Montagmorgen: Sie kommen ins Büro und schalten Ihren Rechner an. Schnell erkennen Sie, dass etwas nicht stimmt. Oops, your files have been encrypted! Eine Schadsoftware hat Ihre Daten verschlüsselt, Sie haben keinen Zugriff mehr. Sie wurden gehackt – was nun? Als Cyber-Versicherer haben wir täglich Kontakt mit Kunden, die gerade gehackt wurden und erklären Ihnen, welche Schritte gemacht werden müssen.

Gehackt – wer kann helfen, Ihre Systeme zu sichern?

Gehackt was nun? Hier die Antwort!Die IT-Experten unseres Kooperationspartners HiSolutions sind bei einem Hacker-Angriff umgehend zur Stelle, um zu helfen. Gemeinsam mit dem IT-Team des geschädigten Unternehmens machen sie sich schnellstmöglich daran, den Schaden einzudämmen und zu beheben. Ein wichtiger Teil der Arbeit der IT-Experten von HiSolutions ist die Suche nach den Ursachen, die forensische Analyse.

Denn nur wenn man weiß, über welche Tür der Angreifer in das IT-System gekommen ist – etwa ein unsicheres Passwort oder eine Spam-Mail – und welchen Weg die Hacker-Attacke genommen hat, können die richtigen Maßnahmen zum Schutz vor einer erneuten Attacke getroffen werden. Diese Arbeit der IT-Forensiker kann bei komplexen Fällen leicht 100 Manntage und länger dauern, bis die Schadensoftware eliminiert und der IT-Sicherheit wiederhergestellt ist.

Gehackt – was nun? Konkret erklärt am Beispiel der HAK Messtechnik AG

Wie komplex die Arbeit der IT-Forensiker ist, haben kürzlich die Teilnehmer unseres Workshops am eigenen Leib erfahren. Unter Anleitung von HiSolutions haben sie anhand ausgewählter Aufgaben in einem erfundenen und besonders kniffligen Cyber-Schadenfall ermittelt:

Gehackt was nun? Ein fiktives FallbeispielDie fiktive HAK Messtechnik AG, ein weltweit führender Hersteller für optische Messtechnik, wird von ihrem Internetprovider informiert, dass Verbindungen aus ihrem IP-Adressbereich mit einem Command & Control-Server (C&C) entdeckt wurden. Die verdächtigen Proxy-Logs wurden drei Laptops zugeordnet, weswegen ein APT-Angriff (Advanced Persistent Threat) vermutet wird. APT sind zielgerichtete Hacker-Attacken, bei denen sich die Angreifer auf ein System dauerhaften Zugriff verschaffen und diesen ausbauen, um so viele Informationen wie möglich zu stehlen.

1. Fachgerechte Analyse des Erstfunds

Mit diesen Hinweisen zum Angriff starten die Teilnehmer die forensische Analyse: Bei der Prüfung der betroffenen Geräte gilt es, besonders vorsichtig und planvoll vorzugehen. Bei APT-Attacken können überstürzte Gegenmaßnahmen dazu führen, dass ein System nur unvollständig bereinigt, wichtige Spuren vernichtet sind oder der Angreifer vorzeitig alarmiert wird und gegensteuern kann. Auch ein Datenverlust oder der komplette IT-Ausfall stehen auf dem Spiel.

2. Beobachten und Aufklären erfordert technisches Know-How

Spezielle IT-Forensik-Software sucht nach auffälligen Aktivitäten: Die Analyse ergibt, dass ein Angriffswerkzeug namens Mimikatz Passwörter aus dem laufenden System ziehen kann. Wurden Daten gestohlen oder verändert? Sind weitere Systeme von der Attacke betroffen? Die IT-Forensiker müssen unter anderem berücksichtigen, dass auch Vertriebler oder Zulieferer des Messtechnik-Herstellers mit dem Firmennetz verknüpft sind.

Im Outlook-Cache eines PC finden die IT-Forensiker außerdem ein als Bewerbung getarntes Executable, das einen Infektionsvektor und damit ein weiteres Einfallstor darstellen könnte. Der Kryptotrojaner hat bereits viele Dateien verschlüsselt. Die Schadsoftware verfügt über eine Erkennungsfunktion für gängige Schutz- und Analyse-Softwares und ist für reguläre Schutzsoftwares folglich unsichtbar.

Doch welcher Zusammenhang besteht zum Mimikatz-Angriff? Es könnte sich um ein Ablenkungsmanöver der Angreifer handeln – oder es gibt tatsächlich keinerlei Verbindung zwischen beiden Zwischenfällen. Dass bei einer Systemanalyse auch ältere Schadprogramme entdeckt werden, die nichts mit der aktuellen Attacke zu tun haben, ist nicht unüblich.

3. Krisenmanagement und Bereinigung

Für das Workshop-Team war der Kriseneinsatz an dieser Stelle beendet. Doch in der Realität fängt die Arbeit der IT-Forensiker jetzt erst richtig an: Die IT-Systeme werden noch tiefgreifender analysiert, um den genauen Angriffsweg nachvollziehen zu können und das Remote Access Tool des Täters aufzuspüren. Auch in das Monitoring des Firmennetzes fließt viel Zeit. Denn durch die erlangten Admin-Rechte des Angreifers noch zahlreiche veränderte Dateien im System versteckt sein könnten. Nach dem kontrollierten Cut-Off folgt die tatsächliche Bereinigung der IT.

Fazit: Machen Sie sich Ihre Cyber-Risiken bewusst!

Der fiktive Schadenfall verdeutlicht, welche vielschichtigen Prozesse bei der Abwehr einer Cyber-Attacke ablaufen. „Cyber-Attacken sind nichts, wofür die klassische IT-Abteilung eines Mittelständlers ausgebildet ist. Ein Einfallstor ermitteln, parallel den Zugriff der Kriminellen minimieren und die Daten unveränderbar sichern… Das ist eine komplexe und zeitintensive Aufgabe, die Profis übernehmen müssen,“ so Frank Rustemeyer, Direktor bei HiSolutions an.

 Wie hoch ist Ihr unternehmerisches Risiko, gehackt oder Opfer eines anderen Cyber-Zwischenfalls zu werden?  Mit unserem Cyber-Risiko-Check können Sie das Risiko ermitteln.

Passwort gehackt, Schadsoftware installiert u.vm.! Sichern Sie sich ab:

Eine Hiscox Cyber-Versicherung bewahrt Unternehmen vor finanziellen Schäden. Im Krisenfall brauchen Sie zuerst einmal schnelle, kompetente Hilfe. Diese bekommen Sie unmittelbar von IT-Krisenexperten. Der Schaden wird gemeinschaftlich eingedämmt. Auch werden Sie sofort durch erfahrene Krisen-PR Berater und Rechtsberater unterstützt:

Wurden sensible Daten abgezogen, müssen Benachrichtigungspflichten eingehalten und Betroffene informiert werden. Steht Ihre Reputation auf dem Spiel, werden Experten für Krisen-PR beauftragt – und das innerhalb kürzester Zeit. Denn es zählt koordiniertes, schnelles und richtiges Handeln, um eine größere Krise abzuwenden.

Dies erleichtert präventiv ein Krisenplan. Apropos! In unserem nächsten Blogbeitrag erklären wir, wie sie sich auf eine Cyber-Attacke vorbereiten können.

Business Blog Autorin Yvonne Kautzner, Hiscox

Autorin: Yvonne Kautzner

hat bei der Simulation Gehackt – was nun? mit den Journalisten mitgefiebert. Sie betreut seit 2016 die Pressearbeit bei Hiscox.