Erste Hilfe bei Cyberangriffen

Nur keine Panik

Sollten Sie den begründeten Verdacht haben, dass unberechtigte Dritte einen PC oder Server in ihrer Organisation übernommen haben, ist ein ruhiges und überlegtes Vorgehen für den Erfolg der Aufklärung sehr wichtig. Überstürzen Sie nichts, teilen Sie ihren Verdacht nur wenigen Personen mit und halten Sie somit den Kreis der Mitwisser klein. Ziehen Sie so schnell wie möglich professionelle Hilfe hinzu, denn jede Minute zählt, wenn es um die Eindämmung des Schadens geht. Schon der Verdacht auf einen Einbruch, selbst wenn er sich nicht bestätigen sollte, benötigt zur Aufklärung des Sachverhaltes Kenntnisse aus dem Bereich der IT-Forensik.

Lassen Sie die Hardware eingeschaltet

Das Ausschalten einzelner Systeme – vor allem, wenn Sie üblicherweise eingeschaltet sind – alarmiert die Angreifer nur unnötig und führt außerdem zur Vernichtung von Beweismitteln. Versuchen Sie nach Möglichkeit, das betroffene Computersystem nicht zu nutzen und Normalität vorzutäuschen. Es gibt nur wenige Fälle, wie z.B. eine laufende Verschlüsselung durch Ransomware, bei der das sofortige Ausschalten der Hardware die beste Lösung darstellt.

Lassen Sie das Netzwerk aktiv

Das Ziehen von Netzwerksteckern hilft auch nicht weiter, denn auch diese Maßnahme kann dazu führen, dass die Angreifer sehr schnell mit dem „Aufräumen“ auf einem anderen Computersystem beginnen. Wenn Sie sich allerdings sehr sicher sind, dass der Einbruch in ihre IT gerade erst stattgefunden hat und die Angreifer nun zum ersten Mal Daten kopieren, ist die sofortige Unterbrechung der Netzwerkverbindung am kompromittierten Gerät angebracht. Die Entscheidung, ob die Netzwerkverbindung und/ oder die Hardware abgeschaltet werden sollte, muss für jeden Einzelfall erneut getroffen werden.

Dokumentieren und Fotografieren

Notieren Sie auffälliges Verhalten von Betriebssystemen, eventuelle Meldungen auf dem Bildschirm und andere Hinweise sekundengenau auf Papier. Nutzen Sie am besten die Uhr ihres Smartphones für eine verlässliche Uhrzeit- die Zeiten des Computers könnten manipuliert sein. Bitte machen Sie keine Screenshots auf dem Computersystem, auf dem Sie die Angreifer vermuten, weil Sie damit die Zwischenablage und auch Bereiche der Festplatte überschreiben würden. Fotografieren Sie das Bild des Monitors mit einer externen Kamera ab, auch hier kann das Foto einer Handykamera sehr hilfreich sein.

Sicherung der Datensicherung und aller Protokolle

Stellen Sie sicher, dass Sie eine funktionsfähige Datensicherung haben und schützen Sie diese unbedingt! Verhindern Sie das planmäßige Überschreiben älterer Datensicherungen und prüfen Sie, ob Sie für die Zeit der Krise von inkrementeller oder differentieller Datensicherung auf „Full Backup“ umstellen können und ausnahmslos alle Daten sichern. Ebenfalls sollten Sie ab sofort alle Protokollierungsmöglichkeiten von Betriebssystemen, Anwendungen und Netzwerkhardware einschalten und vorhandene Protokolle (vor allem Windows Security Eventlogs) vor dem gewollten Überschreiben bewahren.  Haben Sie ein SIEM im Einsatz, schützen Sie die darin gesammelten Daten vor Manipulation und Sabotage. Protokolle und Logdateien sind sehr wertvolle Hilfsmittel, um Cyberangriffe und illegale Zugriffe aufzuklären. Das wissen auch die Angreifer und versuchen gern, genau diese Beweise zu vernichten. Informieren Sie unbedingt den Datenschutzbeauftragten ihrer Organisation über das massenhafte Protokollieren von Daten. Für meine Kunden halte ich eine praxisgerechte Checkliste bereit, damit keine Protokollierung vergessen wird.

Kommunikation über sichere Kanäle

Gehen Sie davon aus, dass Angreifer auch ihre Mailserver unter ihre Kontrolle gebracht haben könnten und nun alle E-Mails des Unternehmens mitlesen. Nutzen Sie am besten (private) Handys oder treffen Sie ihre Ansprechpartner persönlich. Auf einem fremdgesteuertem PC kommen Sie auch mit verschlüsselten E-Mails (egal ob S/MIME oder PGP) nicht weiter, da Trojaner Tastatureingaben aufzeichnen („Keylogger“) oder automatisch Screenshots der Nachricht im Klartext machen könnten.

Kommunikation innerhalb des Unternehmens

Ein erfolgreicher Cyberangriff, bei dem Sie die Autorität über ihre eigenen Client- und Serverbetriebssysteme verlieren, ist eine ernsthafte datenschutzrechtliche und wirtschaftliche  Bedrohung des Unternehmens. Vor der vollständigen Aufklärung des Vorfalls sollte der Kreis der Mitwisser so klein wie möglich gehalten werden. Es muss sich nicht immer um einen externen Zugriff handeln, die Mehrzahl der Datendiebstähle wird von eigenen Mitarbeitern (Insider) verübt! Ziehen Sie in Betracht, die folgenden Akteure und Verantwortlichen gleich zu Anfang oder im späteren Verlauf über den Vorfall zu informieren:

  • Verantwortlicher Abteilungsleiter der IT oder Chief Information Officer („CIO“) des Unternehmens
  • Bestellter Datenschutzbeauftragter der Organisation
  • Unternehmensführung in Form des Geschäftsführers oder Vorstandes
  • Vorsitzender des Aufsichtsrates
  • Rechtsabteilung oder externe Rechtsanwaltskanzlei
  • Betriebsrat, Personalrat oder entsprechende Mitarbeitervertretung
  • Pressesprecher oder externe PR Agentur

Diese Liste ist nur ein Anhalt, abhängig von der Struktur des Unternehmens und sicherlich nicht vollständig. Der Verlust oder Diebstahl von Daten kann auch börsenrechtlich eine Pflichtmitteilung bedeuten, sofern das betroffene Unternehmen gelistet ist. Vergessen Sie nicht, den Betriebsrat und den Datenschutzbeauftragten zu involvieren! Die Sicherung und Auswertung von Daten auf Computern angestellter Mitarbeiter könnte sonst verzögert oder verhindert werden.

Ziehen Sie Profis hinzu

Falls Sie über kein eigenes Incident Response Team verfügen, das einen Hackerangriff erkennen, aufklären und abwehren kann, sollten Sie auf jeden Fall externe Hilfe hinzuziehen. Wichtigste Faktoren bei der Auswahl eines geeigneten Partners sind seine Präsenz in ihrer Nähe und die Zeit, in der dieser Dienstleister qualifiziertes Personal entsenden kann. Ein externes IT-Forensik Team aus München, das in drei Tagen freie Ressourcen zu ihrer Unterstützung beisteuern kann, hilft ihnen heute in Berlin nicht weiter. Mein persönlicher, regionaler Fokus liegt im Dreieck Hamburg – Lübeck – Kiel und erlaubt es mir, flexibel auf ihre Anforderung zu reagieren und Sie vor Ort zu unterstützen. Gern biete ich Ihnen auch an, die dringendsten Erstmaßnahmen am Handy oder via Skype zu besprechen.