Anzeige

Hacker

Die Cyber-Detektive vollumfänglich mit Informationen versorgen

Ist das Einsatz-Team im Bilde, werden im nächsten Schritt der Scope und der Auftrag, das Einsatzziel, festgelegt: Welche Unterstützung benötigt das Unternehmen - wurden Daten entwendet, soll der Angriffsverlauf festgestellt werden, welche Systeme sind sauber, muss eine Wiederherstellung bzw. ein Wiederaufbau erfolgen? Von diesen Antworten hängen die Werkzeuge ab, die das Einsatz-Team mitbringt. Meist geht es darum, den Patient Zero in einer Root Cause Analyse zu finden und festzustellen, welche Systemteile infiziert sind.

Die Cyber-Detectives nutzen dann die zur Verfügung stehende Information und verschiedene Datenquellen, um dem Angreifer auf die Spur zu kommen: Das Team benötigt optimalerweise eine Übersicht der IT-Systeme mit Servern und Clients, der Art der Systeme - Linux- bzw. Mac -  und muss wissen, ob Mitarbeiter mit eigenen Geräten arbeiten dürfen, was nicht nur ein zusätzliches Risiko für Angriffe darstellt, sondern auch den Datenschutz erschwert. Aus der Logging Policy gehen Prozesse und Verhalten von Sicherheitssystemen hervor, etwa, welche Quellen angebunden sind und in welchen Zyklen geloggt wird. Auch Sicherheitstools verfügen meist über eine Aufzeichnungsfunktion und liefern weitere Informationen.

Im besten Fall sind die Netzwerke segmentiert und die User mit Rollen und Zugriffsrechten ausgestattet, was einen Angriff erschwert. Wichtig für das Einsatzteam ist darüber hinaus die Kenntnis des Patch-Standes der Systeme wie Webserver, die von außen erreichbar sind. Wurden diese seit einer längeren Zeit nicht mehr gepatcht, können sie ein wahrscheinliches Einfallstor für Hacker sein. Threat Intelligence in Form von technischer Beschreibung von Spuren vergangener Angriffe lassen potenziell Rückschlüsse auf den aktuellen Fall zu: Im Frühjahr 2021 sorgte zum Beispiel eine Sicherheitslücke im Microsoft Exchange Server für eine Welle erfolgreicher Angriffe.

Im Austausch bleiben und aus Fehlern lernen

IT-Verantwortliche und Response-Experten stehen während des Einsatzes im engen Austausch. So wird zum einen sichergestellt, dass das Response-Team alle notwendigen Informationen erhält und andererseits die IT-Verantwortlichen auf dem aktuellen Stand bleiben. In mehreren formlosen Telefonaten tauscht man sich täglich aus. Hilfreich für das Einsatz-Team ist dabei die Teilnahme eines IT-Spezialisten, der Fragen zu Systemen beantworten kann, so dass das Team diese nicht mit einer aufwändigen Analyse erschließen muss. Der zeitliche Umfang, bis ein Angriff abgewehrt werden kann, hängt von diversen Faktoren ab.

Ein Incident ist immer ein Schock und meist teuer - er kostet Zeit, Geld, Ressourcen und negative PR. Deswegen ist es umso wichtiger, daraus zu lernen und Handlungsempfehlungen mitzunehmen, wie man Angriffen künftig vorbeugen und seine Systeme sichern kann. Die Bedeutung von Cyber Security wird Unternehmen meist erst dann klar, wenn ein Angriff erfolgt ist. Auch hier kann das Response Team eine erste Empfehlung geben, welche Tools notwendig sind, um das Sicherheitsniveau zu erhöhen.

Unternehmen sollten außerdem die Kommunikation mit Behörden und ihre Meldepflichten berücksichtigen. Abhängig vom Schaden wie etwa Datenabfluss müssen verschiedene Stellen benachrichtigt werden, bei Unternehmen mit KRITIS zum Beispiel das BSI.

Ob ein Krisenmanager eingesetzt wird, entscheidet das Unternehmen. In manchen Fällen ist diese Rolle auch durch externe Dienstleister besetzt. Seine Funktion besteht darin, die Organisation zu leisten und interdisziplinär zu arbeiten. Denn von einem Angriff ist die Rechtsabteilung eines Unternehmens meist ebenso betroffen wie die Kommunikation.

Fazit

Ein Hackerangriff trifft viele Unternehmen als Schock. Das Wichtigste: Ruhe bewahren und Experten hinzuziehen. Je weniger an den Systemen gemacht wird, umso besser - auf diese Weise werden keine Spuren verwischt und das Incident-Response-Team kann den Angriffsverlauf leichter nachvollziehen, die Systeme bereinigen und wiederherstellen.

Evgen Blohm, Cyber Defense Consultant, SECUINFRA Falcon Team

www.secuinfra.com/de/services/incident-response
 


Artikel zu diesem Thema

Backup
Okt 20, 2021

„Always-On”-Backup - Daten in Sekundenschnelle wiederherstellen

IT-Systeme müssen immer und überall verfügbar sein. Dies erfordert aber auch, dass…
Cyber Security
Jul 01, 2021

Cybersecurity Threat Intelligence als stärkste Waffe im Kampf gegen Cyberkriminelle

Die Pandemie hat Unternehmen und Entscheidungsträger weltweit vor unzählige…
Incident Response
Okt 02, 2020

Schnelle Schadensbegrenzung durch Incident Response

Wirft man einen Blick hinter die Kulissen der IT-Sicherheit, kommt einem unweigerlich die…

Weitere Artikel

2021

Im Jahr 2021 wurden über 40 Milliarden Datensätze offengelegt

Laut einer Studie von Tenable, spezialisiert auf Cyber Exposure, wurden im Jahr 2021 weltweit mindestens 40.417.167.937 Datensätze offengelegt. Dies wurde durch die Analyse von 1.825 Datenverletzungen, die zwischen November 2020 und Oktober 2021 öffentlich…
Cyber Security

5 Schritte um Ihre IT-Sicherheit zu stärken

Fast neun von zehn Unternehmen (88 Prozent) wurden laut einer Bitkom-Umfrage in den Jahren 2020/2021 Opfer von Cyberangriffen. Starke IT-Sicherheitsvorkehrungen müssen damit für Unternehmen Priorität haben, um sich und ihre Anwendungen vor Bedrohungen zu…
Supply Chain

Es braucht keine Katastrophe, um die Lieferkette zu unterbrechen

Noch bis vor wenigen Jahren war die Sicherheit von Lieferketten für die meisten von uns nicht unbedingt ein Thema, über das wir regelmäßig nachdenken mussten. Es genügt festzustellen, dass sie seither deutlich häufiger in den Schlagzeilen zu finden ist - und…
Cyber Security

Was steht der Cybersicherheit im Jahr 2022 bevor?

2021 war ein Jahr, in dem sich die Ereignisse überschlugen. Die Pandemie führte zu mehr Spaltung, mehr Isolation und einem allgemeinen Unsicherheitsgefühl in vielen Lebensbereichen. In der Cybersicherheit gab es einen starken Anstieg der Zahl der…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.