Data-Breach: Richtige Reaktion bei Cyber-Attacken

Data-Breach

Erste Hilfe beim Hacker-Angriff


Unternehmen werden permanent von Hackern angegriffen. Erfolgt ein Datendiebstahl, müssen möglichst schnell die richtigen Massnahmen ergriffen werden. Ein Szenario zeigt, wie die Schäden geringgehalten werden können.


Text: Felix Raymann in Zusammenarbeit mit Lorenz Inglin, Bilder: Luca Zanier




«Die Website ist nicht erreichbar» steht auf dem Alarm-SMS, das Arno P. mitten in der Nacht erhält. Wohl oder übel rafft sich der IT-Verantwortliche eines Online-Händlers auf und loggt sich routinemässig ins System ein um zu sehen, was nicht in Ordnung ist. «Eigentlich hätte das ja auch Zeit bis morgen früh», denkt er sich, schliesslich kauft kaum jemand nachts im Schweizer Web-Shop ein.


Doch als er die Traffic-Zahlen kontrolliert, traut er seinen Augen kaum: Auf den Servern herrscht reger Datenverkehr, den er nicht deuten kann. Offenbar versuchen Angreifer mit einer Vielzahl automatisierter Zugriffe, die Webseite unzugänglich zu machen.


Aber bei der Durchsicht der Logs auf den Servern stellt er noch etwas fest: Offenbar werden gleichzeitig auch noch Kundendaten gestohlen. Der Angriff auf die Webseite könnte bloss ein Ablenkungsmanöver sein. Einzelne Server herunterzufahren gelingt ihm nicht, zudem weiss er gar nicht, ob und wie er beginnen soll, den Datendiebstahl selbst zu stoppen.


Ein Notfallplan ist unverzichtbar

Der beschriebene Vorfall kann entweder zur Katastrophe für das Unternehmen werden, oder aber glimpflich ausgehen. Im besseren Fall weiss Arno P. dank eines Notfallplans, was zu tun ist. Er ruft die Support-Nummer von Swisscom an, bei dem das Unternehmen Services und Infrastrukturen nutzt. Dort ist man bereits im Bilde und hat inzwischen einige Bereiche, auf denen verdächtige Aktivitäten entdeckt wurden, unzugänglich gemacht.

«Es handelt sich um eine DDoS-Attacke», sagt der zuständige Mitarbeiter vom Security-Team. «Wir konnten den bösartigen Netzwerkverkehr herausfiltern, der Dienst wird in Kürze wieder erreichbar sein. Doch konnten die Hacker zusätzlich eine Schwachstelle auf einer Datenbank ausnutzen um Kundendaten zu kopieren.


Nun gilt es als erstes, diese Vorgänge zu stoppen. Erst in einem nächsten Schritt versuchen die Security-Spezialisten anhand der Log-Files herauszufinden, auf welchem Weg die Angreifer Zugriff auf die sensiblen Daten erlangen konnten.




Notfallplan: Massnahmen nach einem Angriff


Trotz bester präventiver Massnahmen ist es möglich, dass Hacker mit verschiedensten Angriffsmethoden Daten stehlen können. Bemerkt man einen Vorfall, zählt jede Sekunde. Das Computer Security Incident Response Team von Swisscom sieht folgende Massnahmen zur Abwehr von Bedrohungen vor:

 

  • Vorhandene Informationen über den Vorfall auswerten. Worum handelt es sich? Ist ein Vor-Ort-Team von Swisscom nötig?
  • Sofortmassnahmen einleiten (Vorgänge stoppen, Schadensmass, Datenverluste eruieren)
  • Ursache des Problems finden
  • Massnahmen einleiten, um das Problem einzudämmen / Behebung des Problems
  • Verbesserung des Schutzes und vergleichbare Probleme identifizieren
  • Wiederherstellung, Validierung, Überwachung
  • Beweissicherung (Quelle der Angriffe, evt. für gerichtliche Zwecke)
  • Debriefing, Dokumentation, Anwenden der Korrekturmassnahmen


Da das Unternehmen nicht alle Dienste bei Swisscom nutzt, gilt es nun, den Schaden auf den eigenen Servern in Grenzen zu halten. Deshalb begibt sich Arno P. ins Büro. Dort zieht er gemäss Anweisung seines Notfallplans zwar die Ethernet-Stecker der Server, fährt die Rechner aber nicht herunter, so dass eventuelle Manipulationen im Nachhinein rekonstruiert werden können. «Der Arbeitsspeicher kann uns viele Hinweise darüber geben, welche Eingriffe auf das System gemacht wurden» sagt Lorenz Inglin, Head Security Monitoring & Incident Response Team (CSIRT) bei Swisscom.


