Hackergangriffe erkennen

Ein Hackerangriff gehört wohl zu den Schreckensszenarien jedes Unternehmens - und der meisten privaten PC-Nutzer. Im Fall der Fälle sind die richtigen Reaktionen essenziell zur Schadensbegrenzung. Deren Effektivität hängt von einer möglichst zeitnahen Reaktion ab. Daher sollten Anwender auf bestimmte Warnzeichen achten, die auf einen laufenden Hackerangriff hindeuten. Wir fassen für Sie einige wichtige Merkmale zusammen.

Hackerangriffe - ein sehr aktuelles Problem

Die Wahrscheinlichkeit, von einem Hackerangriff betroffen zu sein, nimmt leider insbesondere für Unternehmen immer noch zu. Die Folgen reichen von schlichten Störungen der Betriebsabläufe bis hin zur vollständigen und dauerhaften Unbrauchbarkeit der IT-Infrastruktur. Zu den Kosten, die hierdurch verursacht werden, kommen zum Teil noch finanzielle Forderungen der Angreifer. Diese lassen sich beispielsweise die Entschlüsselung wichtiger Firmendaten bezahlen oder erpressen Geld mit der Androhung weiterer Attacken. Dies sind gute Gründe, sich regelmäßig mit aktuellen Cyberattacken auseinanderzusetzen.

Wann ist man "gehackt"?

Beim Begriff des "Hackings" handelt es sich um die umgangssprachliche Beschreibung für Cyberattacken. Fachlich spricht man eher von einem IT-Sicherheitsvorfall. Diesen sieht das Bundesamt für Sicherheit in der Informationstechnik (BSI) gegeben, wenn ein Ereignis eintritt, das die Vertraulichkeit, Integrität und Verfügbarkeit von Teilen der IT-Infrastruktur beeinträchtigt. Allerdings ist der gezielte Angriff auf ein IT-System nur eine Form der möglichen Sicherheitsvorfälle.

Verbreitete Angriffsszenarien sind:

- Ransomware: Hierbei verschaffen sich Angreifer Zugriff auf ein Netzwerk, leiten teilweise für mögliche Erpressungen Daten aus und verschlüsseln anschließend möglichst umfassend Dateien zugreifbarer Rechner und Server. Die Entschlüsselung bieten die Täter gegen ein Lösegeld an und drohen oft parallel mit der Veröffentlichung geheimer Daten.

- Botnetze: Cyber-Kriminelle verschaffen sich dauerhaften Zugriff auf möglichst viele Endgeräte mit Internetanbindung und richten sich eine Möglichkeit des Fernzugriffs ein. Ihr so erstelltes Botnetz nutzen sie später beispielsweise für Angriffe auf Server oder massenhaften Versand von Spam-Mails.

- Ausspähen von Daten/Phishing: Bei dieser Form des Angriffs geht es um das Auskundschaften wichtiger Daten, etwa Zugangsdaten für aus dem Internet erreichbare Dienste oder Online-Banking-Accounts. Dies kann allerdings auch ohne direkten Zugriff auf das Netzwerk geschehen, zum Beispiel indem Webseiten, auf denen Zugangsdaten eingegeben werden müssen, nachgebildet werden. Ebenso sind gefälschte E-Mails eine Variante, in denen zur vermeintlichen Änderung von Zugangsdaten aufgefordert wird. In selteneren Fällen werden auch Keylogger eingesetzt, die Tastaturanschläge aufzeichnen.

- Computersabotage: Diese Angriffe können unterschiedlich ausgeprägt sein. Wird der Server eines Unternehmens durch massenhafte Anfragen gestört (sog. Distributed-Denial-of-Service-Attacken, kurz: DDoS), wird das Netzwerk nicht direkt gehackt. Es sind aber auch gezieltere Angriffe zur Störung von Abläufen in Unternehmen möglich.

- Virenbefall: Der Einfall von Schadsoftware in das Firmennetzwerk muss nicht Folge eines gezielten Angriffs sein. Manche Computerviren kursieren im Internet, auf der Suche nach Zufallsopfern, bei denen es sich natürlich auch um Unternehmen handeln kann.

Was passiert bei einem Hackerangriff?

Ein Hackerangriff läuft in unterschiedlichen Phasen ab. Diese lassen sich grob in fünf Kategorien einteilen:

1. Vorbereitung: Hacker kundschaften ihre Ziele häufig im Vorfeld aus. Dies geschieht oft automatisiert, kann aber auch gezielt und manuell erfolgen. So werden öffentlich zugängliche Login-Routinen getestet, Ports und Dienste von Servern gescannt, aber auch Informationen durch sogenanntes Social Engineering gesammelt. Hierbei werden Mitarbeiter in Telefongesprächen oder per E-Mail getäuscht und dazu gedrängt, nützliche Informationen herauszugeben.

2. Eindringen in das System: Der eigentliche Zugriff kann durch das Ausnutzen bekannter Schwachstellen verwendeter Software (sog. Exploits) erfolgen, die auf Servern oder aus dem Internet erreichbaren Rechnern installiert sind. Weitere Möglichkeiten sind das Einschleusen von Schadsoftware per E-Mail oder das Verwenden ausgespähter Zugangsdaten.

3. Rechte ausweiten und absichern: Sind die Angreifer in das System eingedrungen, versuchen sie in der Regel zunächst unbemerkt, sich möglichst umfassende Rechte einzurichten und sich versteckte Hintertüren einzurichten. Hierzu können beispielsweise auch Virenscanner deaktiviert oder Prozesse eigener Schadsoftware versteckt werden.

