English

Der Target-Hack: Wie ein optimales Vorgehen bei der Netzwerksicherung den Angriff hätte verhindern können

von VPNHaus | 27.02.2014 |2 Factor Authentication, Endpoint Management, Industry Commentary

Wer hätte gedacht, dass ein HLK-System (Heizung, Lüftung, Klimatechnik) zum Verlust von Daten von Millionen Menschen führen könnte? Target mit Sicherheit nicht. Vor kurzem wurde bekannt, dass sich die Hacker beim Angriff auf Target wahrscheinlich aus der Ferne über die Unterwanderung eines Target-Vertragsunternehmens für HLK-Systeme Zugriff auf die Netzwerkbereiche beschafft hatten, in denen die Kundendaten gespeichert wurden.

Schauen wir uns einmal an, wie dieses spezielle Schadprogramm (Advanced Persistent Threat (APT)) Zugriff auf Targets Kundendaten erhalten konnte.


  • Laut Informationen des Sicherheitsexperten Brian Krebs begann alles mit einem E-Mail-Angriff. Die mit dem Schadprogramm verbundene E-Mail wurde vermutlich an eine Vielzahl von Zieladressen geschickt, welche aus Targets öffentlich zugänglicher Lieferantendokumentation gesammelt worden waren. Das Schadprogramm wurde dann von einem Auftragnehmer bei Fazio Mechanical, einem Unternehmen für Heizung-, Lüftungs- und Kältetechnik heruntergeladen. Das Unternehmen war mit der Wartung von Targets HLK-System beauftragt worden. Bei dem heruntergeladenen Schadprogramm handelt es sich wahrscheinlich um Citadel, einen vom Zeus-Banking-Trojaner abgeleiteten Bot zum Stehlen von Passwörtern.

  • Das Schadprogramm wurde von Fazio Mechanicals verwendetem Anti-Malware-Programm, einer kostenlosen Version von Malwarebytes Anti-Malware, nicht erkannt. Da das Unternehmen keine Unternehmens- beziehungsweise Echtzeitlösung nutzte, konnte die Malware die Passwörter der Mitarbeiter knacken und so auf Fazio Mechanicals gesamtes Netzwerk zugreifen. Hätte Target geeignete Maßnahmen zur Zugriffskontrolle und ein zentrales Management eingesetzt, wäre der Angriff bereits an dieser Stelle verhindert worden.

  • Von hier aus stellten die Hacker eine Verbindung zu Targets Netzwerk her. Sie griffen auf die Teile des Netzwerks zu, auf die Fazio Mechanical Zugriff hatte, sowie auf das Abrechnungssystem Ariba und verschiedene Portale für das Projektmanagement. Laut einem nicht genannten Informanten, der früher bei Targets Sicherheitsteam beschäftigt war, „hat das Ariba-System ein Backend, welches von den Administratoren bei Target genutzt wird, um das System zu warten und den Herstellern Anmeldeinformationen zur Verfügung zu stellen. ... [und] ich würde vermuten, dass ein Hersteller Zugriff auf sämtliche auf dem Server laufende Anwendungen hat, sobald er sich bei dem Portal anmeldet.“

  • Dem Netzwerk fehlten hoch entwickelte Authentifizierungsmechanismen wie Zwei-Faktor-Authentifizierung. Denn laut einem weiteren Informanten, welcher für das Management der Hersteller bei Target zuständig war, „hätte Target sehr wenig auf Hersteller wie Fazio geachtet. Ich wäre erstaunt, wenn es jemals so etwas wie eine grundsätzliche Sicherheitsüberprüfung dieser Hersteller bei Target gegeben hätte.“ Im Wesentlichen aufgrund Targets fehlender Präventivmaßnahmen hatte ein erfahrener Hacker nach Ausweitung der Active-Directory-Berechtigungen nahezu uneingeschränkten Zugriff auf das Unternehmensnetzwerk. Von dort aus war es eine Leichtigkeit, in Targets Kassensystem (POS) zu gelangen und Kreditkartendaten abzugreifen.

Dieser Angriff, bei welchem personenbezogene Daten von 70 Millionen Kunden und 40 Millionen Kreditkartennummern gestohlen wurden, hätte verhindert werden können, wenn Fazio Mechanical und Target geeignete Sicherheitsvorkehrungen für das Netzwerk getroffen hätten. Wie bereits erwähnt, war Fazio Mechanical wahrscheinlich nicht der erste Hersteller in Verbindung mit Target, der von Hackern ins Visier genommen wurde, die auf diese Art an einträgliche sensible Daten kommen wollten. APTs wie dieses versuchen, alle möglichen Angriffspunkte auszunutzen. Nun liegt es an den Unternehmen, sich gründlich darauf vorzubereiten. Im Zuge dessen sollten sie hochwertigste Systeme implementieren.

Unternehmen können den Fernzugriff auf ihre Unternehmensnetzwerke sichern und Angriffsrisiken wie dieses minimieren, indem sie VPNs implementieren. Diese sollten nicht nur über ausgeklügelte Authentifizierungsmechanismen verfügen, sondern auch ein zentrales Management ermöglichen. Dadurch haben Netzadministratoren jederzeit einen Überblick über Endgeräte und Nutzer, die infolge von Problemen bei der Authentifizierung, veralteten VPN Clients und anderem, ein Risiko darstellen könnten. Darüber hinaus sollten Unternehmen Remote Access-Lösungen einführen, welche mit anderen Netzwerk- und Sicherheitskomponenten über Protokolle wie IF-MAP interagieren und kommunizieren können. Auf diese Weise kann das System schnell angepasst werden, sobald ein Angriff erfolgt. Verfügt ein Unternehmen beispielsweise über ein Netzwerk und Sicherheitslösungen mit integriertem IF-MAP-Protokoll, können die Komponenten sicherheitsrelevante Metadaten austauschen und, falls notwendig, eine potentielle Bedrohung schnell über das gesamte System kommunizieren. Daraufhin sollte eine Reaktion ausgelöst werden und ein Angriff an der Ausbreitung gehindert werden. Es ist höchste Zeit zu handeln.

Diese Webseite verwendet Cookies

Wir verwenden Cookies, um Inhalte zu personalisieren und die Zugriffe auf unsere Website zu analysieren. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

OK