Wenn es staatliche Geheimdienste oder besonders durchtrieben-intelligente Hacker auf Sie abgesehen haben, werden Sie davon nichts mitbekommen - zumindest zunächst einmal nicht. Sie forschen Sie leise und langsam aus und starten ihre Angriffsmanöver mit chirurgischer Präzision, um Ihnen Ihren Datenschatz zu entreißen. Die meisten dieser Angreifer wissen genau, wie sie sich zu verhalten haben, damit sie unbeobachtet bleiben - und ab wann es besser ist, sich zu erkennen zu geben, weil sie dann von Ihrer Panik noch weiter profitieren können.
Professionelle Hacker verschleierten ihre Präsenz in sensiblen Bereichen von Unternehmens- und Behördennetzen zunächst, um sich dann später ganz bewusst zu erkennen zu geben, um ein bestimmtes Ziel zu erreichen, erklärt Danny Rogers, CEO beim Data-Intelligence-Anbieter Terbium Labs. Aber selbst wenn sie den Angegriffenen spüren ließen, dass es gibt, bewahrten sie sich so viel Verborgenheit wie möglich, um auch für künftige Aktionen ausreichend unerkannt zu bleiben. Rogers: "Wenn sie Ihre Arbeit gut machen, wie sollen wir dann überhaupt wissen, dass sie da sind?" Viele bekannt gewordene Fälle zeigen: Angreifer halten sich häufig Monate, gar Jahre in Unternehmensnetzen auf, ohne dass es auch nur den leisesten Verdacht gibt.
Hacker in Unternehmen: Einmal drin, immer drin
Staatlich unterstützte Hacker und andere Kriminelle hätten ihre Opfer in der Vergangenheit auf sehr effiziente Weise ausgespäht, berichtet Todd Inskeep, Mitglied des Advisory Board der RSA Conference, der weltgrößten IT-Sicherheitskonferenz. So seien schon früh Trojaner und Backdoors in Systeme eingeschleust worden, um diese dann immer und immer wieder infiltrieren zu können.
Diese Spähaktionen wurden zunehmend ausgefeilter und raffinierter - dank Command-and-Control-Servern (C&C) ließen sich Systeme heute leicht aus der Ferne manipulieren, Backdoors systemübergreifend installieren, Accounts fälschen und Sensoren einbauen, um bestimmte Dateien aufzuspüren und zu sammeln, erklärt Inskeep.
Command-and-Control-Server funktionieren, indem sie Daten von infizierten Systemen zugeschickt bekommen, die sich über den ausgehenden Netzwerkverkehr mit dem Internet verbinden. Das funktioniert, weil Netzwerksicherheit vom Grundprinzip her immer den eingehenden Datenverkehr berücksichtigt, nicht den ausgehenden. Hacker können nun viele Trojaner in verschiedenartige Systeme einpflanzen, weil sie sie mit vorhandenen Applikationen und Programm-Updates verbinden. Sobald die Angreifer die Kontrolle über ein System besitzen, das Login-Daten erzeugt, können sie beliebig viele davon erstellen. Solange die bestehenden Security-Kontrollen nichts mitbekommen und das verhindern, ist ein Zugriff über die neu erstellten Daten später weiterhin möglich, selbst wenn der ursprüngliche Schädling erfolgreich entfernt wurde.
Hacker-Datenbanken und Sensoren im Code
Bei den erwähnten Sensoren handelt es sich nicht um die "klassische" Art kleiner Messgeräte, wie man vielleicht meinen könnte: "Sensoren können Codeschnipsel in Programmen sein, die in bestimmten Situationen eine Nachricht an die Angreifer senden - vergleichbar mit Cronjobs, die zu definierten Ereignissen im Hintergrund ablaufen - oder etwas anderes, dass dem Hacker ein Signal gibt, dass sich etwas im Netz oder System geändert hat", erläutert Inskeep.
Auf diese Art und Weise funktionieren alle Advanced Persistens Threats (APTs), die abwarten und beobachten, bis der richtige Zeitpunkt gekommen ist. Hacker hegen und pflegen ihre Datenbank an gestohlenen Informationen und (möglichen) Angriffszielen wie einen persönlichen Schatz - je besser und umfangreicher, desto wertvoller.
