Hacker auf dem Bauernhof

mal eine kleine Geschichte aus dem Arbeitsalltag…

Teil 1: Phishing im Schweinestall

Vor dem Bildschirm flackern die Zeichen, im Halbdunkel ist die Silhouette eines jungen Mannes zu erkennen. Die Kapuze tief ins Gesicht gezogen. Die Finger fliegen über die Tastatur. Neben dem Tisch stapeln sich schon wieder die Mate-Flaschen. Nachdem die Augen fast zufallen, nur noch ein paar Klicks, erscheint auf dem Bildschirm endlich das angestrebte Ziel. Eine Login-Maske taucht auf. Wie von Zauberhand und mit einer rasenden Geschwindigkeit werden sowohl Benutzername und Passwort mit kryptischen Zeichen eingegeben. 2-3 Sekunden später ist das Login überwunden und auf dem Bildschirm erscheint eine Nutzerdatenbanken mit den Daten. Jetzt noch schnell die Daten sichern, das vorgefertigte Erpresserschreiben schicken und dann in den wohlverdienten Schlaf fallen. Was für ein Tag, wieder tausende Euro reicher …

Genauso sollte dieser Angriff auch stattfinden und ist auch gelaufen. Ok, lassen wir den jungen Mann, die Mate-Flaschen, den Kapuzenpulli weg. In Wahrheit schlafen Hacker sehr gern und ausreichend. Ein Phänomen, warum so viele Hacker nachts wach sind, kann auch daran liegen, dass Hacker auch tagsüber schlafen können und dann vielleicht nachts nicht mehr einschlafen können.


Nicht in der Nacht, aber viel zu früh bei richtigem Mistwetter machten wir uns auf den Weg zu einem neuen Kunden. Grob hatten wir die Infos bekommen, es solle um Angriffe in der Landwirtschaft gehen. Voller Vorfreude malte sich wohl jeder von uns für sich in den tollsten Bildern aus, was dies bedeuten könnte. Der eine sah sich einen Mähdrescher per Drohne fernsteuern, der andere im Stall für Chaos sorgen. Wer „wir“ sind? Thomas und Kay und arbeiten als Security Consultants. Da konnte es regnen so viel es wollte, voller Erwartungen kamen wir an. 8 Uhr hatten wir uns verabredet und stellten gleich beim Ankommen fest, dass es manchmal Sinn macht, festes und dunkles Schuhwerk mitzunehmen. Wenigstens hatten wir keine Magenta-Schuhe an.

Der Betrieb war recht groß und entsprechend verwirrt standen wir erstmal rum. Wo könnte denn der Bauer, äh Landwirt sein? Natürlich im Stall, ein Bauer ist immer früh im Stall. Nachdem wir zwischen vielen Schweinen standen und die verschiedenen technischen Anlagen bewunderten, stellten wir fest, dass wir als Stadtkinder einige Meinungen vielleicht überdenken sollten. Ok vom Bauern aka Landwirt keine Spur. Dieser und seine ca. 10 weiteren Bauern fanden wir dann in einem Verwaltungsgebäude mit Kantine beim Frühstück. Man erklärte uns, dass hier nur die Verwaltungsangestellten sitzen und 75 weitere Mitarbeiter und Auszubildende im Gelände sind. Wie man bei dem Geruch essen kann, war uns schleierhaft, allerdings denken wir, man gewöhnt sich dran.

Kaffee haben wir auch bekommen, dann ging es zur Einsatzbesprechung. Der Bauer entpuppte sich als IT-Leiter und stellte uns im nächsten Schritt seine Infrastruktur vor. Mit großen Augen sahen wir ihn an und erzählten ihm, dass man seine Mähdrescher fernsteuern kann. Daraufhin blickten wir in fragende Augen und er meinte das größte Problem sei, dass seine Mitarbeiter immer auf alle möglichen Anhänge klicken und Passwörter nicht sicher wählen würden. Anhänge klicken und schwache Passwörter??? Da half es leider auch nicht zu erwähnen, dass ganze Melkmaschinen übernommen werden können und in den Silos die Milch sauer wird.

… ok später die Mähdrescher. Wir einigten uns auf einen Phishing-Test als erste Stufe mit anschließender Awareness Schulung. Unsere Forensiker hatten ziemlich schnell eine harmlose Malware zusammengeschrieben, welche natürlich auch nicht von einem Virenscanner erkannt wurde. Als Szenario wurde ein wütender Anwohner gewählt, welcher sich über die Geruchsbelästigung der Gülleanlage beschwert. … na hoffentlich müssen wir diese dann nicht auch noch testen. Im Anschluss wurden das Angebot erstellt, Emailadressen ausgetauscht und in 2 Wochen sollte es losgehen.


Auf keinem Bildschirm flackerte ein Zeichen, es gab nicht mal einen Bildschirm. Es gab auch kein Halbdunkel und keinen jungen Mann mit Kapuze. In der Dunkelheit des Rechenzentrums startete ein kleines Skript, welches zugegeben in rasender Geschwindigkeit die Mails versendet hat. Auf einem Server wartete die Landingpage auf die potentiellen Opfer. Nach 2 min kam das erste Opfer vorbei und statt sich einen Verschlüsselungstrojaner einzufangen, informierte es sich über den Test und wie er die Phishingmail hätte erkennen können. Er wurde informiert, dass alles anonym und datenschutzkonform ausgewertet wurde und keine Rückschlüsse auf seine Person gezogen werden können.

Als der IT-Leiter um 8 Uhr die Kantine, in der bereits aufgeregtes Gemurmel stattfand, betrat und er sich zum Frühstück mit einer Tasse Kaffee statt einer Mate-Flasche an den Tisch setzte, konnte er sich das fröhliche Grinsen nicht verkneifen. Vor 10 min hatte er auf seinem Monitor im Dashboard gelesen, dass knapp 95% der Mitarbeiter geklickt hatten. Fast die Hälfte der Mitarbeiter hatte die Mail als verdächtig an die IT-Abteilung weitergeleitet, dann aber doch auf den Link geklickt – „aus Neugier“.