Wenn du gehackt wurdest, solltest du sofort mit Maßnahmen zur Schadensbegrenzung und Dokumentation beginnen. In diesem Beitrag führen wir dich Schritt für Schritt durch die Bearbeitung eines Hacking Incidents.
(Letztes Update: 24.04.2024)
Schadprogramme oder Aktivitäten von Black Hats können aufgrund ihrer Aktualität oder durch Verschleierungstechniken nicht immer sofort von Endpoint Protections oder Antivirenprogrammen erkannt werden. Hier brauchst du eine Kombination aus verschiedenen Maßnahmen, um Angreifer dennoch rechtzeitig zu bemerken:
Wichtig ist auch die zeitnahe Meldung von Auffälligkeiten durch eure User.
Durch IT Sicherheitsberatungen kannst du dich bereits vor einem Incident von Experten beraten lassen oder eine Schwachstellenanalyse eures Systems durchführen lassen.
Wenn du gehackt wurdest, kannst du durch folgende Schritte weiteren Schaden verhindern:
Es gibt in Deutschland eine Reihe offizieller Notrufnummern für Opfer von Cyberkriminalität. Du kannst die Liste hier einsehen – und am besten VOR einem Vorfall die für dich relevanten Nummern notieren: Notrufnummern Cyberangriff
Sobald du einen Hacking Angriff auf dein Unternehmen feststellst, solltest du unmittelbar mit der Dokumentation beginnen: Notiere genau, welche Schritte du zur Bearbeitung des Angriffs unternimmst und welche Informationen du sammelst. Diese Dokumentation ist nicht nur hilfreich bei späteren Überprüfungen im Zusammenhang mit diesem Incident, sondern sie dient auch in möglichen rechtlichen Nachgängen als Nachweis.
Im ersten Schritt geht es darum, den Datenabfluss zu stoppen und dem Angreifer den Zugriff auf euer System zu entziehen. Die naheliegende Maßnahme ist die Trennung befallener Geräte von Intra- und Internet. Die folgenden Abschnitte klären, welche Alternative es hierzu gibt und welche Vor- und Nachteile die Varianten haben.
Je nach gewählter Variante ändern sich die First Response Themen. Im Optimalfall hast du eine Checkliste, anhand derer die Entscheidung einfach fällt und alle weiteren Schritte klar ersichtlich sind. Ansonsten kann dies dazu führen, dass Ressourcen falsch oder nicht zielgerichtet zum Schutz des Unternehmens arbeiten.
Bei der ersten Variante bleiben alle befallenen Geräte eingeschaltet und mit dem Internet verbunden, sie werden aber sauber vom restlichen Netz eures Unternehmens getrennt. Der entscheidende Vorteil dieser Variante bezieht sich auf die forensische Analyse des Angriffs: Über die Informationen, welche IP-Adressen und Domains aufgerufen und welche Prozesse ausgeführt werden, kann man weitreichende Informationen über den Angreifer erlangen.
Der Verdacht einer Kompromittierung bietet zunächst meist keine detaillierten Informationen über den Angriff. Wenn die Verbindung aufrecht erhalten wird, können wertvolle Daten gesammelt werden, um folgende Fragen zu beantworten: Wer sind die Angreifer und wie sind sie vorgegangen? Seit wann sind sie bereits im Netzwerk? Welche weiteren Systeme wurden bereits kompromittiert?
Je mehr Informationen man sammeln kann, desto effizienter kann man sicherstellen, den Angreifer final aus dem Netzwerk entfernt zu haben.
Aus forensischer Sicht ermöglicht diese Variante also die größtmögliche Beweissicherung. Voraussetzung ist jedoch, dass ihr oder eure IT Partner über das notwendige Fachwissen verfügen, um die betroffenen Maschinen bei bestehender Internetverbindung sauber vom restlichen Netz zu trennen.
Bei Azure kann schnelles Handeln den Datenabfluss stoppen. Durch eine Anpassung der Einstellungen zu Conditional Access, das Ausrollen von 2FA für alle Mitarbeiter und ein Session Revoke könnt ihr dem Angreifer mit hoher Wahrscheinlichkeit den Zugriff entziehen. Nach der Reaktion bedarf es nun einer umfangreichen Auswertung der Logfiles, um sicherzustellen, dass der Angreifer nirgendwo Einstellungen verändert und sich somit den Zugriff anderweitig möglich gemacht hat.
Falls ihr nicht über das notwendige Fachwissen verfügt, um die erste Variante sicher durchzuführen, ist die zweite Variante die richtige für euch.
In diesem Fall müsst ihr befallene Geräte sofort offline stellen. Ansonsten hat der Angreifer einen längeren Zugriff auf die Systeme und ein größerer Datenabfluss oder eine Ausbreitung sind möglich.
Wenn die befallenen Geräte offline sind, können sich Malware und Hacker nicht weiterverbreiten und auf andere IT-Geräte im Netzwerk überspringen oder Kontakt zu Command & Control Servern im Internet aufnehmen. Gängige Schadsoftware, wie beispielsweise Verschlüsselungstrojaner, kann mit der Unterbrechung der Verbindung auch keinen Schlüssel an den Erpresser bzw. Angreifer senden. Dadurch verwehrst du den Angreifern den Zugriff auf die verschlüsselten Daten.
Für spätere forensische Analysen solltest du ein Abbild des befallenen Systems sowie des Arbeitsspeichers erzeugen. So kannst du später an kritische Informationen über die Malware oder die Aktivitäten der Black Hats herankommen, die sich in Log-Dateien oder dem Arbeitsspeicher befinden.
Welche Variante für euch die richtige ist, musst du als als IT Leiter oder Verantwortlicher in eurem Unternehmen entscheiden und dein Fachwissen korrekt einordnen. Wichtig ist, dass du entschlossen und schnell agierst.
Falls die gehackten Systeme als Ausgangs- oder Einstiegspunkt zu oder für andere(n) Firmen und deren Netzwerke(n) dienen, musst du diese benachrichtigen. So könnt ihr einerseits einer eventuellen Ausbreitung in deren Netzwerk entgegenwirken und andererseits eine Incident Response starten, falls der Ursprung der Kompromittierung in einem anderen Netzwerk liegt.
Geräte, die von essenzieller Bedeutung für das Unternehmen sind, solltest du genau überprüfen und überwachen. Beschränke ihre Kommunikation mit dem restlichen Netzwerk auf das absolute Minimum oder schalte sie notfalls ganz ab, bis ein sauberes Netzwerk ohne Kompromittierung aufgebaut werden konnte. So senkst du potenzielle Folgeschäden durch ein nicht erkanntes infiziertes oder gehacktes Gerät.
Besonders bei dem Verdacht einer bereits länger andauernden Kompromittierung bzw. Hacking-Attacke musst du über das Zurückspielen eines lange zurückliegenden Backups oder sogar über einen völligen Reset nachdenken. Informiere zügig potenziell betroffene Kunden, um Schäden von diesen abzuwenden und Rufschäden zu vermeiden.
Im nächsten Schritt solltest du Computer-, Dienst- und Nutzer-Accounts überprüfen und ändern. Hierdurch vermeidest du, dass bereits gehackte Accounts für weitere Angriffe genutzt werden können.
Neu angelegte Accounts solltest du unbedingt analysieren. Accounts, welche im Verdacht stehen, gehackt worden zu sein, sowie Altlasten solltest du deaktiviert und deren Berechtigungen entziehen. Ändere die bestehenden Anmeldeinformationen aller übrigen Accounts und überprüfe bestehende Berechtigungen eingehend. So minimierst du die Gefahr durch überprivilegierte Accounts.
Beziehe in diese Änderungen und Überprüfungen nicht nur Unternehmensdienste ein, sondern gegebenenfalls auch auf private Dienste (z. B. Social Media Plattformen, Austauschplattformen), die mit denselben Anmeldedaten verwendet werden.
Nach einem Hacking Incident ist es unerlässlich, dein System durch einen kompetenten IT-Fachmann forensisch analysieren zu lassen, insbesondere wenn rechtliche Schritte erfolgen.
Wichtig für eine forensische Analyse ist, dass die Originaldaten nicht verändert werden, um eine vorteilhafte Manipulation durch den Forensiker oder durch Dritte auszuschließen. In der Regel wird die Überprüfung mittels Abbilder in einer Sandbox-Umgebung stattfinden.
Im forensischen Teil werden detaillierte Überprüfungen durchgeführt, um die Art und die Auswirkungen der Kompromittierung durch den Hack zu protokollieren. Dabei werden die Schwachstellen identifiziert, durch welche die Systeme gehackt wurden. Daraus ergeben sich weitere Schritte wie beispielsweise das Einspielen von Security Updates der gehackten Dienste, um einen Befall weiterer Systeme im Unternehmensnetzwerk zu unterbinden.
Der Forensiker kann nach der Analyse eine Empfehlung abgeben, ob Daten unter Umständen noch gerettet werden können, oder ob ein weiterer Befall drohen könnte (etwa durch die Verbreitung eines Wurms in einem Backup) und daher davon abzuraten ist.
Im Anschluss an die forensische Überprüfung durchsuchst du oder ein externer Experte die befallenen Systeme nach Überbleibseln der Hacker und Malware und befreit diese davon. Wichtig ist hierbei sicherzustellen, dass die gehackten Systeme wirklich sauber sind.
Je nach Schwere und Art der Kompromittierung kannst du die Systeme nach dem Löschen und Neu-Formatieren des Speichers erneut installieren – vorzugsweise mit einem Backup, das definitiv vor der Kompromittierung erstellt wurde. Unter Umständen musst du jedoch auf das Image des Systems zurückgreifen, das vor der Eingliederung in die Produktivumgebung erstellt wurde.
Anschließend spielst du alle nötigen Patches ein, schaltest ungenutzte Dienste ab und beseitigst Schwachstellen, die ausgenutzt wurden. In besonders schweren Fällen kann unter wirtschaftlichen Gesichtspunkten und operativen Anforderungen auch eine Neubeschaffung der Systeme erforderlich sein.
Vor der Wiedereingliederung der betroffenen und wieder bereitgemachten Systeme in die Produktivumgebung ist ein weiterer wichtiger Schritt notwendig: Lege Maßnahmen und Phasen fest, um sicherzustellen, dass es zu keiner neuen Kompromittierung der Systeme kommt. Diese sollten folgende Punkte umfassen:
Nach der erfolgreichen Bearbeitung der vorangegangenen Schritte musst du abschließend die Entscheidung treffen, aus dem Notbetrieb in den Normalbetrieb zu wechseln. Führt diesen Schritt in Abhängigkeit von den vorherigen Resultaten und nach Abarbeitung der Checklisten gemeinschaftlich in deinem Unternehmen durch.
Wichtig ist hier, die User ebenfalls zu integrieren und abzuholen. Kommuniziert den anstehenden Wechsel sauber und bittet um besondere Awareness bei der Durchführung für den Fall, dass es ein gerichteter oder von Innen erfolgter Angriff war. Nur so könnt ihr vermeiden, dass es direkt im Anschluss einen weiteren Vorfall gibt.
Der wichtigste Schritt bei einer Incident Response sind die Lehren und Konsequenzen, die man daraus zieht. Dazu gehört, spätestens jetzt jegliche Dokumentation zum Incident zum Abschluss zu bringen.
Gestalte die Dokumentation des Incidents so, dass du zu jedem Zeitpunkt des Incidents folgende Fragen beantworten kannst:
Wer? Was? Wo? Warum? Wie?
Zum einem soll die Dokumentation als Basis dienen, um Konsequenzen für die IT-Umgebung deines Unternehmens zu ziehen. Zum anderen kannst du sie für die Schulung deines IT-Personals und als Referenzmaterial nutzen, falls ihr noch einmal gehackt werden solltet.
Die Dokumentation dient dazu, einen nachweislich erfolgreichen Leitfaden zu haben, sollte ein ähnlicher Incident geschehen, sowie um den Prozess der Incident Response zu verbessern.
Abschließend solltet ihr ein Lessons Learned Meeting abhalten, das basierend auf der Dokumentation folgende Punkte umfasst:
Zusätzlich sollte eine Gesprächsrunde enthalten sein, in der Mitarbeiter der IT Vorschläge und Themen zur Verbesserung der IT und Organisation besprechen können, um die allgemeine Effektivität für zukünftige Incidents zu steigern.
Hier findest du alle 7 Schritte für die Bearbeitung eines Hacking Vorfalls als Übersicht:
Notiere ab sofort alle unternommenen Schritte und alle gesammelten Informationen. Stoppe den Datenabfluss und entziehe dem Angreifer den Zugriff auf dein System.
Variante 1: Befallene Geräte online lassen, aber sauber vom restlichen Unternehmensnetz trennen.
Variante 2: Befallene Geräte offline nehmen.
Incident Handlers Handbook des SANS Institute:
https://www.sans.org/reading-room/whitepapers/incident/incident-handlers-handbook-33901
Wir verwenden Cookies, und Google reCAPTCHA, das Google Fonts lädt und mit Google-Servern kommuniziert. Durch die weitere Nutzung unserer Website stimmen Sie der Verwendung von Cookies und unserer Datenschutzerklärung zu.