Prozess-Parasiten

Angriffe auf Geschäftsprozesse – von Finanztransaktionen bis Logistik

Nach dem Ransomware-Schock des vergangenen Jahres droht die nächste Gefahrenwelle für Unternehmen: das Kapern ganzer Geschäftsprozesse oder „Business-Process- Compromise“ (BPC) durch gerissene Cyberkriminelle.

Von Richard Werner, Hallbergmoos

Solange kriminelle Machenschaften nicht auffallen, werden sie und die Täter auch nicht verfolgt – in diesem Sinne versuchen auch Cyberkriminelle schon seit einiger Zeit, möglichst „unter dem Radar“ zu bleiben. Beim „Business-Process-Compromise“ (BPC) passiert das besonders perfide, indem – meist nach längerer Vorbereitungszeit – kleine Modifikationen an automatisiert ablaufenden Geschäftsprozessen letztlich große Wirkung zeigen.

Ein ähnliches Konzept kennt man aus Kriminalromanen und -filmen, in denen Täter praktisch unerkannt entkommen, weil sie die Gewohnheiten ihrer Opfer genau kannten und deshalb in einem geeigneten Moment zuschlagen konnten – so stellt sich das Verbrechen dann zunächst einmal als Unfall oder Fehler dar. In der Cyberkriminalität funktioniert das genauso: Für den oder die Angreifer ist es entscheidend, sich im anvisierten Unternehmen einzunisten und von dessen Arbeitsabläufen so viel wie möglich mitzubekommen, um an der passenden Stelle und zur passenden Zeit zuzuschlagen.

In seinen Bedrohungsvorhersagen für 2017 hat Trend Micro erstmals prophezeit, dass Angriffe aus der Kategorie Business-Process-Compromise (BPC) stark zunehmen werden. Dieser Begriff ist in der IT-Welt neu und beschreibt einen Angriff, bei dem Kriminelle legitime Geschäftsprozesse manipulieren und so als Hebel zu ihrem Vorteil nutzen – etwa, um Geld abzuschöpfen oder Dienste zu missbrauchen.

Angriffsphasen

Das BPC läuft dabei in mehreren Phasen ab und unterscheidet sich zunächst nicht sehr von anderen fortgeschrittenen Angriffen (vgl. Abb. 1): Zuerst wird das Netzwerk des Opfers infiltriert – in der Regel ist der einfachste Weg hierzu Spear-Phishing per E-Mail oder andere Formen des Social-Engineering. Schon hier bleibt man unauffällig: Unternehmen werden mittlerweile so häufig mit E-Mail-Angriffen bombardiert, dass Angriffe auf einzelne oder wenige Zielpersonen im Unternehmen meist in der Masse untergehen und selbst bei ihrer Entdeckung keine besondere Aufmerksamkeit erfahren.

Fällt ein Opfer auf diesen Trick herein und klickt beispielsweise auf einen infizierten E-Mail-Anhang oder einen mitgeschickten Link, erfolgt die eigentliche Attacke, um ein internes System zu übernehmen. Ist dieser Brückenkopf errichtet, breiten sich die Kriminellen über das Netzwerk weiter in der Opfer-Organisation aus – man spricht hier von einer Seitwärtsbewegung oder „Lateral Movement“. Auch dabei gehen die Angreifer in der Regel sehr behutsam zu Werke: „Nur nicht auffallen“, lautet ihre oberste Devise – oft werden lediglich interessante Daten, wie beispielsweise Passwörter und eingesetzte Tools, oder Kommunikationswege überwacht.

Abbildung 1: Die vier Hauptphasen eines Business-Process-Compromise-(BPC)-Angriffs

Wie der finale Schlag letztlich aussieht, muss bei der Erstinfektion und während der Ausspähphase noch gar nicht feststehen. Die Entscheidung der Online-Kriminellen richtet sich in der Tat nach den Bedingungen, die sie bei ihren Opfern vorfinden – das Ziel der Täter ist aber stets Geld. Hierbei lassen sich prinzipiell zwei Vorgehensweisen unterscheiden: Erstens das schnelle Abgreifen großer Summen und zweitens das Verändern kleiner Prozesse, die zum „Verschwinden“ geringer Summen, von Waren oder dem Umleiten von Rechnungen führen. Der dritte Schritt besteht daher in der gewünschten Manipulation der ausgespähten Prozesse oder dem Anstoßen unautorisierter Vorgänge – im vierten Schritt erhalten die Angreifer ihre „Belohnung“.

