Ein Blick über den Zaun: Die Risiken von Cyberangriffen für Unternehmen - Cyber Response Center

… find english abstract below the german version

“Das Darknet, ist ein Teil des Internets, der nicht durch normale Suchmaschinen indiziert wird. Es ist bekannt für seine Anonymität und wird oft mit illegalen Aktivitäten in Verbindung gebracht. Für Unternehmen kann das Darknet eine ernsthafte Bedrohung darstellen, insbesondere wenn es um den Diebstahl und Verkauf von Unternehmensdaten geht.”

Es ist nicht unüblich, dass Daten, die bei einem Cyberangriff gestohlen wurden, nach einiger Zeit im Darknet auftauchen.

Die Angreifer machen das in der Regel dann, wenn kein Lösegeld bezahlt wurde.

Ein Beispiel für einen üblichen Verlauf der Kommunikation findest du über den Link (das Bild wäre zu lang für diesen Beitrag, mit rechter Maustaste anklicken und in neuem Fenster oder Tab öffnen)

Unternehmensdaten im Darknet

Es gibt viele Arten von Unternehmensdaten, die im Darknet gefunden werden können, darunter:

- Kundeninformationen: Dies kann Namen, Adressen, Kreditkarteninformationen und andere persönliche Daten von Kunden umfassen. Mit diesen Informationen können Kriminelle Identitätsdiebstahl begehen oder betrügerische Transaktionen durchführen.
- Interne Unternehmensinformationen: Dazu gehören Geschäftspläne, Finanzinformationen, Mitarbeiterdaten und andere sensible Informationen, die einem Unternehmen schaden könnten, wenn sie in die falschen Hände geraten.
- Zugangsdaten: Benutzernamen und Passwörter zu Unternehmenssystemen können gestohlen und im Darknet verkauft werden, was Hackern Zugang zu diesen Systemen ermöglicht.

Risiken für Unternehmen

Die Risiken, die mit dem Diebstahl und der Veröffentlichung von Unternehmensdaten im Darknet verbunden sind, sind erheblich. Einige davon sind:

- Finanzieller Verlust: Der Diebstahl von Kunden- oder Finanzinformationen kann zu erheblichen finanziellen Verlusten führen, sowohl durch betrügerische Transaktionen als auch durch den Verlust von Kundenvertrauen.
- Reputationsschaden: Der Verlust von Unternehmensdaten kann das Vertrauen der Kunden und der Öffentlichkeit in das Unternehmen untergraben, was zu einem langfristigen Reputationsschaden führen kann.
- Betriebsunterbrechungen: Ein Hackerangriff kann zu erheblichen Betriebsunterbrechungen führen, insbesondere wenn Systeme kompromittiert werden oder sensible Daten gestohlen werden.

Zugänglichkeit der Daten im Darknet

Es ist wichtig zu verstehen, dass das Darknet zwar schwer zu navigieren sein kann, aber die Daten, die dort verkauft werden, für jeden zugänglich sind, der weiß, wie man sucht. Es gibt sogar spezielle Suchmaschinen und Marktplätze, die speziell für den Kauf und Verkauf von gestohlenen Daten entwickelt wurden.

Beim Angriff auf das KaDeWe und den Schuhhersteller Meindl im November 2023 gelang es der Gruppe “Play”, Daten in großem Umfang zu “sichern”.

Nachdem die angegriffenen Unternehmen nicht auf die Zahlungsforderungen eingegangen sind, wurden diese Daten im Darknet verfügbar gemacht.

Dem neugierigen Sucher werden diese als 500 MB große Pakete angeboten.

Darin enthalten sind Informationen über Aufsichtsratssitzungen, Kredite oder laufende Gerichtsverfahren.

Aus Sicht der Informationssicherheit sind das zum Teil höchst vertrauliche Unterlagen.

