Gehackt, was ist zu tun?

Wenn du gehackt wurdest, solltest du sofort mit Maßnahmen zur Schadensbegrenzung und Dokumentation beginnen. In diesem Beitrag führen wir dich Schritt für Schritt durch die Bearbeitung eines Hacking Incidents.

Inhaltsverzeichnis

Erkennung von Hacking Angriffen

Schadprogramme oder Aktivitäten von Black Hats können aufgrund ihrer Aktualität oder durch Verschleierungstechniken nicht immer sofort von Endpoint Protections oder Antivirenprogrammen erkannt werden. Hier ist eine Kombination aus verschiedenen Maßnahmen gefragt, um Angreifer dennoch rechtzeitig zu bemerken:

  • detaillierte Log-Protokolle
  • allgemeine Netzwerküberwachung
  • granulare Steuerung des Datenflusses und der Vergabe von Berechtigungen innerhalb der Unternehmensinfrastruktur
  • das wache Auge der Administratoren


Nicht zu vergessen ist hier die zeitnahe Meldung von Auffälligkeiten durch eure User.

Durch IT Sicherheitsberatungen kannst du dich bereits vor einem Incident von Experten beraten lassen oder eine Schwachstellenanalyse eures Systems durchführen lassen.

Wie gut bist du auf einen Hacking Angriff vorbereitet?
Finde es mit einem professionellen Penetrationstest heraus!
Jetzt informieren

Schritte zur Schadensbegrenzung, wenn du gehackt wurdest

Wenn du gehackt wurdest, kannst du durch folgende Schritte weiteren Schaden verhindern:

gehackt Ablaufdiagramm

Es gibt in Deutschland eine Reihe offizieller Notrufnummern für Opfer von Cyberkriminalität. Du kannst die Liste hier einsehen – und am besten VOR einem Vorfall die für dich relevanten Nummern notieren: Notrufnummern Cyberangriff

1. Dokumentation starten, Datenabfluss und Infiltration stoppen

Sobald du einen Hacking Angriff auf dein Unternehmen feststellst, solltest du unmittelbar mit der Dokumentation beginnen: Notiere genau, welche Schritte du zur Bearbeitung des Angriffs unternimmst und welche Informationen du sammelst. Diese Dokumentation ist nicht nur hilfreich bei späteren Überprüfungen im Zusammenhang mit diesem Incident, sondern sie dient auch in möglichen rechtlichen Nachgängen als Nachweis.

Im ersten Schritt geht es darum, den Datenabfluss zu stoppen und dem Angreifer den Zugriff auf euer System zu entziehen. Die naheliegende Maßnahme ist die Trennung befallener Geräte von Intra- und Internet. Die folgenden Abschnitte klären, welche Alternative es hierzu gibt und welche Vor- und Nachteile die Varianten haben.

Je nach gewählter Variante ändern sich die First Response Themen. Im Optimalfall hast du eine Checkliste, anhand derer die Entscheidung einfach fällt und alle weiteren Schritte klar ersichtlich sind. Ansonsten kann dies dazu führen, dass Ressourcen falsch oder nicht zielgerichtet zum Schutz des Unternehmens arbeiten.

Variante 1: Zugriff abwehren und Geräte online lassen

Bei der ersten Variante bleiben alle befallenen Geräte eingeschaltet und mit dem Internet verbunden, sie werden aber sauber vom restlichen Netz eures Unternehmens getrennt. Der entscheidende Vorteil dieser Variante bezieht sich auf die forensische Analyse des Angriffs: Über die Informationen, welche IP-Adressen und Domains aufgerufen und welche Prozesse ausgeführt werden, kann man weitreichende Informationen über den Angreifer erlangen.

Der Verdacht einer Kompromittierung bietet zunächst meist keine detaillierten Informationen über den Angriff. Wenn die Verbindung aufrecht erhalten wird, können wertvolle Daten gesammelt werden, um folgende Fragen zu beantworten: Wer sind die Angreifer und wie sind sie vorgegangen? Seit wann sind sie bereits im Netzwerk? Welche weiteren Systeme wurden bereits kompromittiert?

Je mehr Informationen man sammeln kann, desto effizienter kann man sicherstellen, den Angreifer final aus dem Netzwerk entfernt zu haben.

Aus forensischer Sicht ermöglicht diese Variante also die größtmögliche Beweissicherung. Voraussetzung ist jedoch, dass ihr oder eure IT Partner über das notwendige Fachwissen verfügen, um die betroffenen Maschinen bei bestehender Internetverbindung sauber vom restlichen Netz zu trennen.