Variante 1: Big Bang

Das bislang größte Medienecho haben diejenigen Angriffe erfahren, bei denen in kurzer Zeit (zum Teil sehr!) große Summen abgeflossen sind. Im Fokus stehen dabei vor allem Unternehmen aus der Finanzbranche und solche, die oft größere Beträge transferieren. Ziel der Angreifer sind Geschäftsprozesse, die automatisiert und damit unauffällig manipulierbar ablaufen. Bekannt geworden sind etwa die Beispiele der Bangladesch Bank (vgl. en.wikipedia.org/wiki/2016_Bangladesh_Bank_heist), die in einem solchen Angriff rund 100 Millionen US-Dollar verloren hat, sowie der Fall der Tesco Bank in London, die knapp 2,5 Millionen Pfund einbüßte (vgl. www.thisismoney.co.uk/money/saving/article-3930118/Tesco-Bank-hackhappened-protect-account.html).

Der Angriff auf die Bangladesch Bank vom Februar 2016 ist der bislang am besten dokumentierte Vorfall: Die Angreifer konnten Malware in die Systeme der Bank einschleusen und spionierten mit deren Hilfe die üblichen Transfervorgänge aus – zudem stahlen sie Passwörter von Mitarbeitern, die mit solchen Transaktionen betraut waren. Beim eigentlichen „Big-Bang“-Angriff stellten die Cybergangster über 30 Zahlungsanweisungen im Gesamtwert von 951 Millionen US-Dollar aus, die an die Federal Reserve Bank in New York gingen. Zum Glück für die Bangladesch Bank schlugen die internen Systeme der New Yorker Bank bei diesem ungewöhnlichen Verhalten Alarm, sodass ein Großteil der Transfers – rund 851 Millionen US-Dollar – noch gestoppt werden konnte.

Variante 2: Steter Tropfen

Letztendlich sind solche spektakulären Angriffe aber eher die Ausnahme, wenn es um BPC geht – die weitaus häufigeren Fälle mit enormer Dunkelziffer sind Attacken, die einem Parasitenbefall ähneln. Diese erfolgen gelegentlich mit klar umrissenen Zielen, viel häufiger verfolgen sie aber einfach nur zufällig aufgetane Gelegenheiten: Auch ungezielte Angriffe mit Malware haben heute fast immer einen „Bot“-Anteil, der es dem Angreifer ermöglicht, zu jeder Zeit Kontakt zum befallenen System aufzunehmen. Gekaperte Privat-PCs werden dann häufig für Spam, Denial-of-Service- (DoS) oder ähnliche Angriffe verwendet. Bei Firmenrechnern sehen sich die Angreifer hingegen erst einmal um und überlegen, wie sie gefundene Daten oder Ressourcen zu Geld machen können.

Während klassische Fälle Datendiebstahl oder Ransomware- Attacken zur Folge haben, spionieren Cyberkriminelle in komplexeren Fällen mit dem Ziel BPC Passwörter aus und übernehmen wichtige Identitäten, die sie nutzen, um Geschäftsprozesse gezielt zu manipulieren. Beispielsweise können sie vor einer planmäßigen Auszahlung die Kontodaten eines Kreditors ändern – direkt im Buchhaltungssystem mithilfe der gestohlenen Passwörter. Eine solche Manipulation fällt meist erst auf, wenn die Mahnung des Lieferanten eintrifft und eine entsprechende Untersuchung eingeleitet wird. AGB oder Kontodaten lassen sich teils sogar ändern, indem man Drucker und Druckströme manipuliert, sodass nicht einmal ein Eingriff in das Buchhaltungssystem nötig ist: Denn häufig werden heute ja auch wichtige Stammdaten einfach mit ausgedruckt, anstatt vorgedrucktes Briefpapier zu verwenden.

Zudem werden Rechnungen nach dem Druck nur noch selten kontrolliert – vor allem, wenn es sich um Rechnungsläufe mit einer sehr großen Anzahl von Empfängern handelt. Einmal mehr besteht das Hauptproblem aus der Sicht der Unternehmen in der Zeitspanne zwischen der Tat und ihrer Entdeckung. Überhaupt einen Angriff zu erkennen, ist hier schon eine Herausforderung: Denn bei einer geschickten Attacke verwischt der Kriminelle seine Spuren und setzt unter Umständen die Änderungen wieder zurück, sodass nicht mehr nachvollziehbar ist, wie Gelder verschwunden sind. Eine Untersuchung des Vorfalls liefert dann oft keine Ergebnisse und am Ende geht man womöglich von menschlichem Versagen aus. Ist ein Angreifer vorsichtig genug, kann er sich im „Idealfall“ wie ein Parasit jahrelang unbemerkt immer wieder etwas abzweigen.

