Anzeige

Hacker

Vielleicht wurde eine kompromittierte Mail geöffnet oder Angreifer nutzten in der Breite eine Sicherheitslücke wie beim Microsoft Exchange Server im Frühjahr 2021: Hackerangriffe sind eine reale Bedrohung für Unternehmen und können schnell teuer werden.

Wenn der Worst Case eintritt, gilt es Ruhe zu bewahren und möglichst keine Beweise, das heißt, Angriffsspuren zu vernichten. Dann kann ein Incident-Response-Team an die Arbeit gehen, das Einfallstor und den Angriff nachvollziehen und die Integrität  der Systeme wiederherstellen.

Ein Unternehmen ist ins Visier von Hackern geraten, Fehlermeldungen tauchen auf, vielleicht wurden erste Systemteile bereits gesperrt und Erpressungsbotschaften übermittelt. Der Angreifer wird versuchen, zu Accounts mit mehr Rechten vorzustoßen, um Daten zu stehlen oder mit einem Trojaner Systeme zu verschlüsseln. Erreicht er die Domain-Controller-Privilegien, ist das der Worst Case für Unternehmen, da dem Angreifer damit im wahrsten Sinne des Wortes alle Türen offenstehen.

Wenn Unternehmen einen Angriff bemerken, breitet sich schnell Panik aus, Mitarbeiter werden nach Hause geschickt und man versucht, den Schaden zu begrenzen. Hier gilt: Ruhe bewahren und so schnell es geht einen Experten einschalten, der mit einem Incident-Response-Team den Angriffsverlauf nachvollziehen und Empfehlungen geben kann, welche Systeme mit welchem Backup wiederhergestellt werden können. Um den Cyber-Detektiven die Arbeit zu erleichtern, sollten Unternehmen einiges beachten. Optimal ist es, wenn ein IT-Experte bereits den Umfang des Schadens abschätzen kann.

Malware nicht löschen, Systeme wenn möglich isolieren

Malware darf, wenn sie identifiziert wurde, nicht gelöscht werden. Das erschwert dem Response-Team die Arbeit, da auf diese Weise Spuren vernichtet oder manipuliert werden können. Zudem kommt der Löschvorgang meistens zu spät und die Wahrscheinlichkeit, alle betroffenen Systeme zu identifizieren, ist gering. Besser ist es, das System im Ist-Zustand zu belassen, so dass die Experten Beweise wiederfinden und analysieren können und Rückschlüsse auf die Vorgehensweise des Angreifers und seine Tools möglich werden. Auch eine Weiternutzung des Systems sollte wenn möglich unterbleiben. Es ist ebenfalls nicht ratsam, Backups selbst einzuspielen, da auch diese infiziert sein können.

Sinnvoll kann es dagegen sein, die infizierten Systeme wenn möglich zu isolieren. Zwar weiß der Angreifer dann, dass er entdeckt wurde, eine frühe Isolation kann ihn aber daran hintern, sich im Netzwerk weiter fortzubewegen. Man läuft allerdings Gefahr, dass die Isolation nicht vollständig ist, wenn man den Angriffsumfang noch nicht kennt. Es ist deswegen wichtig eine valide Einschätzung geben zu können, wie weit der Hacker vorgedrungen ist. Für die meisten Systemadministratoren keine einfache Aufgabe.

Es ist zudem sinnvoll, das Netzwerk zu trennen, bei einem Laptop das WLAN auszuschalten und an den Strom anzuschließen. Das Vorgehen bei Servern hängt von ihrer Funktionsweise und Verwendung ab: Ist er geschäftskritisch, weil er zum Beispiel den Online-Shop bereitstellt, wäre es ratsam, das Gerät zu isolieren, da ein Angreifer sich sonst im Netzwerk ausbreiten kann. Der Kunde muss die Entscheidung fällen, es ist meist aber empfehlenswert, mehr statt weniger zu isolieren.

