Unternehmen gehackt? Das ist zu tun!

Unternehmen gehackt? Das ist zu tun!

Leider gibt es auch für Unternehmen keinen hundertprozentigen Schutz vor Cyberattacken und Hackerangriffen. Dazu kommt allerdings, dass viele Firmen die Gefahr aus den Untiefen des Netzes unterschätzen und im Ernstfall eines Angriffs zunächst vor allem strategisch überfordert sind. Um Unternehmen auf genau diesen Fall vorzubereiten, bieten zahlreiche Player am Markt Trainings an, die IT-Spezialisten für den Fall der Fälle das richtige Handwerkszeug liefern sollen. Frank Kölmel, Vice President beim IT-Sicherheitsanbieter FireEye, gibt im Folgenden einen Überblick über die Maßnahmen, die Unternehmen nach einem Angriff durch Cyberkriminelle fahren sollten.

 

  • 1. Jeder Cyberangriff muss bestätigt und analysiert werden: Bevor erste Maßnahmen gezogen werden, gilt es zu klären: Welche Systeme sind von dem Angriff betroffen? Welchen Daten wurden geklaut und in welchem Ausmaß? Besonders im Fall von Ransomware, mit der Hacker von betroffenen Organisationen Lösegeld in Form von Bitcoins fordern, um den Entschlüsselungscode und damit die gesperrten Daten wieder zurückzubekommen, muss zunächst eine offizielle Analyse des Schadens gefahren werden. Oftmals legen Angreifer zum Beweis angeblich gestohlene Daten vor – auch deren Echtheit und Herkunft gilt es zu bestätigen.
  • 2. Hinter dem Angriff steht nicht nur Technologie, sondern ein Mensch: Und Menschen reagieren emotional. Maschinen mögen berechenbar sein, die nächsten Schritte des Angreifers jedoch nicht. Ein Beispiel: Das sofortige Schließen einer Sicherheitslücke, durch die ein Angreifer eingedrungen ist, ist nicht zwingend der richtige Weg. Bemerkt der Hacker, dass er entdeckt wurde, wird er andere Wege nutzen, um an sein Ziel zu gelangen. Oftmals ist es sinnvoller, zunächst alle Stellen zu identifizieren, an denen der Eindringling sich bereits eingenistet hat, um dann alle Verbindungen zu kappen. Wer sich ausschließlich auf die Beseitigung von Malware – das bloße Werkzeug der Angreifer – konzentriert, sieht nur die Hälfte des Problems.
  • 3. Je schneller Unternehmen handeln, desto mehr kann gerettet werden: Ist ein Hacker einmal erfolgreich in das System eingedrungen, so wird er versuchen, über einzelne Systeme hinaus die Kontrolle über das gesamte Netzwerk auszuweiten. Indem er die gesamte Infrastruktur mappt, versucht er die wichtigsten Assets zu definieren und einen Stützpunkt auf allen Zielservern zu etablieren. Die Malware sucht dafür nach gemappten Laufwerken auf infizierten Laptops oder Desktops und verbreitet sich tiefer in die Netzwerk-Fileshares hinein. Aus Mangel an Zeit müssen Organisationen so schnell wie möglich mit allen zur Verfügung stehenden Ressourcen arbeiten, um den Schaden so gering wie möglich zu halten.
  • 4. Alle Aktionen müssen auf ein Ziel hinauslaufen: Wurde ein Cyberangriff entdeckt, müssen Unternehmen schnell und akkurat reagieren. Damit dies gelingt, braucht es einen Incident Response Plan, der für jede Organisation individuell auszuarbeiten ist und nach den jeweiligen Bedürfnissen priorisiert. Für bestimmte Branchen mag die möglichst schnelle Rückkehr zum Daily Business das Wichtigste sein. Für andere steht das persönliche Identifizieren des Angreifers an oberster Stelle. Auch ein genaues Protokoll über das Ausmaß des Datenverlusts ist notwendig, insbesondere wenn Kundendaten im Spiel sind.
