Trojanischer Server

Bereits zu Beginn der neunziger Jahre trafen große deutsche Industrieunternehmen die ersten strategischen Maßnahmen für eine Globalisierung der Märkte. Vor allem wurden damals die ersten Umstrukturierungsmaßnahmen angetriggert, die heute erst in ihrem ganzen Ausmaß erkennbar werden und den Unternehmen das Überleben auf den Weltmärkten ermöglichen.

Der geschilderte Vorfall ereignete sich 1994/95 in einem weltweit operierenden deutschen Großunternehmen. Am Muttersitz des Unternehmens befinden sich ca. 15000 PC’s in einem Netz zusammen mit Servern und UNIX-Workstations bis hin zu Main-Frames. Es sollte bei diesem Beispiel berücksichtigt werden, dass die damals zur Verfügung stehende Technologie im Bereich der Anti-Viren-Software bei weitem noch nicht das Niveau erreicht hatte, wie es heute den Anwendern zur Verfügung steht.

Nach wiederholt aufgetretenen umfangreichen Vireninfektionen auf Servern wie auch auf PC-Arbeitsplätzen wurde mein Beratungsunternehmen mit der Ausarbeitung von Lösungsvorschlägen beauftragt.

Der Lösungsansatz sah wie folgt aus:
Zusammen mit der Einführung einer Anti-Virenrichtlinie für das Unternehmen wurden damals verschiedene Anti-Viren-Produkte auf Server- und auf Client-Ebene eingesetzt. Die Verantwortlichkeit für die eingeführten Schutzmaßnahmen lag bei den verantwortlichen Personen für die Abteilungsserver und stand unter Supervision durch die zentrale EDV-Abteilung und deren Systemadministratoren. Diese waren jedoch nur dann hinzuzuziehen, wenn es Probleme mit den eingesetzten Produkten gab oder ganz akut Viren entdeckt wurden.

Im Rahmen dieser Maßnahmen war es möglich die Rechner unternehmensweit innerhalb kurzer Zeit (ca. eine Woche) virenfrei zu bekommen. Infiziert waren 8 Server und ca. 735 Computer. Als Viren wurden sowohl ITW-Viren (z.B. Parity Boot) als auch normalerweise als nicht verbreitet geltende Viren gefunden. Insgesamt wurden 68 verschiedene Viren (Bootsektor- & File-Viren) entdeckt und entfernt.

Nach der Einführung entsprechender Gegenmaßnahmen kam es zu Auffälligkeiten im Netzwerk des Unternehmens, die zu weiteren Untersuchungen führten. Die Auffälligkeit bestand in der Tatsache, dass die verantwortlichen Systemadministratoren in fast regelmäßigen Abständen (ca. alle 8 bis 10 Tage) in einem ganz bestimmten Teilbereich des Netzwerkes erneute Vireninfektionen entdeckten. Diese Vireninfektionen wurden jeweils nach Routineuntersuchungen durch den Systemadministrator festgestellt. Da die Ursache für diese Vireninfektionen anfänglich nicht festgestellt werden konnte, wurde nochmals externe Hilfe für entsprechende Konsultationen hinzugezogen. Zu diesem Zeitpunkt waren wir weder über die Regelmäßigkeit noch über die lokale Einschränkung der aufgetretenen Infektionen informiert. Im Rahmen der erneuten Konsultationen erfolgte eine nochmalige Überarbeitung der Anti-Virenrichtlinien sowie die Anschaffung und Installation einer weiteren Anti-Viren-Software mit damals recht neuen Perimeter-Defense-Techniken zu Kontrollzwecken.

Erst als diese Maßnahmen auch nicht den gewünschten Erfolg brachten, äußerte sich einer der Systemadministratoren über die merkwürdigen Umstände, unter denen die Vireninfektionen auftraten.

• Zeitliche Regelmäßigkeit der auftretenden Vireninfektionen.


• Lokale Einschränkung (weitestgehend immer die gleichen Computer bzw. Server betroffen).


• Durch arbeitsfreie Tage (z.B. über ein Wochenende) eine ungewöhnlich weite Verbreitung der Vireninfektion vor allem auf Servern.

