Cyberangriff: Was tun, wenn es passiert ist?

27.03.2023
4 Min.
Regelmässige Sicherheitsupdates, robuste Firewall, aktuelles Antivirenprogramm – inzwischen Standard auf den meisten Computern weltweit. Und trotzdem bieten sie keinen hundertprozentigen Schutz vor Bedrohungen aus dem Internet. Vor allem Ransomware wird zu einem immer grösseren Problem und versursacht mitunter Schäden im Milliardenbereich. Doch auch DDoS-Angriffe oder Botnetze machen vielen Usern zu schaffen. Was also tun, wenn das eigene System betroffen ist? Wie identifiziere ich das Problem? Ist es sinnvoll, auf Lösegeldforderungen einzugehen? Oder ist es ratsam, verstärkt auf Open Source-Lösungen zu setzen?
 

Symbolbild von Pete Linforth via Pixabay 

 
Bei allen Vorteilen, die das Internet uns gebracht hat, steckt es auch voller Gefahren. Die Bandbreite reicht von Spammails bis hin zu gefährlichen Trojanern, die die Systemlandschaften ganzer Unternehmen oder Behörden zerstören können. Trotz aller Sicherheitsvorkehrungen reicht oft ein falscher Klick, um eine Kettenreaktion in Gang zu setzen. Bei einer Attacke aus dem Internet sollten Betroffene Ruhe bewahren und versuchen, zunächst die Art des Angriffs zu identifizieren. 
 

Paroli bieten oder Lösegeld zahlen?

Sehr beliebt bei Cyberkriminellen sind Distributed Denial of Service-Angriffe, kurz DDoS. Diese überlasten die Server mit unzähligen Anfragen. Webseiten werden so unerreichbar. Häufig nutzen Hacker dafür sogenannte Botnetze, bei denen sie mit seinem PC etliche andere, infizierte Computer steuern und so einen massiven Angriff starten können. Wer von einer DDoS-Attacke betroffen ist, kann zunächst die verwandten IPs sperren, doch meist sind es viel zu viele IPs. Um solchen Angriffen vorzubeugen, ist es sinnvoll, Daten auf mehreren Servern zu verteilen. Das ist zwar zunächst kostspielig, kann auf lange Sicht aber vor Totalausfällen schützen.
 
Besonders während der Corona-Pandemie sind auch sogenannte Social Engineering- Angriffe immer beliebter geworden. Dabei geraten Mails oder nachgebaute Webseiten in Umlauf, die scheinbar über aktuelle Themen informieren sollen. Die ahnungslosen Opfer geben ihre Daten ein und gewähren Hackern so Zugriff auf das System. In so einem Fall sollten sofort alle Passwörter geändert werden. Präventiv ist es daher wichtig, das Personal auf solche Attacken zu sensibilisieren.
 
Zu den problematischsten und leider immer stärker verbreiteten Arten von Cyberkriminalität gehören Angriffe mit Ransomware. Die offiziellen Zahlen sind nur schwer zu erfassen, aber allein im März 2023 hat es eine globale Ransomware-Attacke gegeben, bei der laut Bundesamt für Sicherheit in der Informationstechnik (BSI) eine dreistellige Anzahl von Unternehmen in Deutschland betroffen war. Hacker können damit Computersysteme ganz oder teilweise lahmlegen und fordern im Anschluss meist Lösegeld, um die Daten oder Funktionen wieder freizugeben.
 
Für diejenigen, die es erwischt hat, gibt es verschiedene Optionen. Ist ein Unternehmen betroffen, können die Mitarbeiter der IT-Abteilung versuchen, selbst wieder Kontrolle über das System zu gewinnen. Dazu müssen sie das Virus zunächst anhand verschiedener Merkmale identifizieren, etwa durch den Dateinamen der Lösegeldforderung, die Mailadresse der Erpresser oder die geforderte Summe. Da die Täter oft gleich vorgehen, gibt es im Internet Übersichten, mit denen sich die Ransomware eingrenzen lässt – samt passendem Decryptor. Unternehmen, die damit überfordert sind, können sich natürlich an spezialisierte Sicherheitsfirmen wenden. Ob aber alle Daten gerettet werden können, ist nie garantiert.
 
