den Angriff erschwert? 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 30 • Ausbruchszeit zwischen Erstangriff (Emotet) und Hauptangriff (CobaltStrike) bei Meier Tobler: 72 Tage • Diese Zeit wäre zur Angriffsbekämpfung zur Verfügung gestanden, wäre der Angriff entdeckt worden A N Quelle: CrowdStrike
  • 30. • Gewinnen Sie die Einsicht, dass jede Unternehmung, egal in welcher Branche und von welcher Grösse, ein Ziel eines Cyberangriffs werden kann. Es ist eine Frage des Aufwands, den der Angreifer dazu betreiben will. • Bauen Sie ein effektives Sicherheitsdispositiv auf (folgender Präsentationsteil) • Berücksichtigen Sie den Faktor "Mensch": Informieren und sensibilisieren Sie Ihre Anwender. Beim Cyberangriff ist der Mensch in der Regel das schwächste Glied (Social Engineering). Aber: bei der Bewältigung des Angriffs ist der Mensch eines der stärksten Elemente. • Bereiten Sie sich vor. Üben Sie den Krisenfall. Testen Sie, ob Backups - geschützt vom übrigen Netzwerk – im Notfall wiederherstellbar sind. • Sprechen Sie über das Thema Cybersicherheit. Teilen Sie Ihre Erfahrungen, auch Ihre "Beinahe-Unfälle" http://linkedin.com/in/andreas-plueer | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG Welches sind meine konkreten Empfehlungen für Sie? 31 16.06.2021
  • 31. Informationen rund um Energie 16.06.2021 | Alarmstufe Rot: Cyberangriff!. Referat Referat A. Baggenstos & Co. AG | © EKT AG 32 Andreas Plüer Bereichsleiter Digital Services Telefon 071 440 63 33 andreas.plueer@ekt.ch www.ekt.ch