BPC as a Service

In jüngster Zeit lassen sich Unterkategorien von BPC-Attacken identifizieren – eine davon ist die der Auftragsangriffe, also Attacken, die nach einem Deal zwischen „Auftraggebern“ und „Auftragstätern“ starten. Entsprechende Angebote im Darknet umfassen verschiedene Optionen vom Ausspionieren benötigter Daten bis hin zur Manipulation sämtlicher oder spezieller Angebote innerhalb automatisierter Systeme. Die „Anbieter“ sind dabei politisch neutral und skrupellos – ihre „Ethik“ richtet sich nur nach der Anzahl der gezahlten Bitcoins.

Möchten Auftraggeber beispielsweise größere Ladungen Drogen am Zoll vorbeischmuggeln, können solche „Dienstleistungen“ helfen: Mittels BPC lassen sich beispielsweise in Logistikunternehmen entsprechende Frachten umetikettieren oder bei automatischen Verladesystemen, wie sie beispielsweise in den großen Containerhäfen eingesetzt werden, an andere Positionen stellen – so geschehen im Hafen Antwerpen im Jahre 2013: Dort wurden mit einer gewissen Regelmäßigkeit Container „vermisst“. Bei der Untersuchung stellte sich dann heraus, dass Kriminelle die Systeme so manipuliert hatten, dass einige Container harmloser erschienen als sie waren, indem beispielsweise das Herkunftsland geändert wurde, um weniger strenge Kontrollen zu provozieren – andere wiederum wurden bei der automatischen Verladung einfach direkt auf bereits bereitstehende LKWs umgeladen.

Das gewisse Extra

Die hier verwendete Methode lässt sich in beinahe jeder Fabrik und Logistikeinrichtung nachstellen: Da Waren heute praktisch überall computergesteuert erfasst und weitergeleitet werden, lassen sie sich auch mittels rein digitaler Manipulation stehlen. Zudem können Cyberkriminelle ganze Produktionsanlagen sabotieren, denn bereits winzige Änderungen in den Steueranlagen (z. B. das Verschieben einer Kommastelle) können schon drastische Änderungen in der Produktion hervorrufen – die dann etwa zu viel erzeugten Waren gehen direkt zugunsten der Online-Gangster.

Ein weiteres Beispiel für solche Auftragsarbeiten wäre die Manipulation von Webshops: Werden zum Beispiel Preise und Stückzahlen anders verknüpft als vorgesehen, kann man aus fünf Artikeln zu einem Euro leicht einen Artikel zu fünf Euro machen. Solche Angriffe gab es durchaus schon früher als Injection-Attacken – diese werden jedoch mittlerweile meist erkannt. Mit den Methoden des BPC können Cyberkriminelle aber die Erkennung in Form des dafür erforderlichen automatisierten Prozesses aushebeln und die von Kunden zu viel bezahlten Warenpreise an sich selbst überweisen.

Gegenmaßnahmen

Kommt man den Angreifern überhaupt auf die Schliche, führt die Spur in der Regel ins Ausland – ein Zugriff ist somit oft unmöglich. Und mögliche Auftraggeber hinter den Cyberkriminellen findet man freilich noch seltener: Geldtransfers über Bitcoin sowie anonyme Zugänge ermöglichen den Tätern ein weitgehend ungestraftes Vorgehen.

Das wirksamste Mittel, um sich vor BPC-Attacken zu schützen, sind funktionierende Prozesse: Schöpfen Mitarbeiter Verdacht, sollen sie sich an den internen Sicherheitsbeauftragten oder bei dessen Fehlen an die IT-Abteilung wenden. Die Verantwortlichen wiederum sind gut beraten, sich bereits bei ersten Anzeichen solcher Angriffe an die Polizei und Kriminalämter zu wenden – es handelt sich hier um Verbrechen, die auch angezeigt werden sollten!

Freilich braucht es für all das die passende Unternehmenskultur: Eine Aufgabe bleibt es deshalb, Mitarbeiter entsprechend zu schulen und ein angstfreies Klima zu schaffen. Fehler durch mangelndes Wissen oder Unachtsamkeit werden immer passieren – das ist zwar bedauerlich, aber viel wichtiger als Strafen anzudrohen ist es, wachsame Kollegen zu belohnen.

Richard Werner ist Business Consultant bei Trend Micro Deutschland.