Unternehmen gehackt? Das ist zu tun!
Leider gibt es auch für Unternehmen keinen hundertprozentigen Schutz vor Cyberattacken und Hackerangriffen. Dazu kommt allerdings, dass viele Firmen die Gefahr aus den Untiefen des Netzes unterschätzen und im Ernstfall eines Angriffs zunächst vor allem strategisch überfordert sind. Um Unternehmen auf genau diesen Fall vorzubereiten, bieten zahlreiche Player am Markt Trainings an, die IT-Spezialisten für den Fall der Fälle das richtige Handwerkszeug liefern sollen.
Frank Kölmel, Vice President beim IT-Sicherheitsanbieter FireEye, gibt im Folgenden einen Überblick über die Maßnahmen, die Unternehmen nach einem Angriff durch Cyberkriminelle fahren sollten. Die Kurzfassung dieser Handlungsanweisungen steht Ihnen in der Bildergalerie zur Verfügung - weitere Informationen finden Sie im Fließtext.
- 1. Bestätigung & Analyse
Bevor erste Maßnahmen gezogen werden, gilt es zu klären: Welche Systeme sind von dem Angriff betroffen? Welchen Daten wurden geklaut und in welchem Ausmaß? Besonders im Fall von Ransomware, muss zunächst eine offizielle Analyse des Schadens gefahren werden. Oftmals legen Angreifer angeblich gestohlene Daten vor – auch deren Echtheit und Herkunft gilt es zu bestätigen. - 2. Faktor Mensch
Maschinen mögen berechenbar sein, die nächsten Schritte des Angreifers jedoch nicht. Das sofortige Schließen einer Sicherheitslücke, ist nicht zwingend der richtige Weg. Oftmals ist es sinnvoller, zunächst alle Stellen zu identifizieren, an denen der Eindringling sich bereits eingenistet hat, um dann alle Verbindungen zu kappen. Wer sich ausschließlich auf die Beseitigung von Malware konzentriert, sieht nur die Hälfte des Problems. - 3. Schnelles Handeln
Ist ein Hacker einmal erfolgreich in das System eingedrungen, so wird er versuchen, über einzelne Systeme hinaus die Kontrolle über das gesamte Netzwerk auszuweiten. Die Malware sucht dafür nach gemappten Laufwerken auf infizierten Laptops oder Desktops und verbreitet sich tiefer in die Netzwerk-Fileshares hinein. Aus Mangel an Zeit müssen Organisationen so schnell wie möglich mit allen zur Verfügung stehenden Ressourcen arbeiten, um den Schaden so gering wie möglich zu halten. - 4. Ziel vor Augen
Wurde ein Cyberangriff entdeckt, müssen Unternehmen schnell und akkurat reagieren. Damit dies gelingt, braucht es einen Incident Response Plan, der für jede Organisation individuell auszuarbeiten ist und nach den jeweiligen Bedürfnissen priorisiert. - 5. Schweigen ist Gold
Nicht alle Angreifer erwarten eine Reaktion. Es kommt vor, dass Angreifer weiterziehen, wenn ihre Forderungen unbeachtet bleiben. Dies ist beispielsweise der Fall, wenn Hacker mit dem Ausnutzen einer bestimmten Schwachstelle hunderte von Unternehmen im Visier hatten. Doch es gibt auch jene, die ungeduldig werden, sollten sie keine Reaktion bekommen. Egal wie, sollte jede Interaktion mit den Cyberkriminellen auf ein Minimum beschränkt und juristisch begleitet werden. - 6. Kommunikation & Transparenz
Die Aufarbeitung eines Cyberangriffs hat viel mit richtiger Kommunikation zu tun: Intern sind Mitarbeiter der verschiedenen Fachabteilungen auf die für sie relevanten Informationen zum Status Quo und dem weiteren Vorgehen angewiesen. Nach außen ist die Offenlegung des Angriffes an Partner und Kunden Teil der Schadensminderung. Oft fürchten Organisationen nach einem Sicherheitsvorfall Imageschäden. Tatsächlich ist die Toleranz der Betroffenen umso höher, je transparenter Unternehmen agieren. - 7. Lösegeld-Zahlungen
Im Fall von Ransomware ist es nicht immer die richtige Entscheidung, das Lösegeld zu zahlen. Eine Garantie, dass es bei einer Zahlung bleibt, ist zu keinem Zeitpunkt gegeben. Auch eine Rückgabe der gestohlen Daten oder eine Entschlüsselung kann mit keiner Summe sichergestellt werden. Cybersecurity-Experten, die Erfahrung mit Ransomware-Angriffen haben, können die risikoärmste Entscheidung für jeden Einzelfall am besten abschätzen. - 8. Sofortiger Handlungsbedarf
Die Wahrscheinlichkeit ist groß, dass nach dem ersten Angriff weitere Cyberkriminelle versuchen werden, in das Netzwerk einzudringen. Die IT-Abteilung muss die Sicherheitsvorkehrungen deshalb so schnell wie möglich erhöhen. Dazu gehört auch die Aufklärung aller beteiligten Ebenen im Unternehmen – fachspezifisch aufbereitet für technische Mitarbeiter, die Rechtsabteilung und das Management. - 9. Vorsorge statt Nachsorge
Das Aufrüsten der Technologie ist die eine Seite der Vorsorge. Dazu gehören auch Penetrationstest, die dabei helfen, die eigenen Sicherheitskontrollen zu bewerten, Schwachstellen zu identifizieren und sofort zu beheben. Die andere Seite ist das Bewusstmachen darüber, dass hinter fast jedem Angriff ein bestimmtes Ziel steckt. Mithilfe von Threat Intelligence (nicht zu verwechseln mit IoC-Feeds) und einem genauen Täter-Profiling kann identifiziert werden, welches Ziel die Hacker verfolgen und an welchen Daten sie interessiert sind.
