Der öffentliche Wi-Fi-Dienst an 19 großen Bahnhöfen in Großbritannien wurde am Abend des 25. September Opfer eines schockierenden Cyberangriffs. Fahrgäste, die versuchten, auf das Wi-Fi-Netzwerk von Network Rail zuzugreifen, wurden statt einer üblichen Willkommensseite mit rassistischen und islamfeindlichen Botschaften konfrontiert. Ein Vorfall, der nicht nur den öffentlichen Verkehr, sondern auch das Vertrauen in IT-Sicherheitssysteme tief erschütterte.
Dieser Blog-Beitrag erklärt, wie der Angriff ablief, welche Rolle ein Insider dabei spielte und welche Konsequenzen dies für die IT-Sicherheitswelt hat.
Was ist passiert?
Am 25. September, gegen 17 Uhr, versuchten Fahrgäste an 19 Bahnhöfen in ganz Großbritannien, auf das WLAN von Network Rail zuzugreifen. Statt einer normalen Verbindung wurden sie mit beleidigenden und islamfeindlichen Inhalten auf der Startseite des Netzwerks konfrontiert. Der Vorfall sorgte für weitreichende Empörung und Fragen zur Sicherheit des öffentlichen WLAN-Dienstes.
Bereits am folgenden Tag, dem 26. September, gab Telent, das Unternehmen, das für den WLAN-Dienst verantwortlich ist, bekannt, dass der Angriff durch eine unautorisierte Änderung an der Startseite des Netzwerks ausgelöst wurde. Es stellte sich schnell heraus, dass die Änderungen nicht von außen, sondern von einem internen Mitarbeiter vorgenommen wurden.
Die Rolle des Insiders
Kurz nach dem Vorfall wurde ein Mann festgenommen, der als Mitarbeiter von Global Reach Technology, einem Partnerunternehmen von Telent, identifiziert wurde. Global Reach stellt Teile der Wi-Fi-Dienste für Network Rail bereit. Laut der britischen Transportpolizei (BTP) habe der Mann den Angriff als Insider durchgeführt und stehe nun unter Verdacht, gegen das Computer Misuse Act 1990 sowie das Malicious Communications Act 1988 verstoßen zu haben.
Der Angriff beschränkte sich auf die Manipulation der Splash Pages, also der Begrüßungsseiten des Netzwerks. Glücklicherweise sind laut den Behörden keine persönlichen Daten der Nutzer betroffen.
Insiderbedrohung – Ein wachsendes Risiko für Unternehmen
Dieser Vorfall verdeutlicht ein Problem, das Unternehmen weltweit betrifft: Insiderbedrohungen. Es sind nicht nur externe Hacker oder staatlich unterstützte Cyberkriminelle, die IT-Systeme gefährden. Oft kommen Bedrohungen von denjenigen, die innerhalb des Systems arbeiten. Diese Insider können aus verschiedenen Gründen handeln:
- Unzufriedenheit am Arbeitsplatz
- Persönliche Konflikte
- Unabsichtliche Fehler, die durch mangelnde Schulung oder Nachlässigkeit entstehen.
In manchen Fällen agieren Insider auch als Maulwürfe für Industriespionage oder im Auftrag eines fremden Staates.
Mögliche Konsequenzen eines Insider-Angriffs:
- Datenverlust und -diebstahl: Insider können leicht auf sensible Informationen zugreifen.
- Finanzieller Schaden: Diebstahl von geistigem Eigentum oder Betrug können Unternehmen Millionen kosten.
- Imageverlust: Wie im Fall des Network Rail-Wi-Fi-Angriffs kann die Reputation eines Unternehmens erheblich geschädigt werden.
- Sabotage von IT-Systemen: Insider können bewusst IT-Systeme lahmlegen oder beschädigen.