PROTOKOLL DER AUFSICHTSRATSSITZUNG
DER THE KADEWE GROUP GMBH
AM 06.11.2018, 10:00 UHR BIS 12:36
UHR, IM HEAD OFFICE, 2. OG, RAUM
BERLIN -KATHARINA-HEINROTH-UFER 1,
10787 BERLIN

kann nun jeder nachlesen

André Maeder weist darauf hin, dass das erwartete Umsatzbudget um ca. x,xm Euro verpasst werden wird. Es werden allerdings noch infolge von Nachmeldungen von Mietern Umsätze von x00 bis x00 Tausend Euro erwartet, womit das zuletzt avisierte Budget am Ende nur um 1% verfehlt werden dürfte. Hinsichtlich der relevanten Mieter wird erwartet, dass diese in ca. 3 Monaten deren Umsätze auf einer Wochenbasis melden.

Oder auch passend zum Thema:

Im Hinblick auf das Thema Cyber-Sicherheit regt der Aufsichtsratsvorsitzende an, dass mit Anbietern, die mit Signa zusammenarbeiten, Kontakt aufgenommen wird, um z.B. einen externen Sicherheitscheck des Unternehmens durchzuführen. Hierzu wird Herr Dr. Peterseim nach Kontaktvermittlung durch den Aufsichtsratsvorsitzenden entsprechend Kontakt aufnehmen.

Bei der Meindl scheint es sehr familiär zuzugehen. So zumindest, wenn man die „Brotzeitlisten“ sieht.

Mit dem in Teilen sicher auch noch aktuellen Telefonverzeichnis kann man schon mehr anfangen. Ein Anruf in der Buchhaltung bei „Susi“?

Ansonsten finden sich reichlich Scans, Belege und eine Kassenstatistik mit Angaben zum Wetter für jeden Tag und wohl dem Inhalt der „Kasse“.

Fazit

Der Diebstahl und Verkauf von Unternehmensdaten ist eine ernsthafte Bedrohung für die Sicherheit von Unternehmen.

Darüber hinaus gibt es aber noch die Risiken, die entstehen, wenn eine Angreifergruppe die Daten kostenlos publiziert.

Jeder kann sich nun an diesem Informationsschatz bedienen und sicher sind darunter auch besonders viele neue Angreifer.

Ich habe für diesen Artikel mit Absicht nur einen sehr kleinen Teil der verfügbaren Daten heruntergeladen und gesichtet. Keine Ahnung was ich sonst noch finden könnte.

Es ist wichtig, sich dieser Risiken bewusst zu sein und Maßnahmen zu ergreifen, um Informationen zu schützen.

Dabei darf der Fokus nicht primär die „externe Sicht“ sein. Vielmehr sollte man sich fragen, auf welche Informationen jemand zugreifen kann, der bereits in das interne Netzwerk eingedrungen ist.

Ein „Pentest“ auf die extern verfügbaren Systeme ist sinnvoll. Aber so etwas sollte man auch intern machen.

Welche Daten sind auf Laufwerken und Cloud zugänglich?

Das alles würde auch ein Angreifer schnell und einfach finden.

Wie es aussieht, wenn er auch noch höhere Zugriffsrechte bekommen kann, überlasse ich deiner Phantasie.

Informationssicherheit wird leider immer wieder unterschätzt.

„Bei mir gibt es nichts zu holen“ oder „so wichtig sind meine Daten nicht“ höre ich leider viel zu oft.

Auf diesem Niveau verwundert es kaum, wenn ich in meinen Quellen fast täglich von neuen, erfolgreichen Angriffen gegen Unternehmen lese.

Möchtest du wirklich der Nächste sein?