Bei Azure kann schnelles Handeln den Datenabfluss stoppen. Durch eine Anpassung der Einstellungen zu Conditional Access, das Ausrollen von 2FA für alle Mitarbeiter und ein Session Revoke könnt ihr dem Angreifer mit hoher Wahrscheinlichkeit den Zugriff entziehen. Nach der Reaktion bedarf es nun einer umfangreichen Auswertung der Logfiles, um sicherzustellen, dass der Angreifer nirgendwo Einstellungen verändert und sich somit den Zugriff anderweitig möglich gemacht hat.

Variante 2: Befallene Geräte komplett offline nehmen

Falls ihr nicht über das notwendige Fachwissen verfügt, um die erste Variante sicher durchzuführen, ist die zweite Variante die richtige für euch.

In diesem Fall müssen befallene Geräte sofort offline genommen werden. Ansonsten hat der Angreifer einen längeren Zugriff auf die Systeme und ein größerer Datenabfluss oder eine Ausbreitung wären möglich.

Wenn die befallenen Geräte offline sind, können sich Malware und Hacker nicht weiterverbreiten und auf andere IT-Geräte im Netzwerk überspringen oder Kontakt zu Command & Control Servern im Internet aufnehmen. Gängige Schadsoftware, wie beispielsweise Verschlüsselungstrojaner, kann mit der Unterbrechung der Verbindung auch keinen Schlüssel an den Erpresser bzw. Angreifer senden. Dadurch verwehrt man den Angreifern den Zugriff auf die verschlüsselten Daten.

Für spätere forensische Analysen solltest du ein Abbild des befallenen Systems sowie des Arbeitsspeichers erzeugen. So kannst du später an kritische Informationen über die Malware oder die Aktivitäten der Black Hats herankommen, die sich in Log-Dateien oder dem Arbeitsspeicher befinden.

Welche Variante für euch die richtige ist, musst du als als IT Leiter oder Verantwortlicher in eurem Unternehmen entscheiden und dein Fachwissen korrekt einordnen. Wichtig ist, dass du entschlossen und schnell agierst.

2. Abhängigkeiten überprüfen, Dritte informieren

Falls die gehackten Systeme als Ausgangs- oder Einstiegspunkt zu oder für andere(n) Firmen und deren Netzwerke(n) dienen, müssen diese benachrichtigt werden. So könnt ihr einerseits einer eventuellen Ausbreitung in deren Netzwerk entgegenwirken und andererseits eine Incident Response starten, falls der Ursprung der Kompromittierung in einem anderen Netzwerk liegt.

Geräte, die von essenzieller Bedeutung für das Unternehmen sind, solltest du genau überprüfen und überwachen. Beschränke ihre Kommunikation mit dem restlichen Netzwerk auf das absolute Minimum oder schalte sie notfalls ganz ab, bis ein sauberes Netzwerk ohne Kompromittierung aufgebaut werden konnte. So werden potenzielle Folgeschäden durch ein nicht erkanntes infiziertes oder gehacktes Gerät gesenkt.

Besonders bei dem Verdacht einer bereits länger andauernden Kompromittierung bzw. Hacking-Attacke muss über das Zurückspielen eines lange zurückliegenden Backups oder sogar über einen völligen Reset nachgedacht werden. Informiere zügig potenziell betroffene Kunden, um Schäden von diesen abzuwenden und Rufschäden zu vermeiden.

3. Accounts überprüfen und ändern

Im nächsten Schritt solltest du Computer-, Dienst- und Nutzer-Accounts überprüfen und ändern. Hierdurch lässt sich vermeiden, dass bereits gehackte Accounts für weitere Angriffe genutzt werden können.

Neu angelegte Accounts sollten analysiert werden. Accounts, welche im Verdacht stehen, gehackt worden zu sein, sowie Altlasten solltest du deaktiviert und deren Berechtigungen entziehen. Ändere die bestehenden Anmeldeinformationen aller übrigen Accounts und überprüfe bestehende Berechtigungen eingehend. So minimierst du die Gefahr durch überprivilegierte Accounts.

Beziehe in diese Änderungen und Überprüfungen nicht nur Unternehmensdienste ein, sondern gegebenenfalls auch auf private Dienste (z. B. Social Media Plattformen, Austauschplattformen), die mit denselben Anmeldedaten verwendet werden.