Bedingt durch diese Auffälligkeiten wurden nun die Log-Dateien der einzelnen betroffenen Server ausgewertet, um festzustellen, nach welchen Zugriffen auf einen Server eine Vireninfektion festgestellt werden konnte und wer auf den entsprechenden Server zugegriffen hat. Im Rahmen dieser Ermittlungen konnte festgestellt werden, dass Vireninfektionen immer nur dann auftraten, wenn aus einem ganz bestimmten Netzwerksegment des Unternehmens auf die Server zugegriffen wurde, um z.B. Dateien zu kopieren. Nach der Identifikation des auslösenden Netzwerksegments fiel weiterhin auf, dass sich keiner der Systemadministratoren direkt daran erinnern konnte, dieses Netzwerksegment eingerichtet oder bedingt durch Supportanfragen betreut zu haben, was gemessen an der Menge der täglichen Supportanfragen durch die Anwender doch eher außergewöhnlich erschien.

Wie weitere Ermittlungen an den Tag brachten, war das gesamte Netzwerksegment einer einzigen Abteilung zugeordnet, die ebenfalls keinem der Systemadministratoren bisher bekannt war. Im firmeninternen Telefonverzeichnis konnte festgestellt werden, dass immerhin zusammen mit dem Abteilungsleiter neun Personen der Abteilung angehörten, die Abteilung wohl eine Ausgliederung der Forschungsabteilung war und bereits seit fast drei Jahren bestand. Über die Inventurlisten mit den entsprechenden Seriennummern konnte sogar festgestellt werden, wie viele Computer und sonstige Hardware sich in dieser Abteilung im Einsatz befanden. Diese Überprüfungen brachten ein weiteres auffälliges Indiz an den Tag. Obwohl für die Abteilung wie auch für die Abteilungsangehörigen entsprechende Kostenstellen für Support, Verbrauchsmaterial und neue Software und Hardware eingerichtet waren, waren seit Schaffung der Abteilung keinerlei Bewegungen auf den Kostenstellenkonten erkennbar. Die einzigen Kosten, die jemals entstanden waren, entsprangen noch der Gründung der Abteilung und der damit verbundenen Erstausstattung mit Material und Geräten.

Ein Versuch den Abteilungsleiter telefonisch zu befragen, scheiterte für die nächsten vier Tage. Dann brachte sich die Phantomabteilung wieder in Erinnerung durch eine kleinere Vireninfektion auf zwei Servern, die rechtzeitig und erfolgreich bekämpft werden konnte. Da der Abteilungsleiter immer noch nicht telefonisch erreichbar war, ging das Ermittlungsteam mit einem der Systemadministratoren zu dem Gebäude, in dem sich die Abteilung befand, aber das Stockwerk, in dem sich die Abteilung befand, war verschlossen.

Der zuständige Hausmeister (heute auch Facility Manager genannt) verfügte über entsprechende Zentralschlüssel und verschaffte uns Zutritt zu den Räumlichkeiten.
Bis auf die in den Inventurlisten angegebenen Computer befand sich nichts in den Räumlichkeiten, woraus man hätte schließen können, dass hier regelmäßig gearbeitet wurde. Im Gegenteil, die dicke Staubschicht auf den Tischen sprach viel eher dagegen.

Durch diese Entdeckung bedingt wurde der Werksschutz sowie die Unternehmensführung hinzugezogen. Für weitere Ermittlungen wurde vom verantwortlichen Systemadministrator die Genehmigung der Geschäftsleitung eingeholt. Des weiteren wurde die Geschäftsleitung über den derzeit erkennbaren Sachverhalt in Kenntnis gesetzt. Über jede weitere Vorgehensweise und die daraus resultierenden Erkenntnisse wurden vom System-Administrator entsprechende Protokolle an die Geschäftsleitung gesandt.

Zuerst versuchte man die Existenz der Abteilung zu klären. Aus den Dokumenten ging hervor, dass die Abteilung während einer konzernweiten Umstrukturierungsmaßnahme „gegründet” wurde. Dabei wurde sachgerecht und professionell vorgegangen, was auf einen Insider im Unternehmen schließen ließ, der an der Umstrukturierung organisatorisch mitbeteiligt war. Die auf den Dokumenten auftauchenden Namen von beteiligten Verantwortlichen sowie eventuell vorhandene Unterschriften stellten sich bei weiteren Ermittlungen allesamt als falsch heraus.

