Gehackt, was ist zu tun?

Erkennung von Hacking Angriffen

Schadprogramme oder Aktivitäten von Black Hats können nicht immer sofort aufgrund ihrer Aktualität oder durch Verschleierungstechniken von Endpoint Protections oder Antivirenprogrammen erkannt werden. Um zu erkennen, ob Ihr System gehackt wurde, hilft nur eine Kombination aus detaillierten Log-Protokollen, allgemeiner Netzwerküberwachung, sowie einer granularen Steuerung des Datenflusses und auch der Vergabe von Berechtigungen innerhalb der Unternehmensinfrastruktur und letztlich das wache Auge der Administratoren. Durch IT Sicherheitsberatungen können Sie sich bereits vor einem Incident von Experten beraten lassen oder eine Schwachstellenanalyse Ihres Systems durchführen lassen.

Schritte zur Schadensbegrenzung

Folgende Schritte sollten vollzogen werden, wenn Sie gehackt wurden, um weiteren Schaden verhindern zu können:

Beginn einer Dokumentation und die befallenen Geräte vom Internet und Netzwerken (Intranet) trennen

Das Entkoppeln der Verbindung zum Netzwerk & Internet sollte der erste Schritt sein und ist unbedingt durchzuführen, um weitere Schäden zu vermeiden, wenn Sie gehackt wurden. So kann sich die Malware oder die Black Hats nicht weiterverbreiten und auf andere IT-Geräte im Netzwerk überspringen oder Kontakt zu Command & Control-Servern im Internet aufnehmen. Gängige Schadsoftware, wie beispielsweise Verschlüsselungstrojaner, können mit Unterbrechung der Verbindung auch dahingehend keinen Schlüssel an den Erpresser bzw. Angreifer senden. Dadurch verwehrt man dem oder den Angreifern den Zugriff auf die verschlüsselten Daten. Für spätere forensische Analysen sollte ein Abbild des befallenen Systems sowie des Arbeitsspeichers erzeugt werden, um auch später an kritische Informationen über die Malware oder die Aktivitäten der Black Hats, die sich in Log-Dateien oder dem Arbeitsspeicher befinden, herankommen zu können.

Eine genaue Dokumentation der Abläufe, nachdem Sie festgestellt haben, dass Sie gehackt wurden, und der unternommenen Schritte, müssen erfolgen. Nicht nur ist es hilfreich bei späteren Überprüfungen im Zusammenhang mit diesem Incident, sondern es dient auch in möglichen rechtlichen Nachgängen als Nachweis.

Abhängigkeiten überprüfen, Dritte Informieren

Falls die gehackten Systeme als Ausgangs- oder Einstiegspunkt zu oder für andere Firmen und deren Netzwerke dienen, müssen diese benachrichtigt werden, um einer eventuellen Ausbreitung in deren Netzwerk entgegenzuwirken, bzw. um im Falle des Ursprungs der Kompromittierung einen Incident Response zu starten.

Geräte, die von essentieller Bedeutung für das Unternehmen sind, sind genau zu überprüfen, fortan genau zu überwachen und ihre Kommunikation mit dem restlichen Netzwerk auf das absolute Minimum zu beschränken, bzw. notfalls abzuschalten, bis ein sauberes Netzwerk aufgebaut werden konnte, in der eine Kompromittierung ausgeschlossen werden kann, um potenzielle Folgeschäden durch ein nicht erkanntes infiziertes oder gehacktes Gerät zu senken.

Besonders bei dem Verdacht einer bereits länger andauernden Kompromittierung bzw. Hacking-Attacke muss über das Zurückspielen eines lange zurückliegenden Backups nachgedacht werden, bzw. über einen völligen Reset. Potenziell betroffene Kunden müssen zügig informiert werden, um Schäden für diese abzuwenden und um weitere Rufschäden zu vermeiden.

Du willst Dir die Folgen eines erfolgreichen Angriffs auf Dein System ersparen?
Testen Sie jetzt Ihr System durch einen professionellen Penetrationstest!
Mehr Informationen zum Penetrationstest

Überprüfung und Änderung der Computer-, Dienst- und Nutzer-Accounts

Hierdurch lässt sich vermeiden, dass bereits gehackte Accounts für weitere Angriffe genutzt werden können. Neu angelegte Accounts sollten analysiert werden. Accounts, welche im Verdacht stehen, gehackt worden zu sein, sowie Altlasten, sollten deaktiviert und ihre Berechtigungen entzogen werden.

Der Wechsel bestehender Anmeldeinformation aller Accounts ist umzusetzen und eine tiefgreifende Überprüfung bestehender Berechtigungen ist durchzuführen, um die Gefahr durch überpriviligierte Accounts zu minimieren. Dies betrifft nicht nur Unternehmensdienste, sondern kann unter Umständen auch auf private Dienste (z. B. Social Media Plattformen, Austauschplattformen), die mit denselben Anmeldedaten verwendet werden, zutreffen.

Forensische Überprüfung des befallenen Systems

Es wird unerlässlich sein, das gehackte System durch einen kompetenten IT-Fachmann forensisch analysieren zu lassen, insbesondere wenn rechtliche Schritte erfolgen.

