Bedrohungslage

Hackerangriff: Das können Sie nach dem Erkennen tun!

15. September 2022 von Marek Röhner

Hackerangriff Tipps
©James Thew - Adobe Stock

4
(3)

Ein Hackerangriff verläuft meist still und leise, denn nicht gleich wird der Eingriff in das eigene Firmennetzwerk beziehungsweise Firmensystem erkannt. Es ist meist ein erfolgreicher oder erfolgloser Versuch, Computer oder Server außer Betrieb zu setzen, Daten zu stehlen oder ein angegriffenes Computersystem für weitere Angriffe zu nutzen. Bis die ausgenutzte Schwachstelle, der Schaden des Angreifenden erkannt wird, können mehrere Tage bis hin zu ein paar Monate vergehen. Daher ist eine entsprechende IT-Sicherheitsstruktur zur Prävention mit hohen Standards im Bereich der Internet Security ratsam und vor allem empfehlenswert. Ein gut eingerichtetes System kann als Frühwarnsystem agieren und untypische Aktionen erkennen und gegebenenfalls auch blockieren und eingrenzen. Was Sie bei einem Angriff durch einen Cyberkriminellen unternehmen, wenn Sie und Ihr Firmennetzwerk kompromittiert sind, erklären wir Ihnen in unserem Blogbeitrag.

Das Digitale Zeitalter bestärkt Hackerangriffe und Cyberkriminalität

Hackerangriffe oder Cyberangriffe können für Unternehmen schwerwiegende Folgen haben: Datenverlust, Datenmissbrauch oder auch zerstörte Geschäftsbeziehungen. Kleine und mittelständische Unternehmen kann durch so ein Angriff der finanzielle Ruin drohen. Das Standardrepertoire der Cyber-Kriminellen erweitert sich von Jahr zu Jahr, die Hackerangriffe werden kreativer, vielschichtiger und für den Nutzenden schwieriger zu erkennen. Selbst Experten werden auf Sensibilisierung getrimmt, dass diese auf die kleinsten Anzeichen achten. So wie in unserem Blogbeitrag „Deepfakes: Kinderleichte Erstellung mit großer Schadenswirkung!“ erwähnt, wird es immer schwieriger, die Schwachstellen im eigenen System zu erkennen, diese zu schließen und die Angriffsszenarien rechtzeitig zu erkennen.

„Es gibt zwei Arten von Unternehmen: Die, die einen Hackerangriff hinter sich und jene, die ihn noch vor sich haben“ ~ Innenminister Strobl (19.02.20)

Erste Hilfe bei einem Hackerangriff – Das können Sie tun!

Hackerangriffe können stark variieren und äußern sich auf verschiedene Weise. Wir haben hier ein paar bekannte und gängige Hackerszenarien, wie Sie einen Eingriff in ein Firmennetzwerk äußert und wie Sie diesen Angriff erkennen können:

  • Ein Mitarbeitender ist plötzlich zu untypischen Uhrzeiten online und im System unterwegs
  • Im Firmennetzwerk herrscht auf einmal erhöhter Datentransfer / der Server ist stark eingeschränkt und langsam
  • Schutzgeld-Erpressungen tauchen auf Ihren Bildschirmen auf
  • Duplikate Ihres Produktes tauchen auf dem Markt auf
  • Kundendaten tauchen im Internet auf
  • Passwörter und Zugangsdaten wurden geändert
  • fragwürdiger E-Mails werden von Ihrem oder dem Account der Mitarbeitenden verschickt
  • Die Unternehmens-Website wurde verunstaltet und unbrauchbar gemacht