1. Jeder Cyberangriff muss bestätigt und analysiert werden
Bevor erste Maßnahmen gezogen werden, gilt es zu klären: Welche Systeme sind von dem Angriff betroffen? Welchen Daten wurden geklaut und in welchem Ausmaß? Besonders im Fall von Ransomware, mit der Hacker von betroffenen Organisationen Lösegeld in Form von Bitcoins fordern, um den Entschlüsselungscode und damit die gesperrten Daten wieder zurückzubekommen, muss zunächst eine offizielle Analyse des Schadens gefahren werden. Oftmals legen Angreifer zum Beweis angeblich gestohlene Daten vor - auch deren Echtheit und Herkunft gilt es zu bestätigen.
2. Hinter dem Angriff steht nicht nur Technologie, sondern ein Mensch
Und Menschen reagieren emotional. Maschinen mögen berechenbar sein, die nächsten Schritte des Angreifers jedoch nicht. Ein Beispiel: Das sofortige Schließen einer Sicherheitslücke, durch die ein Angreifer eingedrungen ist, ist nicht zwingend der richtige Weg. Bemerkt der Hacker, dass er entdeckt wurde, wird er andere Wege nutzen, um an sein Ziel zu gelangen. Oftmals ist es sinnvoller, zunächst alle Stellen zu identifizieren, an denen der Eindringling sich bereits eingenistet hat, um dann alle Verbindungen zu kappen. Wer sich ausschließlich auf die Beseitigung von Malware - das bloße Werkzeug der Angreifer - konzentriert, sieht nur die Hälfte des Problems.
3. Je schneller Unternehmen handeln, desto mehr kann gerettet werden
Ist ein Hacker einmal erfolgreich in das System eingedrungen, so wird er versuchen, über einzelne Systeme hinaus die Kontrolle über das gesamte Netzwerk auszuweiten. Indem er die gesamte Infrastruktur mappt, versucht er die wichtigsten Assets zu definieren und einen Stützpunkt auf allen Zielservern zu etablieren. Die Malware sucht dafür nach gemappten Laufwerken auf infizierten Laptops oder Desktops und verbreitet sich tiefer in die Netzwerk-Fileshares hinein. Aus Mangel an Zeit müssen Organisationen so schnell wie möglich mit allen zur Verfügung stehenden Ressourcen arbeiten, um den Schaden so gering wie möglich zu halten.
4. Alle Aktionen müssen auf ein Ziel hinauslaufen
Wurde ein Cyberangriff entdeckt, müssen Unternehmen schnell und akkurat reagieren. Damit dies gelingt, braucht es einen Incident Response Plan, der für jede Organisation individuell auszuarbeiten ist und nach den jeweiligen Bedürfnissen priorisiert. Für bestimmte Branchen mag die möglichst schnelle Rückkehr zum Daily Business das Wichtigste sein. Für andere steht das persönliche Identifizieren des Angreifers an oberster Stelle. Auch ein genaues Protokoll über das Ausmaß des Datenverlusts ist notwendig, insbesondere wenn Kundendaten im Spiel sind.
5. Eine direkte Kontaktaufnahme zum Angreifer sollte abgewägt werden
Nicht alle Angreifer erwarten eine Reaktion. Es kommt vor, dass Angreifer weiterziehen, wenn ihre Forderungen unbeachtet bleiben. Dies ist beispielsweise der Fall, wenn Hacker mit dem Ausnutzen einer bestimmten Schwachstelle hunderte von Unternehmen im Visier hatten. Doch es gibt auch jene, die ungeduldig werden, sollten sie keine Reaktion bekommen. Egal wie, sollte jede Interaktion mit den Cyberkriminellen auf ein Minimum beschränkt und wohldurchdacht sein und juristisch begleitet werden.
- Platz 1: administrator
Der einfache "administrator" kommt in viele Systeme hinein ... - Platz 3: user1
Und sollte der Administrator nichts helfen, bleiben immer noch der einfache Nutzer... - Platz 4: admin
... und die Kurzform des Administrators. - Platz 5: alex
Alexander der Große hätte vielleicht seine Freude gehabt - genau wie bei den Hacker-Passwörten ist "alex" auch bei den Nutzernamen vorne mit dabei. - Platz 6: pos
Weil sich viele der Angriffe auf Point-of-Sale-Systeme (PoS) beziehen, kann man es ja mal versuchen ... - Platz 7: demo
Vielleicht existiert ja so etwas wie ein Musterzugang zu Demonstrationszwecken ... - Platz 8: db2admin
Der DB2 Administration Server der IBM lässt sich mit diesem Kommando verwalten. Kein Wunder also, dass dieser Nutzername in sämtlichen Hacker-Datenbanken auftaucht. - Platz 9: Admin
Wie gehabt. - Platz 10: sql
SQL ist eine Datenbanksprache unter anderem zum Bearbeiten von Datenbeständen. Viele Webserver arbeiten damit - also durchaus verständlich, warum dies auch ein beliebter Nutzername ist.
