Incident Response

Was tun bei einem Cyberangriff?

RunningDie Digitale Forensik kann auch genutzt werden, um die Aktivitäten von Hackern nachzuvollziehen. Jede Nutzung eines Computers hinterlässt Spuren, auch die illegalen Tätigkeiten von Kriminellen. Gerade bei Cyberangriffen oder der Industriespionage durch eigens programmierte Trojaner ist eine Identifizierung und Auswertung der hinterlassenen Spuren oftmals nur durch Experten für IT-Forensik möglich. Im Rahmen einer Incident Response kann ich Sie bei einem gegenwärtigen Einbruch in ihre IT-Systeme praktisch und beratend unterstützen.

Was bedeutet Incident Response?

Incident Response, abgekürzt IR, ist der englische Fachbegriff, der das Vorgehen bei besonders schweren IT-Sicherheitsvorfällen beschreibt. Ziel ist es, den Vorfall aufzuklären und nachteilige Folgen für die betroffene Organisation zu verhindern oder zumindest einzudämmen. Die Maßnahmen einer Incident Response umfassen nicht nur technische Fragen und Methoden der IT-Forensik. Es geht auch um organisatorische Abläufe, Verantwortlichkeiten und Kommunikation. Wie erklären Sie ihrem Kunden, dass dieser sein Passwort für ihren Online Shop ändern muss, nachdem ihre Webseite gehackt wurde?

Im Fokus dieser Hacker sind vor allem Unternehmen aus dem deutschen Mittelstand, die mit innovativer Technologie erfolgreich auf dem Weltmarkt agieren. Sie besitzen wertvolles Know-How und mit erheblichem Entwicklungsaufwand begründete Patente. Aber sie haben nicht die Größe, ein eigenes Team von qualifizierten IT-Sicherheitsexperten zu beschäftigen. Für chinesische Hacker, die sogar mit staatlicher Unterstützung agieren, sind die Forschungsergebnisse dieser Firmen lohnenswerte Ziele von Cyberangriffen. Als IT-Forensiker biete ich Ihnen beispielhaft in diesen Fällen meine Expertise an:

  • Illegaler Zugriff auf Computer, Server und Daten ihrer Organisation
  • Erkennung und Abwehr von Cyberangriffen durch Hacker
  • Diebstahl von geschäftskritischen Informationen, Patenten oder personenbezogenen Daten
  • Identifizierung und Analyse von Schadsoftware (Trojaner, Viren, Rootkits, Spear Phishing), die für die Ausspähung ihres Unternehmens programmiert wurde
  • Bedrohung ihrer IT-Sicherheit durch eigene Angestellte („Insider Threat“)

Für den Blog dieser Webseite habe ich den Artikel „Erste Hilfe bei Cyberangriffen“ geschrieben. Er ist ein sowohl Leitfaden als auch Checkliste für sinnvolle Erstmaßnahmen, sobald Sie den Verdacht haben, dass einer ihrer Computer von kriminellen Hackern übernommen wurde.

Wie läuft so ein Cyberangriff ab?

In der Praxis sind es häufig Spear Phishing E-Mails, die einen Hackerangriff einleiten. Links, die in solchen E-Mails eingebettet sind, führen zu Webseiten, die den Rechner infizieren und Sicherheitslücken im Betriebssystem des PC oder einer seiner Anwendungen (Java, Acrobat Reader, Internet Explorer, Flash …) ausnutzen. Sobald bereits ein einziger Computer im Unternehmen von den Kriminellen übernommen wurde, beginnt das in der Fachsprache genannte Lateral Movement: Hacker erkunden das gesamte Netzwerk und bewegen sich von einem Computer zum anderen. Sie verschaffen sich Zugang zu den IT-Systemen, auf denen die wertvollsten Daten gespeichert sind. Diese Kronjuwelen werden anschließend zusammengetragen und via Internet auf die IT-Systeme der Hacker kopiert. Üblich ist es auch, sich Hintertüren einzurichten, damit man es – wenn man in einem halben Jahr wieder kommt – einfacher hat, an die aktuellsten Daten zu gelangen.

An dieser Stelle möchte ich Ihnen die Publikation „Die Lage der IT-Sicherheit in Deutschland 2016“ des Bundesamtes für Sicherheit in der Informationstechnik empfehlen. Darin sind zahlreiche Beispiele von erfolgreichen Cyberangriffen beschrieben, aber auch, wie man sich davor schützen kann.

Ich kann die Folgen von Einbrüchen in ihr Netzwerk sichtbar zu machen und diese Fragen beantworten:

  • wie ist der Täter vorgegangen, welche Sicherheitslücken wurden ausgenutzt?
  • welche Computer und Server wurden kompromittiert?
  • welche Hinweise gibt es auf die Identität des Täters?
  • welche Daten wurden gestohlen?

Sollten Sie den Verdacht haben, dass jemand die Kontrolle über eines ihrer Computersysteme übernommen hat, ist die Reaktionszeit ein sehr wichtiger Faktor, um weiteren Schaden abzuwenden. Schnelle Internetverbindungen führen auch dazu, dass selbst enorme Datenmengen in kurzer Zeit kopiert werden können. In diesem Fall allerdings aus dem Unternehmen hinaus!