Sicherheitsmaßnahmen gegen Insider-Bedrohungen
Um solche Bedrohungen zu minimieren, müssen Unternehmen eine Reihe von Maßnahmen ergreifen:
1. Strengere Zugangskontrollen
Durch die Implementierung von Multi-Faktor-Authentifizierung und regelmäßigen Überprüfungen von Zugriffsrechten kann der Zugang zu kritischen Systemen besser kontrolliert werden.
2. Schulungen für Mitarbeiter
Mitarbeiter sollten regelmäßig in IT-Sicherheitsprotokollen geschult werden, um versehentliche Fehler zu vermeiden.
3. Monitoring von Aktivitäten
Eine kontinuierliche Überwachung der IT-Aktivitäten kann dabei helfen, verdächtiges Verhalten frühzeitig zu erkennen.
4. Sicherheitskultur im Unternehmen
Ein offener Austausch über Sicherheitsfragen sowie eine Kultur des Vertrauens können dazu beitragen, potenzielle Insiderbedrohungen frühzeitig zu identifizieren.
Telent’s Reaktion auf den Vorfall
Telent erklärte nach dem Vorfall, dass der Angriff ein Akt von Cyber-Vandalismus war, der innerhalb des Netzwerks von Global Reach seinen Ursprung hatte. Es handelte sich nicht um einen Sicherheitsverstoß im Netzwerk selbst, sondern um eine gezielte Manipulation der Startseiten. Ziel sei es, den öffentlichen WLAN-Dienst bis zum Wochenende wiederherzustellen.
Telent arbeitet weiterhin eng mit Network Rail, Global Reach und der britischen Transportpolizei zusammen, um den Vorfall aufzuklären und ähnliche Fälle in Zukunft zu verhindern.
Supply-Chain-Angriffe: Eine häufige Annahme, aber nicht immer korrekt
Nach Bekanntwerden des Vorfalls gab es viele Spekulationen darüber, ob es sich um einen sogenannten Supply-Chain-Angriff handelte. Bei einem solchen Angriff wird ein Unternehmen indirekt über die Systeme eines Drittanbieters, wie beispielsweise einen IT-Dienstleister, angegriffen. Supply-Chain-Angriffe sind besonders in der kritischen Infrastruktur, wie dem Transportwesen, eine große Gefahr.
In diesem Fall stellte sich jedoch heraus, dass es sich nicht um einen staatlich unterstützten Angriff, sondern um einen isolierten Insider-Angriff handelte. Dennoch zeigt der Vorfall, wie wichtig es ist, die Sicherheitsmaßnahmen entlang der gesamten Lieferkette zu überprüfen.
Häufig gestellte Fragen
Was genau ist beim Angriff auf das Network Rail Wi-Fi passiert?
Ein Mitarbeiter von Global Reach Technology manipulierte die Startseiten des Wi-Fi-Netzwerks an 19 Bahnhöfen und zeigte rassistische und islamfeindliche Nachrichten an.
Waren persönliche Daten betroffen?
Nein, laut den Ermittlern wurden keine persönlichen Daten kompromittiert.
Wie wurde der Täter gefunden?
Die britische Transportpolizei nahm einen Mann fest, der als Insider verdächtigt wird, den Angriff ausgeführt zu haben.
Welche Maßnahmen ergreift Telent?
Telent arbeitet eng mit Network Rail, Global Reach und den Behörden zusammen, um den Vorfall aufzuklären und den Wi-Fi-Dienst schnell wiederherzustellen.
Fazit: Ein Weckruf für die IT-Sicherheit
Der rassistische Angriff auf das Wi-Fi von Network Rail war nicht nur ein technisches Problem, sondern auch ein schmerzhafter Weckruf für Unternehmen, die Insiderbedrohungen oft unterschätzen.
Es zeigt, wie wichtig es ist, sowohl auf externe als auch interne Risiken vorbereitet zu sein und die richtigen Sicherheitsvorkehrungen zu treffen. Insider-Angriffe können jeden treffen – und ihre Auswirkungen sind oft schwerwiegend.