Hilfe, ein Ernstfall! Wie sollten sich Unternehmen bei einem Hackerangriff verhalten?

Ein Gastbeitrag von Evgen Blohm*

Wurde etwa eine kompromittierte Mail geöffnet? Oder haben Angreifer eine Sicherheitslücke in der Breite ausgenutzt, wie es beim „Microsoft Exchange Server“ im Frühjahr 2021 geschehen ist? Hackerangriffe stellen eine reale Bedrohung für Unternehmen dar und können schnell teuer werden. Tritt der Worst Case ein, gilt es allerdings, Ruhe zu bewahren und nach Möglichkeit keine Angriffsspuren zu vernichten. Dann kann sich ein Incident-Response-Team an die Arbeit machen, das Einfallstor und den Angriff nachvollziehen und die Integrität der Systeme wiederherstellen.

Firmen zum Thema

Im Ernstfall gilt es, das Incident-Response-Team bestmöglich zu unterstützen.
Im Ernstfall gilt es, das Incident-Response-Team bestmöglich zu unterstützen.
(Bild: Werner Moser / Pixabay )

Hacker haben ein Unternehmen ins Visier genommen, es tauchen Fehlermeldungen auf, möglicherweise wurden erste Systemteile bereits mit einer Sperre belegt und Erpressungsnachrichten gehen ein. Der Angreifer wird es darauf anlegen, zu Accounts vorzustoßen, die mit mehr Rechten ausgestattet sind, um Daten abzugreifen oder per Trojaner Systeme zu verschlüsseln. Gelangt er sogar an die Domain-Controller-Privilegien, stellt dies den Worst Case für Unternehmen dar, denn dem Angreifer stehen damit wortwörtlich alle Türen offen.

Bemerkt ein Unternehmen eine Attacke, breitet sich schnell Panik aus. Mitarbeiter werden nach Hause geschickt und man versucht, den Schaden zu begrenzen.

Doch gilt: Ruhe bewahren und so schnell es geht einen Experten konsultieren, der durch Aktivierung eines Incident-Response-Teams den Angriffsverlauf nachvollziehen und Empfehlungen geben kann, welche Systeme mit welchem Backup wiederhergestellt werden können. Unternehmen sollten dabei einiges beachten um den Cyber-Detektiven die Arbeit zu erleichtern. Im besten Fall kann ein IT-Experte bereits den Schadensumfang abschätzen.

Systeme, wenn möglich, isolieren, Malware nicht löschen

Falls Malware identifiziert wurde, darf sie nicht gelöscht werden. Sonst erschwert dies dem Response-Team die Arbeit, da die Löschung Spuren vernichtet oder manipuliert werden können. Zudem kommt der Löschvorgang meistens zu spät und die Wahrscheinlichkeit, alle betroffenen Systeme zu identifizieren, ist gering.

Stattdessen bietet es sich an, das System im Ist-Zustand zu belassen, so dass die Experten Beweise wiederfinden und analysieren können sowie Rückschlüsse auf die Vorgehensweise des Angreifers und seine Tools möglich werden. Auch eine Weiternutzung des Systems sollte wenn möglich nicht erfolgen. Es ist ebenfalls nicht ratsam, Backups selbst einzuspielen, denn auch diese können infiziert sein.

Sinnvoll kann es dagegen sein, die infizierten Systeme wenn möglich zu isolieren. Zwar weiß der Angreifer dann, dass er entdeckt wurde. Eine frühe Isolation kann ihn aber daran hindern, sich im Netzwerk weiter fortzubewegen.

Wenn und Aber

Man läuft allerdings Gefahr, dass die Isolation nicht vollständig ist, wenn man den Angriffsumfang noch nicht kennt. Es ist deswegen wichtig, eine valide Einschätzung geben zu können, wie weit der Hacker vorgedrungen ist. Für die meisten Systemadministratoren keine einfache Aufgabe.

Es ist zudem sinnvoll, das Netzwerk zu trennen sowie bei einem Laptop das WLAN auszuschalten und ihn an den Strom anzuschließen. Das Vorgehen bei Servern hängt von ihrer Funktionsweise und Verwendung ab: Ist er geschäftskritisch, weil er zum Beispiel den Online-Shop bereitstellt, wäre es ratsam, das Gerät zu isolieren, da ein Angreifer sich sonst im Netzwerk ausbreiten kann. Der Kunde muss die Entscheidung fällen, es ist meist aber empfehlenswert, mehr statt weniger zu isolieren.

Im Falle von Ransomware-Attacken sind Backups der einzige Weg, die Systeme wiederherzustellen. Deswegen müssen sie gesondert außerhalb des Netzwerks gesichert werden und offline verfügbar sein. Nur so laufen Unternehmen nicht Gefahr, dass ihre Backups bei einem Angriff mitverschlüsselt und damit wertlos werden.

Systemverhalten überwachen und Auffälligkeiten schnell erkennen

IT-Verantwortliche haben die Möglichkeit, das Verhalten der Systeme und Prozesse zu überwachen, Daten aller Geräte im Netzwerk zu sammeln und zu visualisieren, was im Angriffsfall schnelle Rückschlüsse erlaubt und eine solide Entscheidungsbasis darstellt. So können zum Beispiel Meldungen von Antiviren-Scannern an den Admin kommuniziert werden, über die sonst nur der User im Bilde ist. Mit einer solchen zentralen Lösung können durch die Auswertung bestenfalls Angriffsmuster sofort entdeckt werden, etwa, wenn sich auf einem Gerät hunderte Login-Versuche in wenigen Minuten häufen.

