Auch die Computerforensic & more GmbH setzte bei ihren Aufträgen auf die Software von Cellebrite, da alles andere unserer Erfahrung nach nicht zu den gewünschten Auftragsergebnissen führte.

Leider wissen dies auch die Hacker!
Professionelles Hacking erfolgt nicht in einem Tag. Unternehmen jeder Größe sind normalerweise einigermaßen gut gegen Hackangriffe geschützt, und somit muss ein Hacker schon ein wenig mehr Stunden investieren, um in ein Unternehmen einzudringen. Es geht um die Herausforderung in Hackerkreisen – somit haben sich die Hacker die Nummer 1 und nicht die Nummer 2 oder Nummer 3 ausgesucht.

Nun ist etwas passiert, was kein Unternehmen gerne zugibt: „Wir wurden Opfer eines Hackangriffes“. Von der Homepage lässt sich leider nicht auf die genaue Mitarbeiterzahl schließen. Aber bei einem Executive Board von zehn Personen bei Cellebrite wird die restliche Firma, meiner Schätzung nach, aus weiteren 60 Mitarbeitern bestehen.

Eigentlich sollte diese Art von Unternehmen bestens gegen Hackangriffe abgesichert sein, meint man. Unsere Grundannahme lautet: „Wenn eine Hackergruppe in ein ausgewähltes Unternehmen einbrechen möchte, dann schafft sie das auch!“.

Dem professionellen Hacker stehen weit über 3.000 verschiedene Schwachstellen für mögliche Angriffe zur Verfügung, und in Folge kann der Hacker dann gezielt an die geschätzten 70 Mitarbeiter Malware oder Ähnliches verteilen. Der große Vorteil der Hacker ist es, dass nur eine einzige Schwachstelle oder ein falscher Click eines Mitarbeiters ausreicht, um sich Zugang zum Unternehmensnetzwerk zu verschaffen. Wenn die gut ausgebildeten Hacker in einer organisierten Gruppe agieren, können sie sich über Wochen oder Monate unbemerkt in einem Netzwerk aufhalten. Ohne die wahren Hintergründe des erfolgten Hackangriffes zu kennen, nehme ich an, dass die Firma an einem aktiven Monitoring System (kurz SIEM genannt) scheiterte.

Auch bei einem gut implementierten „Need to know“ Berechtigungssystem würden sich die Hacker, vorausgesetzt sie halten sich über Tage oder Wochen im Netzwerk auf, Zugang zu sämtlichen Daten beschaffen. In diesem aktuellen Fall haben die Hacker stolze 900GB an Daten von Cellebrite abgesaugt. Wir wissen natürlich nicht, wie lange diese Aktion gedauert hat, und auch nicht wie lange die Hacker schon Zugriff auf die Systeme hatten. Des Weiteren wissen wir auch nicht, ob vielleicht ein Insider bei der Sache mitgespielt hat.

Um dies alles herauszufinden und zu rekonstruieren, bedarf es im Regelfall einer Beauftragung eines Cyberforensikers. Ein Cyberforensiker, wie ich selbst, sollte mit den notwendigen Kenntnissen der Vorgehensweise bei aktuellen Hackangriffen vertraut sein, sowie sich mit Netzwerken und deren Log-Daten bis hin zu den Betriebssystemen bestens auskennen.
Sicherlich wäre dieser Auftrag nicht in zwei bis drei Tagen erledigt.

Ich schätze, dass sich die Aufarbeitung auf ein Auftragsvolumen von 20 bis 30 Personentagen belaufen wird, sowie weitere Tage für konzeptionelle Verbesserungen im Themenbereich der IT-Sicherheit und deren Umgang mit dem „Schatz der Firma“ benötigt werden.

Nun ja, der „Schatz der Firma“ ist verloren und veröffentlicht. Dies bedeutet, dass die harte, über Jahre hinweg perfekte Arbeit von Cellebrite über Nacht nicht mehr vorhanden ist. Die Folge ist nun, dass sämtliche Hackergruppen und Marktbegleiter die gesamten Tools und dasselbe Wissen besitzen wie die Nummer 1.

Was bedeutet dies für uns Smartphone Benutzer?
Vorerst nichts Gutes, da die Hacker nun an Werkzeuge gelangt sind, welche ihnen einen neuen wunderbaren Zugang für Angriffe auf unsere Smartphones ermöglichen. Ich gehe davon aus, dass sehr bald auch unsere Smartphones Teile von Botnetzen werden, da wir einerseits ständig online sind, und zweitens mit großen Datenpaketen zum Internetsurfen ausgestattet sind.

Im nächsten Schritt haben die Hacker, welche nun Zugriff auf Ihr Smartphone haben, auch natürlich Zugriff auf Ihr Unternehmensnetzwerk, wenn Sie mit Ihrem Smartphone ins WLAN Ihrer Firma eingeloggt sind. Somit entstand eine unendliche neue Wertschöpfungskette für Hacker.

Als Cyberforensiker schlage ich vor, dass alle Unternehmen und alle ISO und CISO die Netzwerkkonzepte hinsichtlich der Einbindung von Smartphones und Tablets aufgrund des aktuellen Gefährdungspotenzials mit einer GAP-Analyse neu bewerten. Für alle anderen, die weder eine/n IT-Sicherheitsverantwortliche/n haben, sollten die Netzwerke logisch von den Smartphones getrennt werden. Jeder Admin, der dieses verabsäumt, kann in Folge bald anstelle von Cellebrite seinen Firmennamen einsetzen, wenn die Geschäftsgeheimnisse abhandengekommen sind.

Wir alle dürfen gespannt sein, welche genialen Einfallstore bei der DefCon in Las Vegas in Bezug auf Smartphones im Unternehmen im Zusammenhang mit den gestohlenen Werkzeugen von Cellebrite präsentiert werden.

Michael Meixner, CISSP