Quantum DawnDas SIFMA Cyber Attack "War Game"

 

            Das Ergebnis der ersten Simulation war so alarmierend, das man es ein Jahr später in London wiederholte. Was machte "Quantum Dawn" als Initiative der SIFMA so bedrohlich?

In 2012 haben amerikanische Behörden unter Führung der SIFMA ein "Cyber Attack Scenario" für die Wall Street organisiert.

Verschiedene Banken, öffentliche Institutionen und einige private Firmen nahmen an der Übung teil. Die meisten Teilnehmer arbeiteten von Ihren angestammten Arbeitsplätzen aus, gesteuert von einem zentralen „War Room“. Das Szenario war ein verteilter, vielfältiger Angriff auf OIT, Social Media und Infrastruktur, auf alle Unternehmen gleichzeitig.

Erkenntnis

Die wichtigste Erkenntnis war, das man eine interne, aber auch eine externe Kommunikationsstruktur braucht, die auch die betroffenen internen Abteilungen wie IT und Marketing sofort alarmieren und in Operation setzen kann. Aber auch eine übergreifende, nationale Kommunikation erwies sich als unerlässlich. Da ich im Dezember 2013 einen Preis der Zeitschrift ct für eine IT-Story bekam, dachte ich, dass man ein solches „War Game“ auch mal anders darstellen kann als in einem Whitepaper.

Der Tag der Autobahn AG

Um 6 Uhr morgens schläft der Vorstandsvorsitzende der Autobahn AG („Schnell ist GUT“), Carl B. Max, noch friedlich in seinem Heim in Königstein im Taunus, mit klarer Sicht auf die Finanzmetropole Frankfurt.

Um diese Zeit beginnen erste Nachrichten in den sozialen Netzwerken aufzutauchen mit negativen Bemerkungen über die deutschen Autobahnen: Wie schlecht diese doch seien, voll mit Schlaglöchern, überlastet und mit kilometerlangen Staus. Und eine deutsche Autobahn darf keine Geschwindigkeitsbegrenzungen haben.

Um 7:30, während Carl B.Max seinen letzten Kaffee zu sich nimmt, haben sich die schlechten Meldungen in den sozialen Netzwerken zu veritablen “Shitstorms” ausgeweitet. Bilder von Unfällen und Leichen wurden gepostet, auf Todesstatistiken verwiesen und die Möglichkeit, die Deutsche Autobahn AG deswegen zu verklagen und Schadensersatz zu fordern.

Um 8 Uhr nimmt Carl B. Max sein Frühstück ein.

Um 8:30 fährt in sein Fahrer in die Zentrale am Frankfurter Kreuz. Um dieselbe Zeit werden über die gehackten Twitter- und Facebook Accounts der PR-Abteilung der Autobahn AG gefälschte Pressemitteilungen verfasst. Es werden seltsame und falsche Behauptungen mit offiziellem Anstrich verbreitet. Es entsteht ein globaler Eindruck von Vertuschung und Herunterspielen.

Um 8:45 ist Car B.Max in seinem Büro im 44. Stock eingetroffen, in der Zentrale der Autobahn-AG mitten im Frankfurter Kreuz.

Um 9:00, mit Öffnung der Frankfurter Börse, setzen bezahlte halbkriminelle High Frequency Trader im Sub-Sekunden-Rhythmus massive Verkaufsorders auf die Computer der Börse los und bewirken, das die Kurse unter die Grenze gedrückt werden, an der die anderen Handelssysteme alle Positionen liquidieren. Die Stop Loss Orders bewirken eine massive Lawine, die den Kurs extrem nach unten drückt.

Um 9:30 beginnt man langsam das Ausmaß der Bedrohung zu erkennen. Gegenmaßnahmen werden in der Hektik gar keine ergriffen, da man eine solche Bedrohung noch nie realisiert hat. Falsche Pressemitteilungen, gefälschte Blogeinträge und sinnlose Forumsbeiträge tun ein Übriges. Um 9:41 ist Plötzlich die Telefonanlage des Unternehmens tot. Die VoIP-Anlage wurde von einer massiven DDOS-Attacke angegriffen und ein C&C Virus eingeschleust, der genau auf diesen Typ Anlage abzielt.

Um 10 Uhr versucht Carl B. Max, eine Telefonkonferenz mit der Presse über sein Handy zu organisieren. Er verlangt von seinem CFO aktuelle Zahlen, das das Unternehmen unverändert gut dasteht und das alles nur eine Attacke der organisierten Kriminalität ist. Um 10:15 fährt sich das SAP-System mit dem angeschlossenen Data Warehouse herunter. Es stellt sich heraus, das die Datenbanken gelöscht sind. Um 10:30 stellt man fest, das alle Backups der letzten vierzehn Tage korrupt sind und nicht zurückgespielt werden können.

Um 11 Uhr verlagert sich der High Frequency Trader auf die gerade geöffnete Londoner Börse und attackiert dort den Aktienkurs. Zur Pressekonferenz um 12 Uhr können keine Zahlen präsentiert werden, Die Pressekonferenz wird ohne Angabe von Gründen abgesagt. Die Bitte an die Börsen in Frankfurt, London und New York, den Handel der Aktie auszusetzen, wird abgelehnt, da kein einziges aktuelles Compliance-Statement vorgelegt werden kann.

Um 15 Uhr öffnet Wall Street. Um 15:03 ist die Aktie ein Penny Stock.

Um 17 Uhr, als die Börse in Frankfurt schließt, ist die Deutsche Autobahn AG pleite.

Was kann man daraus lernen?

Es ist zu aller erst die prinzipielle Frage, ob in einem Unternehmen überhaupt eine Struktur vorhanden ist, solche Angriffe zu erkennen und auch sofort darauf antworten zu können. Die Frage: „Wen rufe ich denn an, wenn ich sehe, das so etwas sich entwickelt, gerade passiert? Und gibt es im Unternehmen überhaupt Strukturen, auf so etwas umgehend, innerhalb von einer Stunde, zu reagieren? Die Frage werden die meisten Unternehmen nicht nur in Deutschland unbeantwortet lassen müssen. Aber genau an solch einem Szenario muss sich die gesamte Sicherheits-Strategie eines Unternehmens ausrichten. Hier hilft keine noch so hohe Firewall, kein Wachschutz am Zaun, um solch einem Szenario entgegen zu wirken.

Hier hilft nur eine Strategie, die sich an jeweils aktuellen Bedrohungsmustern orientiert, flexibel auf Angriffe reagieren kann und die Organisation so weit entwickelt hat, das man immer zeitnah reagieren kann.

Das sollte die Ausgangssituation einer Sicherheits-Strategiediskussion sein.

Interessiert an einem Termin?

Webinar
Anmeldung für das Webinar

Quantum Dawn - Was können Unternehmen in Deutschland aus einem „Cyber Wargame“ lernen

Am Donnerstag, den 1.Oktober 2015 halten wir diesen Vortrag um 17 Uhr im Rahmen der Partnerschaft mit der Allianz für Cybersicherheit. Melden Sie sich einfach über das Formular an.

Anmeldung zum Webinar