Interessant wurde es, als die interne Finanzrevision entdeckte, dass die Gehälter der angeblich in dieser Abteilung beschäftigten Mitarbeiter auf ein bestimmtes Konto überwiesen wurden sowie der Abteilung zur Verfügung stehende Geldmittel ebenfalls verwendet wurden. Es gab sogar Mitarbeiter bei der zentralen Einkaufsstelle, die sich an Telefonate mit dem Abteilungsleiter erinnern konnten, ihn aber nie persönlich getroffen hatten. An dieser Stelle wurde mein Beratungsunternehmen von diesem Bereich der Ermittlungen abgezogen und eine Detektei übernahm die personellen Ermittlungen innerhalb und außerhalb des Unternehmens.

Abgesehen von der Entdeckung einer Phantomabteilung war unser Problem aber immer noch gegeben, nämlich unerklärliche Vireninfektionen. Die Untersuchung der in der Abteilung vorgefundenen Computer ergab, dass bis auf den Server, der rund um die Uhr lief, die Clients mit einer Wochenzeitschaltuhr versehen waren, welche die Clients an Wochenarbeitstagen morgens ein- und abends wieder ausschaltete. Dabei war die gesamte Boot- und Login-Prozedur automatisiert.

Sehr interessant war jedoch der Abteilungsserver. Er verfügte über ein angeschlossenes Modem und einen konfigurierten Remote Access (RAS) Zugang. Es war also möglich sich von außerhalb des Unternehmens über diesen RAS-Zugang in das Unternehmensnetzwerk einzuwählen. Jetzt musste ermittelt werden, wie weit ein Anrufer Zugriffsrechte auf das Netzwerk hatte, wenn er erst einmal in dem Abteilungsserver war.

Auch hier waren die Ermittlungsergebnisse nach zwei Tagen Arbeit niederschmetternd. Da die Abteilung „offiziell” ein Spin-Off der Forschungsabteilung war, hatte man über den Server Zugriff auf alle Server der Forschungsabteilung. Diese Zugriffsrechte umfassten auch Administratorrechte. Schlimmer noch war von der Forschungsabteilung ausgehend eine Vertrauenskette (Chain-Of-Trust) zu anderen Servern. Server, die Zugriffsrechte auf die Forschungsabteilung hatten, hatten über die Forschungsabteilung mitunter auch Zugriff auf Server im Bereich Vertrieb, Marketing, Materialbeschaffung sowie zu dem Konzern gehörende Tochterunternehmen weltweit. Diese Chain-Of-Trust sorgte letztendlich für einen weitestgehend ungehinderten Zugriff auf über 300 Server an 17 Standorten weltweit.

Für weitere Ermittlungen wäre es wichtig gewesen, den Trojanischen Server an seinem Platz zu belassen und eine Fangschaltung zu beantragen. Damit hätte man feststellen können, von wo und wer diesen Server als RAS verwendet. Darüber hinaus hätte man durch vorsichtige Beobachtung feststellen können, welche Bereiche des Netzwerks den Eindringling am meisten interessieren.

Die Auswertung der Log-Dateien der wahrscheinlich betroffenen Server ergab keine konkrete Spur. Die Auswertung aller Dateien auf dem Trojanischen Server ergab, dass dieser bereits seit zwei Jahren in der Form genutzt wurde, der Eindringling auf diesem wie auch auf anderen Servern Administratorrechte besaß und seine Spuren sehr gut zu verwischen wusste. Alle relevanten Dateien, die untersucht wurden, waren so jungfäulich rein, dass sich hier unweigerlich der Verdacht der Manipulation aufdrängte, um verräterische Spuren zu vernichten.

