Case Study: Automotive

Case Study: Automotive

Wie ein verärgerter Mitarbeiter rücksichtslos versuchte seiner ehemaligen Firma zu schaden

Auf dem Summit von SOCWISE sprachen unserer CEO Robert Ehlert und Head of Cyber Forensics & Operation Morgan Alexander über den großen Faktor, den der Mensch bei Cyberangriffen und dem Diebstahl von Daten ist. Und öffneten dabei vielen Menschen vor Ort in München und Digital die Augen und zeigten auch die Kehrseite der Medaille auf. Und zwar die Seite, wo die Angriffe offline, also im realen (Berufs-)Leben begannen und sich in den digitalen Raum verlagerten.

Heute möchten wir einen Schritt weitergehen und anhand eines Kunden, welchen wir seit Ende 2021 betreuen und wie dank digitale Forensik es schaffte, einen Schaden in Millionenhöhe zu verhindern und Innentäter eindeutig zu identifizieren.

Die Rache eines Mitarbeiters

Ende 2021 erreichte die QUANTUM cyber lab AG der Hilferuf eines mehr als 2.500 beschäftigendes, europaweit-operierendem Unternehmen aus der automativen Branche. Was war passiert? Ein langjähriger Mitarbeiter hatte das Unternehmen verlassen. Und warum wurde dieser Umstand zum Problem? Hier müssen wir ausholen, der Mitarbeiter, welcher die betroffene Firma verließ, hatte sich Intern auf eine höhere Stelle innerhalb des Unternehmens beworben, es folgten, wie üblich, mehrere Bewerbungsrunden mit dem Resultat, dass sich die Firma gegen den internen Kandidaten entscheid und für den externen Kandidat. Nach dem diese Entscheidung gegen den internen Kandidaten getroffen war, reichte dieser seine Kündigung ein und unterschrieb zeitnah bei der Konkurrenz. So weit sind das Verhalten und der Verlust des Mitarbeiters ärgerlich, aber seine Entscheidung wohl für einige nachvollziehbar. Und bisher bewegte sich alles in gesetzlichen Rahmen. Das änderte sich aber am letzten Arbeitstag des Mitarbeiters. An diesem Tag reichten mehr als ein Dutzend Mitarbeiter ebenfalls ihre Kündigungen ein, darunter waren auch Leiter wichtiger Abteilungen oder Projekte. Prekärer wurde der Fakt dadurch, dass alle Mitarbeiter dem ehemaligen Kollegen zum gleichen Kontrahenten folgten. Daraufhin schaltete die Kanzlei, welche die Firma vertrat und nach wie vor vertritt, die QUANTUM ein und baten diese die Geräte, Dienst-Smartphones, Laptops, der verlassenden Mitarbeiter digital forensisch zu untersuchen. Schnell wurde klar, dass diese sich dazu verabredet hatten sich dem Mitbewerber anzuschließen und auch das Datum der Kündigung wurde klar kommuniziert. Die forensische Untersuchung förderte allerdings was anderes zu Tage, was besorgniserregender war. Nämlich wurden in viele Geräten nicht-autorisierte USB-Sticks eingeführt, sich in die Systeme eingeloggt, dort gezielt nach Dateien gesucht und diese schließlich auf USB-Sticks gezogen. All dies geschah, wohl gemerkt, nach dem das Unternehmen die Mitarbeiter aufgefordert hatte, ihre Geräte abzuschalten und bald an die Firma zurück zu übereignen.

Warum läutete das System nicht Alarm

Die Frage, die sich nun stellt, warum reagierte das Sicherheitsprogramm nicht und alarmierte den Systemadministrator? Wäre es ein Angriff von außen gewesen, heißt jemand, der extern der Firma wäre, hätte das Systeme umfassende Protokolle ausgeführt und hätte gewusst, wie es damit umzugehen hat, allerdings rechnete das System und auch die Geschäftsleitung nicht mit der kriminellen Energie der ehemaligen Mitarbeiter, welche dadurch zu Innentätern wurden, und welchen Eifer diese versuchten ihrer langjährigen Anstellung schaden wollten. Allerdings kannte die destruktive Kraft kein Ende und auf einem, von dem Mitarbeiter, zurückgesetzten Smartphone taten sich weitere Abgründe auf: dieser hatte sich Zugriff zu Dokumenten verschafft, für die er keine Freigabe hatte. Er fotografierte die Unterlagen und sendete diese ohne Umschweife an den Mitbewerber, welcher die verlassenden Mitarbeiter aufnahm.

Ein Fazit

Unter den zahlreich entwendeten Dateien befanden sich umfassende Bau- und Modellpläne von schon in Benutzung befindlichen Objekten und von geplanten, Arbeitsverträge, Vertragsdetails von Zulieferern, Kundendaten, eine Übersicht, welcher Mitarbeiter über welche Freigabe verfügt. Durch Hilfe der digitalen Forensik kann man die Täter zuordnen, kann jedem einzelnen dieser Menschen die von ihn gestohlen Daten zuordnen und sie dafür zur Verantwortung ziehen. Die Zusammenfassung und Auflistung wurden an Staatsanwalt und Polizei übergeben. Der Wert der Daten wird auf einen mittleren bis hohen Millionenbetrag geschätzt, wären diese in die Hände des anderen Unternehmens gefallen, hätte es wohl dazu geführt, dass das Unternehmen in eine existenzielle Krise gefallen wäre und möglicherweise die Produktion und das Geschäft hätte einstellen müssen.

Sie haben Fragen zum Thema Digitale Fornesik, generell Fragen zur Cyber Security oder Fragen zu diesem Artikel oder zu den Produkten und Dienstleistungen von QUANTUM cyber lab AG? Dann zögern Sie bitte nicht und nehmen Sie Kontakt zu uns auf, unser Team nimmt sich gerne die Zeit, Ihre Fragen zu beantworten und Sie ausführlich zu beraten.




Jetzt kontaktieren