4. Gehacktes System forensisch überprüfen (lassen)

Nach einem Hacking Incident ist es unerlässlich, dein System durch einen kompetenten IT-Fachmann forensisch analysieren zu lassen, insbesondere wenn rechtliche Schritte erfolgen.

Wichtig für eine forensische Analyse ist, dass die Originaldaten nicht verändert werden, um eine vorteilhafte Manipulation durch den Forensiker oder durch Dritte auszuschließen. In der Regel wird die Überprüfung mittels Abbilder in einer Sandbox-Umgebung stattfinden.

Im forensischen Teil werden detaillierte Überprüfungen durchgeführt, um die Art und die Auswirkungen der Kompromittierung durch den Hack zu protokollieren. Dabei werden die Schwachstellen identifiziert, durch welche die Systeme gehackt wurden. Daraus ergeben sich weitere Schritte wie beispielsweise das Einspielen von Security Updates der gehackten Dienste, um einen Befall weiterer Systeme im Unternehmensnetzwerk zu unterbinden.

Der Forensiker kann nach der Analyse eine Empfehlung abgeben, ob Daten unter Umständen noch gerettet werden können, oder ob ein weiterer Befall drohen könnte (etwa durch die Verbreitung eines Wurms in einem Backup) und daher davon abzuraten ist.

5. Befallene Systeme bereinigen, Schwachstellen schließen, Security Hardening

Im Anschluss an die forensische Überprüfung werden die befallenen Systeme nach Überbleibseln der Hacker und Malware durchsucht und davon befreit. Wichtig ist hierbei sicherzustellen, dass die gehackten Systeme wirklich sauber sind.

Je nach Schwere und Art der Kompromittierung kannst du die Systeme nach dem Löschen und Neu-Formatieren des Speichers erneut installieren – vorzugsweise mit einem Backup, das definitiv vor der Kompromittierung erstellt wurde. Unter Umständen musst du jedoch auf das Image des Systems zurückgreifen, das vor der Eingliederung in die Produktivumgebung erstellt wurde.

Anschließend werden alle nötigen Patches eingespielt, ungenutzte Dienste abgeschaltet und Schwachstellen, die ausgenutzt wurden, beseitigt. In besonders schweren Fällen kann unter wirtschaftlichen Gesichtspunkten und operativen Anforderungen auch eine Neubeschaffung der Systeme erforderlich sein.

Du möchtest weitere Informationen?
Vereinbare ein unverbindliches Gespräch mit unseren Experten!
Jetzt Anfragen

6. Systeme wiedereingliedern

Vor der Wiedereingliederung der betroffenen und wieder bereitgemachten Systeme in die Produktivumgebung ist ein weiterer wichtiger Schritt notwendig: Lege Maßnahmen und Phasen fest, um sicherzustellen, dass es zu keiner neuen Kompromittierung der Systeme kommt. Diese sollten folgende Punkte umfassen:

  • Zeitraum der Einbindung
  • Festlegung, wie zu testen ist und ob die Systeme vollfunktionsfähig und sauber sind
  • Dauer der Überwachung auf abnormales Verhalten
  • Information, welche Tools benutzt werden, um die Systeme zu überwachen und auf ihr Verhalten zu testen

7. Normalbetrieb

Nach der erfolgreichen Bearbeitung der vorangegangenen Schritte musst du abschließend die Entscheidung treffen, aus dem Notbetrieb in den Normalbetrieb zu wechseln. Führt diesen Schritt in Abhängigkeit von den vorherigen Resultaten und nach Abarbeitung der Checklisten gemeinschaftlich in deinem Unternehmen durch.

Wichtig ist hier, die User ebenfalls zu integrieren und abzuholen. Kommuniziert den anstehenden Wechsel sauber und bittet um besondere Awareness bei der Durchführung für den Fall, dass es ein gerichteter oder von Innen erfolgter Angriff war. Nur so könnt ihr vermeiden, dass es direkt im Anschluss einen weiteren Vorfall gibt. 

Konsequenzen ziehen, wenn du gehackt wurdest

Dokumentation sauber abschließen

Der wichtigste Schritt bei einer Incident Response sind die Lehren und Konsequenzen, die man daraus zieht. Dazu gehört, spätestens jetzt jegliche Dokumentation zum Incident zum Abschluss zu bringen.

Gestalte die Dokumentation des Incidents so, dass du zu jedem Zeitpunkt des Incidents folgende Fragen beantworten kannst:

Wer? Was? Wo? Warum? Wie?