Deshalb gibt es noch eine dritte Möglichkeit: Auf die Forderungen eingehen und Lösegeld bezahlen. Dieser Schritt sollte aber natürlich gut überlegt sein. Wie stehen die Chancen, das System selbst wieder unter Kontrolle zu bringen, und wie lange würde es dauern? Welche Verluste entstehen in dieser Zeit stündlich, wöchentlich, monatlich? Gibt es weitere Konsequenzen, etwa weil Kunden abspringen? In Fällen, bei denen es um das eigene Überleben gibt, ist es vermutlich das kleinere Übel, auf die Forderungen einzugehen. Andererseits befeuert dies die Cyberkriminellen, und es gibt auch keine Garantie, nicht irgendwann wieder in das Fadenkreuz zu geraten. Wirklich ein Dilemma.
 
Ein bekanntes Beispiel ist die Ransomware WannaCry, die sich 2017 in über 150 Ländern ausbreitete und Schäden in Höhe von vier Milliarden US-Dollar verursachte. Eine Hackergruppe nutzte hierfür eine Sicherheitslücke im Betriebssystem Windows, die der amerikanische Geheimdienst NSA übrigens über mehrere Jahre für eigene Zwecke verwendet hatte. Dies ist der Nachteil bei Closed-Source-Software, also Programmen, deren Quellcode nur vom Entwickler verändert werden kann. Da nur ein beschränkter Personenkreis Zugriff hat, bleiben Sicherheitslücken oft lange unentdeckt.
 

Mehr Sicherheit mit Open Source

Anders bei Open Source-Systemen, bei denen der Quellcode offen eingesehen und verändert werden kann. Das klingt zunächst paradox: Warum sollten sich nicht auch Hacker dies zu Nutze machen und Codes für ihre Zwecke verändern? Das Geheimnis liegt in der Teamarbeit und dem Viele-Augen-Prinzip. Gerade da so viele Leute an einem Code arbeiten, werden Veränderungen quasi ununterbrochen überprüft. Wer von einem Hackerangriff betroffen war oder die Sicherheit präventiv erhöhen möchte, sollte den Umstieg auf Open-Source-Systeme in Betracht ziehen.
 
Entwickler und User arbeiten als grosse Community zusammen und können Einfallstore schnell identifizieren und schließen. Dies ist besonders hilfreich, wenn ein neues Computervirus die Runde macht. Denn so wird die Zeit zwischen Entdeckung und Korrektur minimiert. Bei proprietärer Software, deren Code Verschlusssache ist, dauert dies meist deutlich länger. Deshalb setzen auch wir mit unserem IT-Service-Managementsystem KIX von Beginn an auf Open Source.
 
In Fragen der Sicherheit spielt ein solches System vor allem in Kombination mit einem IT-Security-Managementsystem seine volle Stärke aus. Ganz unterschiedliche Probleme lassen sich so nicht nur identifizieren, nachverfolgen und lösen, sondern gleichzeitig auch dokumentieren. Auch neue Mitarbeiter haben so jederzeit den Überblick über ungewollte Vorkommnisse und sehen, wie sie bewältigt wurden. Für Unternehmen mit erhöhtem Sicherheitsbedarf wäre es zudem optimal, die Arbeitsabläufe nach der Information Technology Infrastructure Library (ITIL) auszurichten, die allen Usern einen Fahrplan an die Hand gibt, was in welchen Situationen zu tun ist. So steigern sich - weit hinausgehend über den normalen Standard von IT-Security - die Qualität und die Arbeitsabläufe.
 
Den absoluten Schutz gegen Cyberkriminelle wird es nie geben, doch wer vorbaut, sich an Sicherheitsvorkehrungen hält und sein System mit Open Source-Technologie ergänzt, macht den Hackern das Leben schwer. Nicht nur vor einem Angriff, sondern auch, wenn es schon passiert ist.
 
 

Der Autor

 
Rico Barth ist Geschäftsführer von cape IT bzw. ab 1. April 2023 KIX Service Software