Alle Beobachtungen und ergriffenen Maßnahmen sollten für das Einsatzteam schriftlich und formlos dokumentiert werden. Sie sollten möglichst genau und dürfen gern ausführlich sein. Dazu gehören alle Änderungen, die am System vorgenommen wurden - wie ein Neustart, aber auch das Verhalten des Systems oder Hinweise von Mitarbeitern, etwa auf eingegangene Phishing-Mails.

Letztere sind nach wie vor das zentrale Einfallstor für Hackerangriffe. Diese Verdachtsmomente sind relevant, ebenso Antworten auf die Fragen: Wer hat das System als Letzter benutzt und was wurde im System gemacht, nachdem der Angriff bemerkt wurde? Zentral ist hier die Frage, was wann passiert ist. Denn herrscht Klarheit über den Beginn des Angriffs, kann zum Beispiel die Sicherheit von Backups eingeschätzt werden, wenn sie vor dem Angriff erfolgt sind.

Cyber-Detektive vollumfänglich mit Informationen versorgen

Ist das Einsatz-Team im Bilde, werden im nächsten Schritt der Scope und der Auftrag, das Einsatzziel, festgelegt: Welche Unterstützung benötigt das Unternehmen - wurden Daten entwendet, soll der Angriffsverlauf festgestellt werden, welche Systeme sind sauber, muss eine Wiederherstellung beziehungsweise ein Wiederaufbau erfolgen? Von diesen Antworten hängen die Werkzeuge ab, die das Einsatzteam mitbringt. Meist geht es darum, den Patient Zero in einer Root Cause Analyse zu finden und festzustellen, welche Systemteile infiziert sind.

Die Cyber-Detectives nutzen dann die zur Verfügung stehende Information und verschiedene Datenquellen, um dem Angreifer auf die Spur zu kommen: Das Team benötigt optimalerweise eine Übersicht der IT-Systeme mit Servern und Clients, der Art der Systeme - Linux- beziehungsweise Mac - und muss wissen, ob Mitarbeiter mit eigenen Geräten arbeiten dürfen, was nicht nur ein zusätzliches Risiko für Angriffe darstellt, sondern auch den Datenschutz erschwert.

Aus der Logging Policy gehen Prozesse und Verhalten von Sicherheitssystemen hervor, etwa, welche Quellen angebunden sind und in welchen Zyklen geloggt wird. Auch Sicherheits-Tools verfügen meist über eine Aufzeichnungsfunktion und liefern weitere Informationen.

Im besten Fall

Im besten Fall sind die Netzwerke segmentiert und die User mit Rollen und Zugriffsrechten ausgestattet, was einen Angriff erschwert. Wichtig für das Einsatzteam ist darüber hinaus die Kenntnis des Patch-Standes der Systeme wie Web-Server, die von außen erreichbar sind. Wurden diese seit einer längeren Zeit nicht mehr gepatcht, können sie ein wahrscheinliches Einfallstor für Hacker sein.

Threat Intelligence in Form von technischer Beschreibung von Spuren vergangener Angriffe lassen potenziell Rückschlüsse auf den aktuellen Fall zu: Im Frühjahr 2021 sorgte zum Beispiel eine Sicherheitslücke im Microsoft Exchange Server für eine Welle erfolgreicher Angriffe.

Im Austausch bleiben und aus Fehlern lernen

IT-Verantwortliche und Response-Experten stehen während des Einsatzes im engen Austausch. So wird zum einen sichergestellt, dass das Response-Team alle notwendigen Informationen erhält und andererseits die IT-Verantwortlichen auf dem aktuellen Stand bleiben. In mehreren formlosen Telefonaten tauscht man sich täglich aus.

Hilfreich für das Einsatz-Team ist dabei die Teilnahme eines IT-Spezialisten, der Fragen zu Systemen beantworten kann, so dass das Team diese nicht mit einer aufwändigen Analyse erschließen muss. Der zeitliche Umfang, bis ein Angriff abgewehrt werden kann, hängt von diversen Faktoren ab.

Ein Hackerangriff trifft viele Unternehmen als Schock. Das Wichtigste: Ruhe bewahren und Experten hinzuziehen.
Ein Hackerangriff trifft viele Unternehmen als Schock. Das Wichtigste: Ruhe bewahren und Experten hinzuziehen.
(Bild: Secuinfra)

Ein Incident ist immer ein Schock und meist teuer - er kostet Zeit, Geld, Ressourcen und negative PR. Deswegen ist es umso wichtiger, daraus zu lernen und Handlungsempfehlungen mitzunehmen, wie man Angriffen künftig vorbeugen und seine Systeme sichern kann. Die Bedeutung von Cyber Security wird Unternehmen meist erst dann klar, wenn ein Angriff erfolgt ist. Auch hier kann das Response Team eine erste Empfehlung geben, welche Tools notwendig sind, um das Sicherheitsniveau zu erhöhen.

Meldepflichten

Unternehmen sollten außerdem die Kommunikation mit Behörden und ihre Meldepflichten berücksichtigen. Abhängig vom Schaden wie etwa Datenabfluss müssen verschiedene Stellen benachrichtigt werden, bei Unternehmen mit KRITIS zum Beispiel das BSI.

Ob ein Krisenmanager eingesetzt wird, entscheidet das Unternehmen. In manchen Fällen ist diese Rolle auch durch externe Dienstleister besetzt. Seine Funktion besteht darin, die Organisation zu leisten und interdisziplinär zu arbeiten. Denn von einem Angriff ist die Rechtsabteilung eines Unternehmens meist ebenso betroffen wie die Kommunikation.

* Evgen Blohm ist Cyber Defense Consultant des Secuinfra Falcon Teams.

(ID:47846072)