  • 5. Eine direkte Kontaktaufnahme zum Angreifer sollte abgewägt werden: Nicht alle Angreifer erwarten eine Reaktion. Es kommt vor, dass Angreifer weiterziehen, wenn ihre Forderungen unbeachtet bleiben. Dies ist beispielsweise der Fall, wenn Hacker mit dem Ausnutzen einer bestimmten Schwachstelle hunderte von Unternehmen im Visier hatten. Doch es gibt auch jene, die ungeduldig werden, sollten sie keine Reaktion bekommen. Egal wie, sollte jede Interaktion mit den Cyberkriminellen auf ein Minimum beschränkt und wohldurchdacht sein und juristisch begleitet werden.
  • 6. Interne und externe Kommunikation sind genauso wichtig wie technologische Maßnahmen: Das Aufarbeiten eines Cyberangriffs hat viel mit richtiger Kommunikation zu tun: Intern sind Mitarbeiter der verschiedenen Fachabteilungen auf die für sie relevanten Informationen zum Status Quo und dem weiteren Vorgehen angewiesen. Nach außen ist die Offenlegung des Angriffes an Partner und Kunden Teil der Schadensminderung. Oft fürchten Organisationen nach einem Sicherheitsvorfall Imageschäden. Tatsächlich ist die Toleranz der Betroffenen umso höher, je transparenter Unternehmen agieren. Laut einer aktuellen Umfrage, die Vanson Bourne im Auftrag von FireEye durchführte, erwarten 85 Prozent der Befragten, dass Unternehmen – sofern bei dem Cyberangriff persönliche Daten von Kunden entwendet wurden – binnen 24 Stunden informiert zu werden.
  • 7. Lösegeld ist nicht zwingend der richtige Weg: Im Fall von Ransomware ist es nicht immer die richtige Entscheidung, das Lösegeld zu zahlen. Eine Garantie, dass es bei einer Zahlung bleibt, ist zu keinem Zeitpunkt gegeben. Auch eine Rückgabe der gestohlen Daten oder eine Entschlüsselung kann mit keiner Summe sichergestellt werden. Cybersecurity-Experten, die Erfahrung mit Ransomware-Angriffen haben, können die risikoärmste Entscheidung für jeden Einzelfall am besten abschätzen.
  • 8. Nach einem Angriff müssen Sicherheitsvorkehrungen sofort erhöht werden: Die Wahrscheinlichkeit ist groß, dass nach dem ersten Angriff weitere Cyberkriminelle versuchen werden, in das Netzwerk einzudringen. Die IT-Abteilung muss die Sicherheitsvorkehrungen deshalb so schnell wie möglich erhöhen. Dazu gehört auch die Aufklärung aller beteiligten Ebenen im Unternehmen – fachspezifisch aufbereitet für technische Mitarbeiter, die Rechtsabteilung und das Management.
  • 9. Vorsorge ist besser als Nachsorge – mit Threat Intelligence: Das Aufrüsten der Technologie ist die eine Seite der Vorsorge. Dazu gehören auch Penetrationstest, die dabei helfen, die eigenen Sicherheitskontrollen zu bewerten, Schwachstellen zu identifizieren und sofort zu beheben. Die andere Seite ist das Bewusstmachen darüber, dass hinter fast jedem Angriff ein bestimmtes Ziel steckt. Mithilfe von Threat Intelligence (nicht zu verwechseln mit IoC-Feeds) und einem genauen Täter-Profiling kann identifiziert werden, welches Ziel die Hacker verfolgen und an welchen Daten sie interessiert sind. So lässt sich der Kreis potenzieller Angreifer eingrenzen und eventuelle weitere Attacken verhindern.

Quelle: https://computerwelt.at/news/die-grosten-cyberangriffe-auf-unternehmen/