Diese ganzen Vorgänge erklären aber immer noch nicht die Infektion verschiedener Server mit Computerviren. Wie sich bei einer Überprüfung herausstellte, hat der Eindringling auf Servern, auf denen er Administratorrechte hatte, die reguläre Login-Prozedur durch ein Trojanisches Pferd ersetzt, welches Anwendername und Passwort mitprotokollierte und in unregelmäßigen Abständen an den Trojanischen Server sandte. Der Computer des Eindringlings muss wohl mit einem Computervirus infiziert gewesen sein oder die Quelle, von der das Trojanische Pferd stammte, war infiziert. Jedenfalls installierte der Eindringling dieses Trojanische Pferd auf den Rechnern, auf denen er entsprechende Zugriffsrechte besaß. Jeder Anwender, der sich einloggte, aktivierte damit automatisch den Virus, da der Login-Prozess über das infizierte Trojanische Pferd durchgeführt wurde. Damit infizierte der Anwender das System ohne es zu wissen. Dies führte zu Warnmeldungen der Virenscanner, woraufhin der Virus entfernt und wichtige Systemdateien von einer virenfreien Sicherheitskopie wieder eingespielt wurden. Damit war aber auch das Trojanische Pferd entfernt, woraufhin der Eindringling bei nächster Gelegenheit dieses wieder installierte, womit es wieder zu unerklärlichen Vireninfektionen kam und die Suche nach der Ursache von vorne begann. Die trojanisierte Login-Prozedur wurde auf 17 Servern gefunden.

Leider zog es die Unternehmensführung vor den RAS-Server sofort abschalten zu lassen und auch sonst keinen weiteren Ermittlungen durch Behörden zuzustimmen. In wieweit es Ermittlungserfolge bezüglich der Lohnüberweisungen auf ein bestimmtes Konto gab, wurde uns nicht mitgeteilt.

Schadenstechnische Bewertung

Die Unternehmensleitung sah sich außerstande auch nur annähernd eine mögliche Schadenshöhe zu beziffern, da viele Maßnahmen die zur Aufklärung des Falles hätten dienen können, nicht durchgeführt wurden. Erschwerend kommt hinzu, dass nach den vorliegenden Erkenntnissen der Missbrauchszeitraum recht lang war.

Sicherheitstechnische Bewertung

Mit am schlimmsten an diesem geschilderten Fall ist die Tatsache, dass wichtige Ermittlungsmöglichkeiten nicht ausgeschöpft wurden, wie z.B. Fangschaltung und Beobachtung des Eindringlings im Computernetzwerk. Dadurch ist über den Eindringling und seine Interessen nichts weiter bekannt. Der entstandene Schaden für das Unternehmen ist nicht quantifizierbar, da nicht zu ermitteln war, auf welche Daten der Eindringling in einem Zeitraum von zwei Jahren Zugriff hatte und wo diese Daten später eventuell gelandet sind (Mitbewerber).

Da der Eindringling auf vielen Systemen über den gesamten Zeitraum hinweg Administratorrechte hatte, war es nicht möglich herauszufinden, ob er sich selbst eventuell noch weitere Anwenderkonten eingerichtet hat. Berücksichtigt man die Größe der EDV und die Anzahl der legitimen Anwender, die im Netzwerk arbeiten, war es nicht möglich jeden Account auf seine Plausibilität hin zu überprüfen. Es wurde ein Script implementiert, welches einfach alle Accounts die vier Wochen lang nicht genutzt wurden, widerruft. Darüber hinaus führte man eine neue Anwenderauthentifizierung ein, womit binnen sechs Monaten alle Anwender neue Accounts bekamen. Die übrig gebliebenen Accounts wurden gelöscht.

Um das Problem mit den Vertrauensketten in den Griff zu bekommen, entschied man sich für eine teilweise Neuorganisation des Netzwerkes und der Überprüfung aller Zugriffsrechte der Server untereinander. Bei einem ersten Audit stellte sich heraus, dass fast jeder Server in eine Vertrauenskette eingebunden war, die in der Form nicht hätte bestehen dürfen.

Für diesen Worst Case der Wirtschaftsspionage existierten keinerlei dokumentierte Prozeduren, nach denen verfahren werden konnte. Dies führte zu unnötiger Suche nach zuständigen Ansprechpartnern, die von dieser Situation ebenfalls überfordert waren. Das Resultat waren der Verlust wertvoller Zeit, sowie das Fehlen von Ressourcen, die zur Aufklärung der Vorgänge erheblich beigetragen hätten.

Best regards,

Howard