6. Interne und externe Kommunikation sind genauso wichtig wie technologische Maßnahmen
Das Aufarbeiten eines Cyberangriffs hat viel mit richtiger Kommunikation zu tun: Intern sind Mitarbeiter der verschiedenen Fachabteilungen auf die für sie relevanten Informationen zum Status Quo und dem weiteren Vorgehen angewiesen. Nach außen ist die Offenlegung des Angriffes an Partner und Kunden Teil der Schadensminderung. Oft fürchten Organisationen nach einem Sicherheitsvorfall Imageschäden. Tatsächlich ist die Toleranz der Betroffenen umso höher, je transparenter Unternehmen agieren. Laut einer aktuellen Umfrage, die Vanson Bourne im Auftrag von FireEye durchführte, erwarten 85 Prozent der Befragten in Deutschland, dass Unternehmen - sofern bei dem Cyberangriff persönliche Daten von Kunden entwendet wurden - binnen 24 Stunden informiert zu werden.
7. Lösegeld ist nicht zwingend der richtige Weg
Im Fall von Ransomware ist es nicht immer die richtige Entscheidung, das Lösegeld zu zahlen. Eine Garantie, dass es bei einer Zahlung bleibt, ist zu keinem Zeitpunkt gegeben. Auch eine Rückgabe der gestohlen Daten oder eine Entschlüsselung kann mit keiner Summe sichergestellt werden. Cybersecurity-Experten, die Erfahrung mit Ransomware-Angriffen haben, können die risikoärmste Entscheidung für jeden Einzelfall am besten abschätzen.
8. Nach einem Angriff müssen Sicherheitsvorkehrungen sofort erhöht werden
Die Wahrscheinlichkeit ist groß, dass nach dem ersten Angriff weitere Cyberkriminelle versuchen werden, in das Netzwerk einzudringen. Die IT-Abteilung muss die Sicherheitsvorkehrungen deshalb so schnell wie möglich erhöhen. Dazu gehört auch die Aufklärung aller beteiligten Ebenen im Unternehmen - fachspezifisch aufbereitet für technische Mitarbeiter, die Rechtsabteilung und das Management.
9. Vorsorge ist besser als Nachsorge - mit Threat Intelligence
Das Aufrüsten der Technologie ist die eine Seite der Vorsorge. Dazu gehören auch Penetrationstest, die dabei helfen, die eigenen Sicherheitskontrollen zu bewerten, Schwachstellen zu identifizieren und sofort zu beheben. Die andere Seite ist das Bewusstmachen darüber, dass hinter fast jedem Angriff ein bestimmtes Ziel steckt. Mithilfe von Threat Intelligence (nicht zu verwechseln mit IoC-Feeds) und einem genauen Täter-Profiling kann identifiziert werden, welches Ziel die Hacker verfolgen und an welchen Daten sie interessiert sind. So lässt sich der Kreis potenzieller Angreifer eingrenzen und eventuelle weitere Attacken verhindern.
- Platz 1: x
Ein einfaches x scheint vielerorts schon zu genügen, um hineinzukommen. - Platz 2: Zz
Wer sich ein wenig mit der Unix-Shell auskennt, weiß, dass der Texteditor vi zum Speichern von Dateien die Eingabe zweier großer Z verlangt. Ob dieses beliebte Passwort etwa daher rührt, ist nicht bekannt - die Ähnlichkeit ist jedoch verblüffend. - Platz 3: Start123
Ein typischen Standard-Passwort von Geräteherstellern. Wer es nicht ändert, ist selbst schuld. - Platz 4: 1
Fast noch einfacher als das x, steht die 1 in der Liste nur auf 4. - Platz 5: P@ssw0rd
Buchstaben durch Zahlen oder Sonderzeichen zu ersetzen, ist auch keine wirkliche Innovation... - Platz 6: bl4ck4ndwhite
"It don't matter if you're black or white" sang Michael Jackson einst - hier spielt es auch keine Rolle, die kombinierte Farbenlehre sorgt aber durchaus für Hacker-Stimmung. - Platz 7: admin
Der Klassiker darf natürlich nicht fehlen. - Platz 8: alex
Ob Tote-Hosen-Sänger Campino hier seine Hände mit im Spiel hat, ist äußerst unwahrscheinlich. Für viele Hacker-Routinen gilt trotzdem: Hier kommt Alex... - Platz 9: .......
Über sieben Punkte musst du gehen... - Platz 10: administrator
... und landest schließlich wieder beim IT-Experten schlechthin, dem Admin.