Die spätere Analyse der Log-Files wird ergeben, dass der Angreifer durch eine Schwachstelle in der Applikation (mittels «SQL Injection») ins System eingedrungen ist. Die Aufgabe des Forensik-Teams von Swisscom ist es nun, Beweismittel zu sichern und herauszufinden, wer dahinterstecken könnte. Die Forensiker müssen analysieren, woher der Angriff kam, welche Daten gestohlen wurden bzw. wie gross der Schaden überhaupt ist. Ebenso wichtig ist es, die Kommunikationskanäle zu den Angreifern zu sperren, die Schwachstelle in der Applikation zu schliessen. Zudem müssen die Mitarbeitenden und Kunden informiert werden, wie sie sich verhalten sollen. Auch eine Sprachregelung für den Medien- und Kundendienst sollte erstellt werden.



1/5 Das Security-Team von Swisscom leistet erste Hilfe bei Hacker-Angriffen.

2/5 Die Spezialisten analysieren die Log-Files, um verdächtige Bewegungen festzustellen.

3/5 Erste Hilfe vor Ort: Mit dem Forensik-Koffer unterwegs zum Kunden.

4/5 Forensische Kopien von Festplatten erstellen, Ursachen identifizieren, Probleme eindämmen: Das CSIRT-Team von Swisscom im Einsatz.

5/5 Stecker ziehen: Im Ernstfall zählt jede Sekunde.

1/5 Das Security-Team von Swisscom leistet erste Hilfe bei Hacker-Angriffen.


Teure Folgen eines Angriffs

Konnten erste Massnahmen ergriffen werden, geht es darum, die Schäden möglichst gering zu halten. Wie hoch tatsächliche Schäden sind, ist nur schwer herauszufinden. Finanzieller Schaden kann direkt entstehen oder indirekt. Mögliche Faktoren sind:

 

  • Interner Aufwand für Behebung und Wiederherstellung
  • externe Forensik, Wiederherstellung der gemieteten Systeme
  • neue Sicherheitsmassnahmen
  • Reputation: Imageschaden, Vertrauensverlust der Kunden, sinkender Aktienkurs




Die Bedrohungslage für Unternehmen


Um an sensible Daten wie Informationen über Kunden, Kreditkarteninformationen, Passwörter etc. zu kommen, werden Hacker die unterschiedlichsten Methoden an. Lorenz Inglin: «Angriffe sind alltäglich, wir befinden uns ständig in Alarmbereitschaft und versuchen, Angriffe aufzuspüren und abzuwehren.»


Von März bis Dezember 2016 gab es alleine bei Swisscom 83’928 Sperrungen von 74’602 Mail-Adressen. «Wir überwachen permanent unsere Netze und suchen nach ungewöhnlichen Ereignissen. So finden und sperren wir unter anderem monatlich rund 2’500 Phishing-Seiten», sagt Lorenz Inglin.


Zurzeit sind es vor allem folgende Bedrohungen, denen Unternehmen ausgesetzt sind:

 

  • Phishing
  • DDoS-Attacken (Lahmlegen von Diensten, Websites)
  • Ransomware (Datenverschlüsselung und anschliessende Erpressung)
  • Social Engineering (Erschleichen von Daten, Passwörtern mittels Tricks. Beispiel: «Fake President Fraud»: Betrüger geben sich als Mitglied des Managements eines Unternehmens aus und bewegen Angestellte dazu, Geldüberweisungen zu tätigen.

Hacker-Typologie:


  • Einzeltäter: Sogenannte Script Kiddies oder digitale Vandalen, die ausprobieren, irgendwo einzudringen oder Systeme lahmzulegen.
  • Hacker: Hacktivists, die in der Lage sind, beispielsweise DDOS-Attacken auszuführen.
  • Kriminelle Organisationen: Organisierte Banden und Organisationen, die mit viel Aufwand und ausreichend Mitteln gezielte Angriffe tätigen, um an Geld zu kommen.
  • Terror-Aktivisten: Ideologisch motivierte Hacker mit dem Ziel, Infrastrukturen zu manipulieren.
  • Staatliche Hacker: Politisch oder wirtschaftlich motiviert? Sind in der Lage, grosse Angriffe zu tätigen, Leute einzuschleusen etc.







Mehr zum Thema


Threat Detection & Response

Übersicht über potentielle Sicherheitsvorfälle erhalten und bei Cyber Security Attacken professionelle Unterstützung beziehen.