Vor dem Bildschirm flackern die Zeichen, im Halbdunkel ist die Silhouette eines jungen Mannes zu erkennen. Die Kapuze tief ins Gesicht gezogen. Die Finger fliegen über die Tastatur. Neben dem Tisch stapeln sich schon wieder die Mate-Flaschen. Nachdem die Augen fast zufallen, nur noch ein paar Klicks, erscheint auf dem Bildschirm endlich das angestrebte Ziel.

Eine Login-Maske taucht auf. Wie von Zauberhand und mit einer rasenden Geschwindigkeit werden sowohl Benutzername und Passwort mit kryptischen Zeichen eingegeben. 2-3 Sekunden später ist das Login überwunden und auf dem Bildschirm erscheint eine Nutzerdatenbank. Jetzt noch schnell die Daten sichern, das vorgefertigte Erpresserschreiben schicken und dann in den wohlverdienten Schlaf fallen. Was für ein Tag, wieder tausende Euro reicher …

So ungefähr sah es aus, als Thomas Haase, Leiter des Penetration Testings und der IT-Forensik in der T-Systems Multimedia Solutions (MMS) im Landwirtschaftsbetrieb arbeitete. Na gut, lassen wir den jungen Mann, die Mate-Flaschen und den Kapuzenpulli weg. Nacht war es auch nicht, sondern sogar sehr früh (um nicht zu sagen viel zu früh) am Morgen. In Wahrheit schlafen Hacker nämlich sehr gern und ausreichend.

Wie angreifbar ist der Bauernhof?

An diesem Tag führte die Arbeit Thomas in eine für ihn eher ungewöhnliche Gegend: er befand sich mitten auf einem Bauernhof! Cyber- Security und Schweinestall? Das passt doch eigentlich gar nicht zusammen – mag man vielleicht denken. Aber auch die Landwirtschaft wird immer mehr digitalisiert. Geräte und Fuhrpark, zum Beispiel Traktoren oder Milch-Anlagen, werden immer häufiger vernetzt. „Bauern sitzen heute fast schon auf einem rollenden Computer“, sagt Thomas.  Seine Aufgabe war es daher, die Sicherheit der vernetzten Geräte zu prüfen.

Bei der Einsatzbesprechung entpuppte sich der Bauer, den Thomas zuvor vergeblich in den Ställen gesucht hatte, als IT-Leiter des ca. 100 Mitarbeiter umfassenden Betriebs. Der stellte ihm die Infrastruktur des recht großen Betriebs vor. Schnell wurde klar, hier gibt es einiges zu tun. Computer waren komplett ungeschützt und leicht für Fremde zugänglich. Die Arbeitsplätze waren weit von dem entfernt, was Thomas eigentlich gewohnt ist. Vom „Clean Desk“ hatte hier anscheinend noch keiner etwas gehört. Man könnte es auch so ausdrücken: Das was Thomas hier sah glich einem Paradies für Hacker.

Ein Klebezettel zur Passwortverwaltung

Besser wurde es auch nicht, als Thomas den Leiter der IT nach den Passwörtern für die Systeme fragte. Denn daraufhin bekam er einen Post-it in die Hand gedrückt, auf dem ungefähr zehn Passwörter mit Benutzernamen standen. Mit diesem Klebezettel gab der IT-Leiter Thomas also die komplette Infrastruktur in die Hand. Damit könnte er den gesamten Betrieb lahm legen, sagt er. Das größte Problem in den Augen des IT-Leiters sei aber, dass seine Mitarbeiter immer alle möglichen Anhänge in E-Mails öffnen und Passwörter nicht sicher wählen würden. Unvertrauliche Inhalte klicken und schwache Passwörter?!

Phishing-Test: Wer geht ins Netz?

Also beschloss er, hier muss erstmal eine Schulung zur Sensibilisierung der Mitarbeiter durchgeführt werden.  Dazu bereitete er im Vorfeld einen Phishing-Test vor. Also eine Mail, die den Empfänger dazu bringen soll, auf einen Link zu klicken, um so einen Virus auf deren PC zu installieren. Als Szenario wählte er einen wütenden Anwohner, welcher sich über die Geruchsbelästigung der Gülleanlage beschwerte.

Jetzt hieß es erstmal abwarten. Auf keinem Bildschirm flackerte ein Zeichen, es gab nicht mal einen Bildschirm. Es gab auch kein Halbdunkel und keinen jungen Mann mit Kapuze. In der Dunkelheit des Rechenzentrums startete ein kleines Skript, welches  in rasender Geschwindigkeit die Mails versendet hatte. Auf einem Server wartete die Landingpage auf die potenziellen Opfer. Nach zwei Minuten öffnete das erste Opfer die Mail und klickte auf den darin enthaltenen Link. Es informierte sich über den Test und wie es die Phishingmail hätte erkennen können. Denn normalerweise wäre nun der Zeitpunkt gewesen, an dem das Opfer sich eine Schadsoftware eingefangen hätte. Der E-Mail-Leser wurde informiert, dass alles anonym und datenschutzkonform ausgewertet wurde und keine Rückschlüsse auf seine Person gezogen werden können.

Bei diesem einen „Opfer“ blieb es jedoch (leider) nicht. Knapp 95% der Mitarbeiter hatten auf den Link geklickt. Fast die Hälfte der Mitarbeiter hatte die Mail als verdächtig an die IT-Abteilung weitergeleitet, dann aber doch auf den Link geklickt – „aus Neugier“. Hier musste er also bei Null anfangen… In der Awareness-Schulung lernten die Mitarbeiter dann also was Phishing-Mails sind, wie man sie erkennt und was man tun sollte, wenn man so eine verdächtige Mail bekommt. Die Challenge dabei: Thomas durfte nicht zu sehr ins technische Detail gehen. Denn hier trafen zwei einander völlig fremde Welten aufeinander. Während er ohne Laptop und IT nicht arbeiten könnte, sieht man die PCs hier eher als Hilfsmittel. Hier ist die Geburt eines Kalbes viel wichtiger. Trotzdem geht die Digitalisierung auch nicht an der Landwirtschaft vorbei. Dafür müssen die Mitarbeiter geschult werden.

Wie geht es weiter?

Momentan ist Thomas weiterhin auf dem Betrieb damit beschäftigt, die Fahrzeugmanipulation durchzuführen. Denn die kann man auch über GPS fernsteuern. Aber dazu später mehr in der Fortsetzung…

Sicherheitslücken aufdecken, bevor andere sie nutzen können

>Unsere Angebote rund um Pentest und Pentestlab