“The darknet is a part of the internet that is not indexed by normal search engines. It is known for its anonymity and is often associated with illegal activities. For companies, the darknet can pose a serious threat, especially when it comes to the theft and sale of company data.”
It is not uncommon for data stolen in a cyberattack to appear on the darknet after some time.
The attackers usually do this if no ransom has been paid.
You can find an example of the usual course of communication via the link (the image would be too long for this article, right-click and open in a new window or tab)
Company data on the Darknet
There are many types of company data that can be found on the Darknet, including
Customer information: This can include customer names, addresses, credit card information and other personal data. Criminals can use this information to commit identity theft or conduct fraudulent transactions.
Internal company information: This includes business plans, financial information, employee data and other sensitive information that could harm a business if it falls into the wrong hands.
Access data:Usernames and passwords to company systems can be stolen and sold on the darknet, giving hackers access to these systems.
Risks for companies
The risks associated with the theft and publication of company data on the Darknet are considerable. Some of them are:
Financial loss: the theft of customer or financial information can lead to significant financial losses, both through fraudulent transactions and loss of customer trust.
Reputational damage: The loss of company data can undermine customer and public confidence in the company, resulting in long-term reputational damage.
Business interruption:A hacking attack can cause significant business disruption, especially if systems are compromised or sensitive data is stolen.
Accessibility of data on the darknet
It is important to understand that while the darknet can be difficult to navigate, the data that is sold there is accessible to anyone who knows how to search.There are even specialized search engines and marketplaces designed specifically for buying and selling stolen data.
In the attack on KaDeWe and shoe manufacturer Meindl in November 2023, the “Play” group managed to “secure” data on a large scale.
After the attacked companies did not respond to the payment demands, this data was made available on the Darknet.
The curious searcher is offered these as 500 MB packages.
They contain information about supervisory board meetings, loans or ongoing legal proceedings.From an information security perspective, some of these are highly confidential documents.
In theMINUTES OF THE SUPERVISORY BOARD MEETINGOF THE KADEWE GROUP GMBH
ON 06.11.2018, 10:00 A.M. TO 12:36 P.M.O’CLOCK, IN THE HEAD OFFICE, 2ND FLOOR, ROOM
BERLIN -KATHARINA-HEINROTH-UFER 1,10787 BERLINeveryone can now read
André Maeder points out that the expected sales budget will be missed by approx. x.xm euros. However, sales of x00 to x00 thousand euros are still expected as a result of late registrations from tenants, which means that the most recently announced budget is likely to be missed by only 1% in the end. With regard to the relevant tenants, it is expected that they will report their turnover on a weekly basis in around 3 months.
Or in keeping with the theme:
With regard to the topic of cyber security, the Chairman of the Supervisory Board suggests that contact be made with providers who work with Signa, e.g. to carry out an external security check of the company. Dr. Peterseim will make contact with them after the Chairman of the Supervisory Board has put him in touch.
The Meindl seems to have a very informal atmosphere. At least if you look at the “snack lists”.
You can do more with the telephone directory, some of which is certainly still up to date. A call to “Susi” in the accounts department?
Otherwise, there are plenty of scans, receipts and cash register statistics with details of the weather for each day and probably the contents of the “cash register”.
Conclusion
The theft and sale of company data is a serious threat to the security of companies.
But there are also the risks that arise when an attacker group publishes the data for free.
Anyone can now help themselves to this treasure trove of information and there are sure to be many new attackers among them.
For this article, I have deliberately only downloaded and viewed a very small part of the available data. I have no idea what else I could find.
It is important to be aware of these risks and to take measures to protect information.
The focus should not primarily be on the “external view”. Rather, you should ask yourself what information can be accessed by someone who has already penetrated the internal network.
A “pentest” of the externally available systems makes sense. But you should also do this internally.
What data is accessible on drives and in the cloud?
An attacker would find all of this quickly and easily.
I’ll leave it to your imagination what it would look like if he could also be given even higher access rights.
Unfortunately, information security is always underestimated.
“There’s nothing to get from me” or “my data isn’t that important” is something I hear far too often.
At this level, it’s hardly surprising that I read about new, successful attacks against companies in my sources almost every day.
Do you really want to be next?