Zum einem soll die Dokumentation als Basis dienen, um Konsequenzen für die IT-Umgebung deines Unternehmens zu ziehen. Zum anderen kannst du sie für die Schulung deines IT-Personals und als Referenzmaterial nutzen, falls ihr noch einmal gehackt werden solltet.

Die Dokumentation dient dazu, einen nachweislich erfolgreichen Leitfaden zu haben, sollte ein ähnlicher Incident geschehen, sowie um den Prozess der Incident Response zu verbessern.

Meeting: Lessons Learned

Abschließend solltet ihr ein Lessons Learned Meeting abhalten, das basierend auf der Dokumentation folgende Punkte umfasst:

  • Wann wurde die Kompromittierung zuerst bemerkt und durch wen?
  • Welches Ausmaß hatte der Incident?
  • Wie wurde die Kompromittierung eingedämmt und beseitigt?
  • Welche Maßnahmen zur Wiedereingliederung wurden getroffen?
  • Welche Bereiche müssen künftig verbessert werden?


Zusätzlich sollte eine Gesprächsrunde enthalten sein, in der Mitarbeiter der IT Vorschläge und Themen zur Verbesserung der IT und Organisation besprechen können, um die allgemeine Effektivität für zukünftige Incidents zu steigern.

TL;DR

Hier findest du alle 7 Schritte für die Bearbeitung eines Hacking Vorfalls als Übersicht:

Notiere ab sofort alle unternommenen Schritte und alle gesammelten Informationen. Stoppe den Datenabfluss und entziehe dem Angreifer den Zugriff auf dein System.

Variante 1: Befallene Geräte online lassen, aber sauber vom restlichen Unternehmensnetz trennen.

Variante 2: Befallene Geräte offline nehmen.

Benachrichtige alle Firmen, für die deine befallenen Systeme als Ausgangs- oder Einstiegspunkt dienen. Informiere auch potenziell betroffene Kunden über den Vorfall.
Überprüfe alle Computer-, Dienst- und Nutzer-Accounts und ändere alle Anmeldeinformationen. Analysiere neu angelegte Accounts und deaktiviere nicht mehr benötigte Accounts. Prüfe alle bestehenden Berechtigungen und passe sie ggf. an. Beziehe außer Unternehmensdiensten auch private Dienste wie Social Media Plattformen ein
Lass dein IT System durch Experten forensisch überprüfen, um Art und Auswirkungen des Hacks zu protokollieren und Schwachstellen zu finden. Belasse Originaldaten für die forensische Überprüfung unbedingt unverändert. Die Überprüfung erfolgt in der Regel anhand von Abbildern in einer Sandbox-Umgebung.
IT Security Experten stellen sicher, dass deine Systeme von allen Überbleibseln der Hacker bereinigt werden. Sie schließen alle Schwachstellen beispielsweise durch das Einspielen von Patches und sichern euer Netzwerk so vor zukünftigen Angriffen
Lege vor der Wiedereingliederung der betroffenen Systeme Maßnahmen und Phasen fest, um eine erneute Kompromittierung zu vermeiden: Zeitraum der Einbindung; Festlegung, wie die Systeme auf Funktionsfähigkeit zu testen sind; Dauer der Überwachung auf abnormales Verhalten; Liste der Tools, die für die Überwachung der Systeme verwendet werden
Trefft in deinem Unternehmen gemeinschaftlich die Entscheidung zum Wechsel aus dem Notbetrieb in den Normalbetrieb. Bezieht auch die Nutzer in den Prozess ein und bittet sie um besondere Awareness in der Übergangsphase.

Quellen

Newsletter Form (#7)

Become a Cyber Security Insider

Sichere dir frühen Zugang und exklusive Inhalte!


Mit deiner Anmeldung erklärst du dich damit einverstanden, gelegentlich Marketing-E-Mails von uns zu erhalten.
ANDERE BEITRÄGE

Inhaltsverzeichnis

PSN_KU_Cover
NewsLetter Form Pop Up New

Become a Cyber Security Insider

Abonniere unsere Knowledge Base und erhalte:

Frühen Zugriff auf neue Blogbeiträge
Exklusive Inhalte
Regelmäßige Updates zu Branchentrends und Best Practices


Mit deiner Anmeldung erklärst du dich damit einverstanden, gelegentlich Marketing-E-Mails von uns zu erhalten.