Hacker im Netzwerk

Was braucht es, damit Incident Response funktionieren kann?

13.11.2020
Anzeige  Vor diesem Szenario graut jedem Unternehmen: Hacker sind in das Netzwerk eingedrungen. Spezialisten für Incident Response helfen dabei, die Angreifer wieder loszuwerden und den Schaden zu begrenzen.

Manche Cyberangriffe erzeugen ein riesiges mediales Echo, wie beispielsweise WannaCry oder NotPetya, die aufgrund ihrer globalen Verbreitung viel Aufmerksamkeit in der Vergangenheit erhalten haben. Doch dabei handelt es sich um Ausnahmefälle. Die überwiegende Mehrzahl an Cyberangriffen bleibt nicht nur der Öffentlichkeit verborgen, sondern oft auch den betroffenen Unternehmen. Wird allerdings ein Angreifer im Firmennetzwerk entdeckt, ist guter Rat oft teuer. Wie sollte vorgegangen werden, um den Schaden zu begrenzen? Wie kann der Angreifer entfernt werden? Wie kann sichergestellt werden, dass der Angreifer keine persistente Backdoor eingerichtet hat, über die er immer wieder Zugang erhält? Und welche Dinge sollten Unternehmen parat haben, um schnell handeln zu können? Hier ist es ratsam, einen Spezialisten für Incident Response (IR) hinzuzuziehen.

Eine hundertprozentige Sicherheit, dass Unternehmen nicht Opfer von Cyberangriffen werden, gibt es nie. Daher sollte jede Organisation für den Fall der Fälle über einen Plan verfügen, wie im Notfall gehandelt wird.
Eine hundertprozentige Sicherheit, dass Unternehmen nicht Opfer von Cyberangriffen werden, gibt es nie. Daher sollte jede Organisation für den Fall der Fälle über einen Plan verfügen, wie im Notfall gehandelt wird.
Foto: NicoElNino - shutterstock.com

Was tun, wenn’s brennt?

Wurde ein Angreifer im Unternehmensnetzwerk entdeckt, ist die Geschwindigkeit der entscheidende Faktor für effektive Incident Response. Je länger es dauert, bis ein Spezialist hinzugezogen wird, desto höher ist die Chance, dass der Angreifer nicht nur umfangreich Daten abzieht, sondern sich im Netzwerk festsetzt und auch Vorkehrungen trifft, die ihm ermöglichen, bei einer Entdeckung jederzeit zurückzukehren. Zudem sind IR-Spezialisten für ihre Untersuchungen auf möglichst aktuelle Daten und Logs angewiesen. Sie helfen nicht nur zu verstehen, wie der Angreifer ins System gelangt ist, sondern können darüber hinaus auch Licht ins Dunkle bringen, was das eigentliche Ziel der Attacke war.

Ein Plan muss sein

Zusammen mit den IR-Experten sollte zunächst ein Plan für das gemeinsame Vorgehen erarbeitet und implementiert werden. Eine umfassende und offene Kommunikation ist dabei das A und O. Eine effiziente und effektive Incident Response kann nur dann stattfinden, wenn die Zusammenarbeit reibungslos funktioniert und nicht durch vermeintliche Zuständigkeiten oder Verantwortlichkeiten behindert wird. Dabei geht es unter anderem darum, wie mit dem Angreifer verfahren werden soll.

Die natürlichste erste Reaktion ist, den einmal entdeckten Eindringling sofort aus dem Netzwerk zu werfen oder die Systeme runterzufahren. Doch auch wenn dies im ersten Moment als das geeignete Vorgehen erscheint, ist ein solcher Schnellschuss oft kontraproduktiv. Denn einerseits lässt sich dann häufig nicht mehr feststellen, was das eigentliche Ziel des Angreifers war und vereitelt so auch eine mögliche Identifikation des Angreifers aufgrund seiner Motivation und angewandten Tools, Techniken und Verfahren (TTP). Andererseits verrät ein abruptes Vorgehen, wie ein Shutdown, dem Angreifer, dass sein Eindringen bemerkt wurde. Somit könnte er beim nächsten Angriff, der über eine potenziell unentdeckte Backdoor stattfinden könnte, mehr Vorsicht walten lassen und gegebenenfalls ausgefeiltere TTPs anwenden. Daher kann es also durchaus ratsam sein, einen Angreifer im Netzwerk zunächst gewähren zu lassen und ihn bei seinen Aktivitäten zu beobachten. Aufgrund der erheblichen Auswirkungen, die Ransomware verursachen kann, kann es oft jedoch notwendig sein, das Netzwerk sofort abzuschalten, um die Ausbreitung der Verschlüsselung zu verhindern, die Systeme außer Betrieb setzt.

Wie wird man einen Angreifer los?

Prinzipiell gibt es drei unterschiedliche Methoden, um einen einmal entdeckten Angreifer loszuwerden. Welche davon angewandt wird, ist dabei vom jeweiligen Fall abhängig. Die Möglichkeiten für Unternehmen sind dabei die Säuberung, eine Wiederherstellung durch Aufspielen eines alten Images oder der komplette Neuaufbau der betroffenen Systeme. Welche der drei Methoden für ein Unternehmen die beste Lösung ist, wird gemeinsam mit den IR-Experten ermittelt und spiegelt zugleich die hohe Kunst im Feld IR wider. Denn IR ist mehr als nur das reine Vertreiben von Angreifern. IR ist Investigation plus Remediation. Je nach individuellem Fall müssen maßgeschneiderte und für das Unternehmen sinnvolle Maßnahmen getroffen werden. Wer also sagt, dass eine komplette Neuinstallation immer der sicherste und beste Weg für ein angegriffenes Unternehmen sei, hat nicht recht. IR ist eine Wissenschaft für sich, deren Experten darauf geschult sind, gemeinsam mit dem Unternehmen geschäftskritische Entscheidungen richtig zu treffen. Dabei sind vor allem zwei Faktoren ausschlaggebend und müssen individuell gegeneinander abgewogen werden: Kosten & Sicherheit.

Eine hundertprozentige Sicherheit, dass Unternehmen nicht Opfer von Cyberangriffen werden, gibt es nie. Daher sollte jede Organisation für den Fall der Fälle über einen Plan verfügen, wie im Notfall gehandelt wird. Mit einem kompetenten Team bestehend aus IR-Experten und internen Mitarbeitern wird dann im Worst Case dieser Plan Schritt für Schritt in die Tat umgesetzt. Damit dies auch reibungslos funktioniert, ist eine klare und offene Kommunikation untereinander unerlässlich.