Im Falle von Ransomware-Attacken sind Backups der einzige Weg, die Systeme wiederherzustellen. Deswegen müssen sie gesondert außerhalb des Netzwerks gesichert werden und offline verfügbar sein. Nur so laufen Unternehmen nicht Gefahr, dass ihre Backups bei einem Angriff mitverschlüsselt und damit wertlos werden.

Systemverhalten überwachen und Auffälligkeiten schnell erkennen

IT-Verantwortliche haben die Möglichkeit, das Verhalten der Systeme und Prozesse zu überwachen, Daten aller Geräte im Netzwerk zu sammeln und zu visualisieren, was im Angriffsfall schnelle Rückschlüsse erlaubt und eine solide Entscheidungsbasis darstellt. So können zum Beispiel Meldungen von Antiviren-Scanner an den Admin kommuniziert werden, über die sonst nur der User im Bilde ist. Mit einer solchen zentralen Lösung können durch die Auswertung bestenfalls Angriffsmuster sofort entdeckt werden, etwa, wenn sich auf einem Gerät hunderte Login-Versuche in wenigen Minuten häufen.

Alle Beobachtungen und ergriffenen Maßnahmen sollten für das Einsatz-Team schriftlich und formlos dokumentiert werden. Sie sollten möglichst genau und dürfen gern ausführlich sein. Dazu gehören alle Änderungen, die am System vorgenommen wurden, wie ein Neustart, aber auch das Verhalten des Systems oder Hinweise von Mitarbeitern, etwa, wenn Phishing-Mails eingegangen sind, die nach wie vor das zentrale Einfallstor für Hackerangriffe sind. Diese Verdachtsmomente sind relevant, ebenso Antworten auf die Fragen: Wer hat das System als Letzter benutzt und was wurde im System gemacht, nachdem der Angriff bemerkt wurde? Zentral ist hier die Frage, was wann passiert ist. Denn herrscht Klarheit über den Beginn des Angriffs, kann zum Beispiel die Sicherheit von Backups eingeschätzt werden, wenn sie vor dem Angriff erfolgt sind.


Artikel zu diesem Thema

Backup
Okt 20, 2021

„Always-On”-Backup - Daten in Sekundenschnelle wiederherstellen

IT-Systeme müssen immer und überall verfügbar sein. Dies erfordert aber auch, dass…
Cyber Security
Jul 01, 2021

Cybersecurity Threat Intelligence als stärkste Waffe im Kampf gegen Cyberkriminelle

Die Pandemie hat Unternehmen und Entscheidungsträger weltweit vor unzählige…
Incident Response
Okt 02, 2020

Schnelle Schadensbegrenzung durch Incident Response

Wirft man einen Blick hinter die Kulissen der IT-Sicherheit, kommt einem unweigerlich die…

Weitere Artikel

Internetsicherheit

Status Quo Internetsicherheit 2021

Wir leben in einer Zeit, da die Schlagzeilen suggerieren, dass alles immer nur schlimmer und bedrohlicher geworden ist. Das gilt auch für die Sicherheit der Internetnutzer:innen. Ich bin überzeugt, dass hier schon vieles erreicht wurde. Hier ein Rückblick auf…
Backup

Nachholbedarf bei Backups als Vorsorge für Ransomware-Angriffe

Rubrik hat die Ergebnisse seiner Studie „Immutable back-ups: Separating hype from reality“ bekannt gegeben. Hierzu befragte das Unternehmen 150 IT-Führungskräfte in der EU und Großbritannien zu unveränderlichen Backups vor dem Hintergrund zunehmender…
Hackerangriff

Schutz des IT-Netzwerkes

„An einem kalten Februartag brechen in Europa alle Stromnetze zusammen. Der totale Blackout. Ein Hackerangriff? … In seinem Roman „Black Out“ skizziert Marc Elsberg die Folgen einer Manipulation von Endgeräten im Stromnetz, ganz Europa ist ohne…
Cyber Security Schild

Die menschliche Firewall stärken

Zum Anlass des Tages der Computersicherheit am 30. November ein Kommentar Rainer Seidlitz, Leiter Produkt-Management Safety & Security, TÜV SÜD Akademie GmbH.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.