- 1. Bestätigung & Analyse
Bevor erste Maßnahmen gezogen werden, gilt es zu klären: Welche Systeme sind von dem Angriff betroffen? Welchen Daten wurden geklaut und in welchem Ausmaß? Besonders im Fall von Ransomware, muss zunächst eine offizielle Analyse des Schadens gefahren werden. Oftmals legen Angreifer angeblich gestohlene Daten vor – auch deren Echtheit und Herkunft gilt es zu bestätigen. - 2. Faktor Mensch
Maschinen mögen berechenbar sein, die nächsten Schritte des Angreifers jedoch nicht. Das sofortige Schließen einer Sicherheitslücke, ist nicht zwingend der richtige Weg. Oftmals ist es sinnvoller, zunächst alle Stellen zu identifizieren, an denen der Eindringling sich bereits eingenistet hat, um dann alle Verbindungen zu kappen. Wer sich ausschließlich auf die Beseitigung von Malware konzentriert, sieht nur die Hälfte des Problems. - 3. Schnelles Handeln
Ist ein Hacker einmal erfolgreich in das System eingedrungen, so wird er versuchen, über einzelne Systeme hinaus die Kontrolle über das gesamte Netzwerk auszuweiten. Die Malware sucht dafür nach gemappten Laufwerken auf infizierten Laptops oder Desktops und verbreitet sich tiefer in die Netzwerk-Fileshares hinein. Aus Mangel an Zeit müssen Organisationen so schnell wie möglich mit allen zur Verfügung stehenden Ressourcen arbeiten, um den Schaden so gering wie möglich zu halten. - 4. Ziel vor Augen
Wurde ein Cyberangriff entdeckt, müssen Unternehmen schnell und akkurat reagieren. Damit dies gelingt, braucht es einen Incident Response Plan, der für jede Organisation individuell auszuarbeiten ist und nach den jeweiligen Bedürfnissen priorisiert. - 5. Schweigen ist Gold
Nicht alle Angreifer erwarten eine Reaktion. Es kommt vor, dass Angreifer weiterziehen, wenn ihre Forderungen unbeachtet bleiben. Dies ist beispielsweise der Fall, wenn Hacker mit dem Ausnutzen einer bestimmten Schwachstelle hunderte von Unternehmen im Visier hatten. Doch es gibt auch jene, die ungeduldig werden, sollten sie keine Reaktion bekommen. Egal wie, sollte jede Interaktion mit den Cyberkriminellen auf ein Minimum beschränkt und juristisch begleitet werden. - 6. Kommunikation & Transparenz
Die Aufarbeitung eines Cyberangriffs hat viel mit richtiger Kommunikation zu tun: Intern sind Mitarbeiter der verschiedenen Fachabteilungen auf die für sie relevanten Informationen zum Status Quo und dem weiteren Vorgehen angewiesen. Nach außen ist die Offenlegung des Angriffes an Partner und Kunden Teil der Schadensminderung. Oft fürchten Organisationen nach einem Sicherheitsvorfall Imageschäden. Tatsächlich ist die Toleranz der Betroffenen umso höher, je transparenter Unternehmen agieren. - 7. Lösegeld-Zahlungen
Im Fall von Ransomware ist es nicht immer die richtige Entscheidung, das Lösegeld zu zahlen. Eine Garantie, dass es bei einer Zahlung bleibt, ist zu keinem Zeitpunkt gegeben. Auch eine Rückgabe der gestohlen Daten oder eine Entschlüsselung kann mit keiner Summe sichergestellt werden. Cybersecurity-Experten, die Erfahrung mit Ransomware-Angriffen haben, können die risikoärmste Entscheidung für jeden Einzelfall am besten abschätzen. - 8. Sofortiger Handlungsbedarf
Die Wahrscheinlichkeit ist groß, dass nach dem ersten Angriff weitere Cyberkriminelle versuchen werden, in das Netzwerk einzudringen. Die IT-Abteilung muss die Sicherheitsvorkehrungen deshalb so schnell wie möglich erhöhen. Dazu gehört auch die Aufklärung aller beteiligten Ebenen im Unternehmen – fachspezifisch aufbereitet für technische Mitarbeiter, die Rechtsabteilung und das Management. - 9. Vorsorge statt Nachsorge
Das Aufrüsten der Technologie ist die eine Seite der Vorsorge. Dazu gehören auch Penetrationstest, die dabei helfen, die eigenen Sicherheitskontrollen zu bewerten, Schwachstellen zu identifizieren und sofort zu beheben. Die andere Seite ist das Bewusstmachen darüber, dass hinter fast jedem Angriff ein bestimmtes Ziel steckt. Mithilfe von Threat Intelligence (nicht zu verwechseln mit IoC-Feeds) und einem genauen Täter-Profiling kann identifiziert werden, welches Ziel die Hacker verfolgen und an welchen Daten sie interessiert sind.