1. Schritt: Geräte physisch trennen, ausschalten bzw. abschalten bei einem Cyberangriff

Sie haben den Verdacht, dass Ihr Firmennetzwerk kompromittiert wurde oder Vorgänge und Aktionen untypisch im System ausgeführt werden oder konkreten Hinweis darauf? In diesem Fall schalten Sie alle Geräte, Computer und Server aus und trennen Sie die physische Verbindung zum Firmennetzwerk, Internetanbindung und WLAN-Anbindungen. Diese Maßnahme soll Angreifende aussperren, den Zugang zum Unternehmen verwehren, dass diese nicht mehr Schaden anrichten können bis zu diesem Zeitpunkt. Nach Schritt vier können Sie das Gerät, den Computer oder den Server einem Spezialisten übergeben, der die Schwachstelle findet, schließt und wenn möglich den angerichteten Schaden beseitigt.
Falls Ihre Unternehmensinfrastruktur in einem Rechenzentrum liegt oder Sie Cloud-Dienste nutzen, kontaktieren Sie umgehend Ihren Anbieter, unterrichten Sie von dem Vorfall und fahren Sie mit Schritt zwei fort.

2. Schritt: Passwörter ändern bei Angriff

Eines den gängigen Problemen im Alltag sind zu „einfach“ genutzte Passwörter, wie schon in unserem Beitrag „Passwort und Sicherheit: Wie werden Zugänge gesichert?“ beschrieben. Da man nicht genau weiß, wie der Angreifende oder Hacker in das Firmennetzwerk vorgedrungen ist, ist nach Abschaltung der Geräte, das Trennen der einzelnen Verbindungen, die Änderung aller genutzten Passwörter und Zugangsdaten zu den wichtigsten Diensten erforderlich.

Dazu zählen:

  • System-Logins
  • Mitarbeiterzugänge
  • und die dazugehörigen E-Mail-Adressen
  • E-Banking und Login zu wichtigen Zahlungsanbietern
  • Plattformen und Partnernetzwerke
  • Social Media Accounts

3. Schritt: Analyse des Hackerangriffs und Ermittlung des Schadens

Nachdem der Zugang auf das Firmennetzwerkes von extern blockiert und die Passwörter geändert wurden, sodass theoretisch kein weiterer Schaden durch Angreifende erfolgt, kann man sich der Prüfung der Schadensermittlung zuwenden.

Bei der Überprüfung des Firmennetzwerk werden Accounts, Zugänge und das System unter folgenden Aspekten analysiert:

  • Wie kam der Hacker in das System? Wie kann man die Schwachstelle schließen?
  • Welchen konkreten Schaden hat der Hacker verursacht?
  • Wurden Daten verändert oder gelöscht?
  • Wurden wichtige Daten heruntergeladen?
  • Wurden Daten öffentlich zugänglich gemacht?
  • Welche Accounts und Zugänge wurden genutzt?
  • Wurden E-Mails verschickt?
  • Wurden durch den Angreifer neue Passwörter bei anderen Diensten von Ihnen beantragt, die eine E-Mail-Bestätigung verlangen?

4. Schritt: Anzeige erstatten und Schaden offiziell melden

Der Verdacht auf einen Hackerangriff hat sich bestätigt? Kontaktieren Sie die Polizei. Diese können mit Ihrer entsprechenden Abteilung für Cyberkriminalität einen Blick auf den Schaden und Spuren werfen und weiter zu ermitteln und die Cyber-Kriminellen zur Rechenschaft ziehen. Zum Schluss können Sie bei der Polizei oder Staatsanwaltschaft eine Anzeige aufgeben.

5. Schritt: Eigene Pflichten im Bereich Datenschutz erfüllen

Beziehen Sie Ihren Datenschutzbeauftragten, Verantwortlichen oder den Auftragsverarbeiter im Sinne des DSGVO ein und überprüfen Sie die Situation aus Sicht des Datenschutzes. Hierbei wird auf die unzureichenden technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO überprüft. Falls menschliches Versagen (z. B. E-Mail-Anhang mit Malware geöffnet) für den Angriff verantwortlich ist, sollten entsprechende Maßnahmen wie u. a. regelmäßige Schulungen der Mitarbeitenden stattfinden und der Virenschutz verbessert werden.