4. Ausführen schadhafter Aktionen: Ist der erforderliche Zugriff eingerichtet, beginnen die Hacker mit ihren geplanten Handlungen, etwa dem Ausleiten geheimer Informationen, der Manipulation von Diensten oder dem Verschlüsseln wichtiger Daten.

5. Nachtatverhalten: Wird der Angriff nicht entdeckt und gestoppt, so räumen die Angreifer häufig sogar nach ihrer Tat auf. Dies natürlich, um Spuren zu verwischen und eine spätere Verfolgung zu erschweren.

Wie kann ich einen Hackerangriff erkennen?

Je nach Stadium, in dem sich der Hackerangriff befindet, ist es unterschiedlich schwierig, diesen als solchen zu erkennen.

- Phase 1: Die Vorbereitung eines Hackerangriffs lässt sich nur durch besondere Aufmerksamkeit und Vorbereitung der eigenen Systeme erkennen. Dazu zählen etwa Logprotokolle, die fehlgeschlagene Anmeldungen und Portscans dokumentieren können. Neben der regelmäßigen manuellen Kontrolle, kann Intrusion-Detektion-Software oder Intrusion-Prevention-Software helfen, die Logprotokolle automatisch überwacht und Benachrichtigungen an Verantwortliche schickt oder Zugänge präventiv sperrt. Eine Sensibilisierung eigener Mitarbeiter ist unerlässlich, um Social-Engineering-Angriffe rechtzeitig zu erkennen.

- Phase 2 und 3: Der eigentliche Zugriff auf Systeme im Netzwerk kann durch leistungsfähige Virenscanner erkannt werden. Ein weiteres Alarmsignal sollte sein, wenn installierte Software oder ganze Systeme ohne ersichtlichen Grund, etwa einem Update, plötzlich nicht mehr wie gewohnt funktioniert. Hier sollten insbesondere Programme im Auge behalten werden, für die in letzter Zeit Sicherheitslücken bekannt wurden. Auch in dieser Phase sind verdächtige Einträge in Logprotokollen möglich. Netzwerkverkehr von ungewohnten IP-Adressbereichen und zu ungewohnten Zeiten können auch vom Intrusion-Detektion-System erfasst werden. Geänderte Zugangsdaten in Systemen sollten immer alle Alarmglocken schrillen lassen.

- Phase 4: Zwar ist zu diesem Zeitpunkt in der Regel schon ein Schaden eingetreten, dieser kann aber unter Umständen noch eingegrenzt werden. Wichtige Merkmale sind Warnmeldungen von Virenscannern, das Auffinden plötzlich unbrauchbarer (korrupter) Dateien, die möglicherweise verschlüsselt wurden, unerklärlich hohe Netzwerk- oder Systemlast und vermeintlich ferngesteuerte Aktivitäten auf einzelnen Rechnern. Auch Spam-Mails an Geschäftspartner sind natürlich eine mögliche Auswirkung. Bei Ransomware-Angriffen ist es üblich, Erpresserschreiben direkt auf den angegriffenen Systemen zu hinterlassen.

- Phase 5: Hierbei ist zu beachten, dass nach einem festgestellten Cyberangriff in den Phasen 1-4 möglicherweise noch eine Spurensuche durch IT-Forensiker erfolgen soll. Daher ist es auch relevant, ob es den Angreifern gelingt, Schadsoftware wieder zu entfernen und Logprotokolle zu löschen.

Die richtigen Reaktionen auf einen Hackerangriff

Wichtig ist es zunächst einmal, die Möglichkeit eines Hackerangriffs überhaupt einzukalkulieren und möglicherweise einschneidenden Folgemaßnahmen in Kauf zu nehmen. Das Verdrängen von Warnzeichen kann die bereits beschriebenen, schwerwiegenden Konsequenzen haben. Entsprechend müssen Mitarbeiter verdächtige Feststellungen umgehend an Verantwortliche melden. Bei einem begründeten Verdacht sollte sofort eine Netztrennung aller Rechner erfolgen, damit sich Schadsoftware nicht weiter ausbreitet. In den meisten Fällen ist es auch sinnvoll, zumindest die möglicherweise betroffenen Systeme herunterzufahren, da Malware nur im laufenden Betrieb weiteren Schaden anrichten kann. Danach muss zeitnah eine Untersuchung der angegriffenen Rechner erfolgen um Ausmaß und bereits eingetretene Schäden abwägen zu können. Erst nachdem das Einfallstor für die Schadsoftware bekannt ist, kann gefahrlos ein neues Netzwerk eingerichtet werden. Ansonsten bestünde die Gefahr, dieses sofort wieder zu infizieren.

Übung für den Ernstfall

Die für Unternehmen ohne Zweifel schwerwiegenden Folgen einer Nichtverfügbarkeit der IT-Infrastruktur können im Vorfeld abgemildert werden. Sind tagesaktuelle Backups vorhanden, die sicher separat verwahrt wurden, kann ein System häufig schnell wiederhergestellt werden. Ein Notfallplan für Hackerangriffe sorgt für ein planvolles und effektives Vorgehen. Die Sensibilisierung und Schulung eigener Mitarbeiter gehört ebenso zu den wichtigsten Präventivmaßnahmen. Wird der Hackerangriff in einem frühen Stadium erkannt, lässt er sich viel einfacher abwehren. Die Erprobung des Ernstfalls ist zudem mit einem Penetration-Testing möglich. Dabei simulieren Experten eines beauftragten Unternehmens einen Hackerangriff auf das Unternehmen und informieren im Anschluss über festgestellte Schwachstellen.