Wichtig für eine forensische Analyse ist, dass die Originaldaten nicht verändert werden, um eine vorteilhafte Manipulation durch den Forensiker oder durch Dritte auszuschließen.

In der Regel wird die Überprüfung mittels Abbilder in einer Sandbox-Umgebung stattfinden.

Im forensischen Teil werden detaillierte Überprüfungen durchgeführt, um die Art und die Auswirkungen der Kompromittierung durch den Hack zu protokollieren, die Schwachstellen, wodurch die Systeme gehackt wurden, herauszufinden, und um so weitere Schritte zu veranlassen. Hierbei können beispielsweise Security Updates der Dienste, welche gehackt wurden, eingespielt werden, um einen Befall weiterer Systeme im Unternehmensnetzwerk zu unterbinden.

Der Forensiker kann nach der Analyse eine Empfehlung abgeben, ob Daten unter Umständen noch gerettet werden können, oder ob ein weiterer Befall, etwa durch die Verbreitung eines gefangenen Wurms durch ein Backup, drohen könnte und daher davon abzuraten ist.

Bereinigung der befallenen Systeme, Schwachstellen schließen, Security Hardening

In dieser Phase werden die befallenen Systeme nach Überbleibseln der Black Hats und Malware durchsucht und davon befreit.

Wichtig ist hierbei, das sichergestellt ist, dass die gehackten Systeme wirklich sauber sind.

Je nach Schwere und Art der Kompromittierung können die Systeme nach dem Löschen und Neu-Formatieren des Speichers erneut installiert werden – vorzugsweise mit einem Backup, das definitiv vor der Kompromittierung erstellt wurde. Unter Umständen muss jedoch auf das Image des Systems zurückgegriffen werden, dass vor der Eingliederung in die Produktivumgebung erstellt wurde. Anschließend werden alle nötigen Patches eingespielt, ungenutzte Dienste abgeschaltet und Schwachstellen, die ausgenutzt wurden beseitigt.

In besonders schweren Fällen kann unter wirtschaftlichen Gesichtspunkten und operativen Anforderungen auch eine Neubeschaffung der Systeme erforderlich sein.

Du möchtest weitere Informationen?
Wir beraten dich gerne beim Schutz deiner IT
Jetzt Anfragen

Wiedereingliederung

Bevor man die betroffenen Systeme, die wieder bereit gemacht wurden, in die Produktivumgebung einbindet, müssen Maßnahmen und Phasen festgelegt werden, um sicherzustellen, dass es zu keiner Rekompromittierung der Systeme kommt, bzw. zur Kompromittierung der anderen Systeme durch die Wiedereingliederung.

Das umfasst vor allem Punkte, wie der Zeitraum der Einbindung, wie zu testen ist und ob die Systeme vollfunktionsfähig und sauber sind. Es umfasst ebenfalls die Dauer der Überwachung auf abnormales Verhalten, sowie welche Tools benutzt werden, um die Systeme zu überwachen und auf ihr Verhalten zu testen.

Konsequenzen aus einem erfolgreichen Befall:

Der wichtigste Schritt in einem Incident Response sind die Lehren und Konsequenzen, die man daraus zieht.
Dazu gehört spätestens jetzt jegliche Dokumentation zum Incident zum Abschluss zu bringen.
Die Dokumentation des Incidents selbst sollte so gestaltet sein, dass man zu jedem Zeitpunkt des Incidents folgende Fragen beantworten kann: Wer, Was, Wo, Warum und Wie.
Zum einem soll die Dokumentation als Basis dienen, um Konsequenzen für die IT-Umgebung des Unternehmens zu ziehen. Diese soll jedoch auch als Basis dienen, um das IT-Personal zu schulen und als Referenzmaterial für zukünftige Incidents zu dienen. Zum anderen dient die Dokumentation dazu, einen bereits erfolgreichen Leitfaden zu haben, sollte ein ähnlicher Incident geschehen, sowie um den Prozess des Incident Response zu verbessern.

Lessons Learned-Meeting

Abschließend sollte ein Lessons Learned-Meeting abgehalten werden, das basierend auf der Dokumentation folgende Punkte umfassen sollte:

  • Wann wurde die Kompromittierung zuerst bemerkt und durch wen?
  • Das Ausmaß des Incident
  • Wie wurde die Kompromittierung eingedämmt und beseitigt?
  • Welche Maßnahmen zur Wiedereingliederung wurden getroffen?
  • Bereiche, die verbessert werden müssen

Zusätzlich sollte eine Gesprächsrunde enthalten sein, in der Mitarbeiter der IT Vorschläge und Themen zur Verbesserung der IT und Organisation besprechen können, um die allgemeine und zukünftige Effektivität für zukünftige Incidents zu steigern.

Quellenverweis zum Incident Handlers Handbook des SANS Institute:
https://www.sans.org/reading-room/whitepapers/incident/incident-handlers-handbook-33901

ANDERE BEITRÄGE

Inhaltsverzeichnis

Wir verwenden Cookies, um Ihnen die bestmögliche Erfahrung zu bieten. Wenn Sie unsere Website weiterhin besuchen, stimmen Sie der Verwendung von Cookies zu, wie in unserer Datenschutzerklärung beschrieben.