Sofern bei dem Hackerangriff personenbezogenen Daten (beispielsweise Kundendaten) kompromittiert, gelöscht oder verändert wurden, muss binnen 72 Stunden nachdem die Datenschutzverletzung bekannt wurde, der Vorfall bei der zuständigen Aufsichtsbehörde für Datenschutz eine Meldung nach Art. 33 DSGVO gemacht werden. Zudem besteht eine Benachrichtigungspflicht gegenüber den betroffenen Dritten nach Art. 34 DSGVO. Dies können Kunden, Geschäftspartner und Dienstleistungsanbieter sein.

6. Schritt: Kommunikation

Die richtige Kommunikation ist in der Situation entscheidend! Zuerst wird intern in der Firma allen Mitarbeiter über den Vorfall informiert und unterrichtet, dass diese sensibilisiert und der Maßnahmen agieren können. Anschließend nach Sichtung können betroffene Kunden und Partner informiert werden, dass deren Daten beim Angriff betroffen waren und im letzten Schritt kann man die Medien über den Angriff informieren. Ein externer Kommunikationsprofi kann Sie in einer solch herausfordernden Zeit unterstützen.

7. Schritt: Cybersecurity Ansprechpartner: Wer hilft weiter?

  • Datenschutz-Aufsichtsbehörden (für Ihr Bundesland)
  • Bundesamt für Sicherheit in der Informationstechnik (BSI)
  • Landeskriminalamt (Ihr Bundesland)
  • Bundeskriminalamt (BKA)
  • Cyberwehren

8. Weitere Maßnahmen berücksichtigen

Überlegen Sie, welche weiterführenden Daten mit dem Angriff zusammenhängen bzw. betroffen sein könnten. Entsprechend ergeben sich beispielsweise weitere Maßnahmen:

  • Kontrolle der Zahlungsanbieter bzw. Sperrung von kompromittierten Zahlungs- und Kreditkarten.
  • Sind Daten unbefugt im Internet veröffentlicht worden? Dann den jeweiligen Anbieter und/oder Hosting-Provider benachrichtigen und um Löschung (Art. 17 DS-GVO) ersuchen. Ist dies nicht erfolgreich, siehe Punkt 7.
  • Betreiber von Suchmaschinen können aufgefordert werden, verletzende oder ehrenrührige Treffer auszublenden (Bsp. Informationen aus Google entfernen).

9. Schritt: Wiederherstellung der Daten der unterschiedlichen Systeme und der IT-Struktur

Nachdem Sie selbst und Ihre Mitarbeiter die Situation analysiert und protokolliert und auch die Polizei Ihre Arbeit vor Ort abgeschlossen hat, können Sie sich der Wiederherstellung der Daten, des Systems und Ihrer IT-Struktur widmen. Experten und spezialisierte Anbieter helfen Ihnen, Ihre Infrastruktur zu reparieren und falls möglich wiederherzustellen.

Prävention zu Hackerangriffen und Cyberangriffen

Wie schon in der Einleitung des Beitrages erwähnt, können sich Hackerangriffe sehr stark unterscheiden. Sensibilisieren Sie sich selbst und Ihrer Mitarbeitenden, dass diese auf die Kleinigkeiten achten und integrieren Sie einen hohen Sicherheitsstandard in ihr Firmennetzwerk. Auch Zugänge und Passwörter sollten entsprechend „schwierig“ gewählt sein. Testen und optimieren Sie Ihren Sicherheitsstandard in der IT-Struktur regelmäßig und passen Sie diese regelmäßig auf die gängigen Angriffsszenarien an.

Tipp:
Der System-Administrator Ihres Unternehmens sollte die Logfiles der Logins protokollieren und im Auge behalten, um diese zu analysieren und bei Auffälligkeiten Bescheid zu geben.

Wie hat Ihnen dieser Artikel gefallen?

Average rating 4 / 5. Vote count: 3


0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu