So verhalten Sie sich korrekt, wenn Sie einen Hackerangriff vermuten

Wenn Sie Unregelmäßigkeiten im System beobachten und einen böswilligen Fremdzugriff (Hackerangriff) vermuten, gilt zunächst einmal: Einen kühlen Kopf bewahren und die Situation sachlich analysieren! Um eine Überreaktion und vorschnelle Eskalation zu vermeiden, aber auch um im Falle eines tatsächlichen Fremdzugriffes einen größeren Schaden abzuwenden, sollten Sie diese 8 Tipps berücksichtigen.

Hackerangriff auf Unternehmen

1. Ruhig bleiben

Jetzt auf keinen Fall panisch werden! In der Hektik passieren Ihnen vielleicht noch Fehler oder Sie unternehmen Dinge, die Sie später bereuen werden.

2. Fakten sammeln

Sammeln Sie alle Informationen, die Sie vermuten lassen, dass sich jemand unerlaubten Zugriff zu Ihrem System verschafft hat! Das ist wichtig um die nächsten Schritte gezielt angehen zu können. Prüfen Sie welche Systeme manipuliert wurden!

3. Kern kontrollieren

Das Herzstück jeder Organisation ist die Active Directory. Prüfen Sie welche User in letzter Zeit angelegt wurden! Gleichen Sie diese mit der Personalabteilung ab! Existiert ggf. ein Account, der nicht zugeordnet werden kann, gibt es nun zwei Möglichkeiten zu reagieren: Den Account sperren und den Zugriff für den (potentiellen) Angreifer erschweren oder diesen User besonders „beobachten“ um mehr Informationen über den Hacker zu bekommen. Was sind seine Absichten? Zerstörung oder der Abfluss von Daten? Auf welche Systeme schaltet sich der User? Wo muss ich im nächsten Schritt weitere Prüfungen vornehmen?

4. Einstiegspunkte kontrollieren

Welche VPN-Clients waren zu dem Zeitpunkt aktiv? Welche zusätzlichen Einstiegsfenster gibt es ggf.? Viele Fernwartungstools schreiben ein Log. Diese können Sie zum Beispiel zentral einsammeln um diese Auswerten zu können.

5. Sicherheitsfeatures kontrollieren

Habe ich alle meine Systeme auf aktuellem Stand? Hat der Angreifer ggf. eine Sicherheitslücke in meinen Systemen ausgenutzt. Hier ist dann zum Bespiel sicherzustellen das die WPA2-Lücke (hoffentlich schon lange) bei Ihnen geschlossen ist.

6. Dienstleister hinzuziehen

Gerade in diesen Situationen ist es Wichtig keine „Scheuklappen“ zu tragen. Hier sind Denkanstöße von extern sicherlich sehr Hilfreich. Je größer das Experten-Team, desto schneller lässt sich ermitteln, welche Möglichkeiten sich der Angreifer u.U. zu Nutze gemacht hat.

7. Monitoring

Behalten Sie immer im Blick was ihr aktuelles Monitoring-System sagt! Sind Server außergewöhnlich ausgelastet? Gibt es merkwürdige Anmeldemuster? Hier können Sie weitere Ziele oder Veränderungen in Ihrer Infrastruktur erkennen.

8. Nach dem Angriff ist vor dem Angriff

Das Thema Security sollte nicht nur bei Angriffen wichtig sein! Betrachten Sie das Thema in jedem Projekt, für jede Abteilung, für jeden Prozess usw. Prüfen Sie ebenfalls ob aktuelle Technologien Sie vor weiteren Angriffen schützen können!