Blog | Cyber Security | 2. November 2023

Ergebnisse und Erkenntnisse unseres Selbstversuches Cyber Attack Simulation (Teil 2)

Verfasst von: Peter Flütsch

Bei einer “Cyber Attack Simulation” werden im Rahmen eines realistischen Hacker-Angriffes die Erkennungs- und Abwehrmechanismen eines Unternehmens geprüft. Die CSP hat sich dieser Herausforderung gestellt und durch die Compass Security angreifen lassen. Im Rahmen von drei Blog-Beiträgen möchten wir unsere Erfahrungen und Erkenntnisse teilen:

Im ersten Blog-Beitrag dieser dreiteiligen Serie haben wir die Ausgangslage und das Setup für unseren Selbstversuch einer Cyber Attack Simulation beschrieben.

Die fiktiven Cyber-Angriffe haben innerhalb eines Zeitraums von 5 Monaten in 3 unterschiedlichen Wellen stattgefunden:

  • Sehr gezielter Angriff auf einen einzelnen Mitarbeitenden mit individualisiertem und aufwändigem Social Engineering (u.a. Einsatz eines fiktiven Unternehmens mit fiktiver Webseite)
  • Gezieltes Phishing an mehrere CSP-Mitarbeitende mit Bezug zu konkreten Geschäftstätigkeiten der CSP
  • Allgemein gehaltenes Phishing an alle Mitarbeitenden (einfacher zu erkennen)

Durchführung

Die Durchführung gestaltete sich für alle Beteiligten spannend und herausfordernd. Sämtliche Mitarbeitenden waren während 5 Monaten aktiv gefordert Cyber-Angriffe zu erkennen und richtig darauf zu reagieren. Die IT-Abteilung konnte laufend feststellen welche Angriffe der fiktiven Hacker selbst erkannt wurden und welche nicht. Und schlussendlich war die Geschäftsleitung gespannt auf das Ergebnis der Simulation.

Waren die Angreifer der Compass Security[1] erfolgreich? Ja, das waren sie! Bei der Welle 1) und 2) konnte unter anderem mit «device code phishing» trotz aktivierter Multi-Faktor-Authentifizierung auf M365 Daten zugegriffen werden. Compass Security hat uns mit technischer Expertise und raffiniertem Social Engineering erneut aufgezeigt, wie verwundbar Unternehmen sein können. Insbesondere aufwändige und sehr gezielte Angriffe in Kombination mit Social Engineering (Welle 1) sind schwierig zu erkennen und zu verhindern. Für die Details verweisen wir auf den dritten Teil der Blogserie («behind the scenes»).

Abschliessend lässt sich festhalten, dass wir mit dieser Angriffssimulation unsere Cyber-Resilienz und somit auch den Schutz unserer Kundendaten auf unterschiedlichen Ebenen weiter verbessern konnten. Die Medienberichte der letzten Monate haben gezeigt, dass gehackte Dienstleistungsunternehmen eine grosse Herausforderung für deren Kunden sein können. Eine Awareness-Kampagne mit konkreten Cyber-Angriffen ist für die Mitarbeitenden wesentlich spannender als beispielsweise ein reines E-Learning. Eine gut abgestimmte interne Kommunikation vor und während der Angriffssimulation ist ein wichtiger Erfolgsfaktor. Aus Sicht des CISO helfen die Resultate einer «Cyber Attack Simulation» die Wichtigkeit des Themas Informationssicherheit weiter im Unternehmen zu verankern. Die Ergebnisse sind sehr vielschichtig (z.B. technische Massnahmen, Verbesserung der Awareness der Mitarbeitenden, interne Prozesse usw.) und lassen sich direkt zur Verbesserung des Informationssicherheits-Managementsystems (ISMS) verwenden.

Als wachsendes und lernendes Unternehmen ist uns Transparenz wichtig, deshalb unterstützten wir die offene Kommunikation, auch im Bereich Cyber-Sicherheit. Genannt sei hier beispielsweise der ISSS Courage Award – Information Security Society Switzerland. Der Award zeichnet Unternehmen aus, die nach einem (echten) Cyberangriff vorbildlich kommunizieren. Auch wenn es sich im vorliegenden Fall nur um einen Selbstversuch in einem geschützten Rahmen handelt, tauschen wir uns sehr gerne mit Ihnen zu unserem Selbstversuch aus.

Wenn Sie mehr zu den Themen Informationssicherheits-Managementsystem (ISMS), Security-Awareness oder einer Standortbestimmung zum Thema erfahren möchten, wenden Sie sich bitte an Peter Flütsch.

[1] Die Compass Security ist auf die Themen Red-Teaming, Penetration Tests, Managed Detection and Response und Digital Forensics and Incident Response spezialisiert. Sie hatten an der Swiss Cyber Storm Schedule – Oct 24th, 2023 – Swiss Cyber Storm eine Präsentation zum Thema device code phishing. Bei Fragen wenden sie sich bitte an Cyrill Brunschwiler, cyrill.brunschwiler@compass-security.com