Was tun, wenn das Unternehmen gehackt wurde? Jörg von der Heydt, Regional Director DACH bei Bitdefender, gibt im Folgenden einen Überblick über die Bedrohungslandschaft und über erste Maßnahmen nach einem erfolgreichen Angriff.
Kleine Betriebe mit bis zu 25 Mitarbeitern, die im Schnitt rund 50 Geräte schützen müssen, bieten bereits eine beachtliche Angriffsfläche. Wie andere Unternehmen haben sie nichts weniger als ihre geschäftliche Existenz und ihr Unternehmenswissen zu verlieren. Wer die gängigen Angriffsmechanismen kennt und sich die ersten Maßnahmen für den Tag X im Vorfeld zurechtlegt, kann vieles verhindern und im Ernstfall schneller sowie richtig handeln. Im Folgenden finden sich grundlegende Tipps zum Vorgehen bei den wichtigsten Angriffsarten.
Phishing-Angriffe
Phishing ist unabhängig von der Anzahl der Mitarbeiter eine der häufigsten Angriffsformen – vor allem in kleinen Unternehmen mit oft nicht geschultem und wenig technikaffinem Personal. Hacker versenden, beispielsweise im Namen eines Vorgesetzten, gefährliche Mails mit hoher Dringlichkeit, Handlungsaufforderungen und kompromittierten Links oder Daten. Mitarbeiter erhalten gefälschte Rechnungen oder Tech-Support-Anfragen, die Cyberkriminelle versendet haben. Massenmails finden in der Regel eine sich lohnende Anzahl an Opfern. Dabei können in den allermeisten Fällen die Mitarbeiter solche Angriffe selbst blocken. Künstliche Intelligenz hilft den Angreifern jedoch, immer bessere Fälschungen anzufertigen. Auch geübte Adressaten können so hinters Licht geführt werden. Was ist dann zu tun:
Eine Überprüfung der E-Mail-Versandprotokolle identifiziert weitere Opfer. Ein externer Admin kann hierbei behilflich sein.
Unternehmen sollten alle kompromittierten Anmeldedaten sofort ändern. Die Verantwortlichen müssen sicherstellen, dass jeder einzelne über neue und eindeutige Zugangsdaten verfügt.
Kommunikation ist wichtig. Vorgesetzte sollten die Mitarbeiter über den Vorfall informieren, um weiteren Schaden zu vermeiden. Ganz wichtig ist der Austausch über den konkreten Vorfall. Denn auch hier gilt: Aus Fehlern kann man nur lernen.
Ransomware
Ransomware-Angriffe, die in der Regel mit Phishing starten, verschlüsseln nicht nur Daten oder blockieren Prozesse, bis das Opfer ein Lösegeld zahlt. Oft verkaufen die Angreifer auch sensible Informationen oder drohen mit deren Veröffentlichung. Folgende Maßnahmen sollten in Betracht gezogen werden:
Infizierte Systeme sind möglichst zu isolieren, damit die Ransomware nicht ihren weiteren Weg im Netz findet. Beispielsweise nimmt man ein betroffenes Notebook zunächst vom Netz.
Externen Rat suchen: Polizei und Cybersicherheitsexperten sollten frühzeitig hinzugezogen werden. Letztere helfen festzustellen, welche Daten betroffen sind, und empfehlen weitere Vorgehensmaßnahmen.
Kein Lösegeld zahlen: Es gibt keine Garantie dafür, dass die Angreifer die Schlüssel zum Entschlüsseln wirklich übergeben, dass diese funktionieren oder nicht noch weiteren Schaden anrichten. Der Zugriff ins Netz bleibt auch nach der Schlüsselübergabe für die Dateien bestehen und die nächste Attacke ist vorprogrammiert. Das Lösegeld lässt sich oft einsparen, wenn Tools zur Entschlüsselung vorhanden sind. Ein Verzeichnis solcher Dekryptoren findet sich etwa unter nomoreransom.org. Diese Werkzeuge helfen in vielen Fällen, denn nicht jede Ransomware-Gruppe verwendet neueste Malware.
Daten sollten in Backups gesichert sein. Ein Backup ist zudem nur dann funktionsfähig, wenn ein Administrator es testet und verwaltet. Auch der Ablauf der Datenwiederherstellung sollte real durchgespielt werden.
Eine Cyberversicherung kann vor finanziellem Verlust bewahren.
Denial-of-Service (DoS) oder Distributed Denial-of-Service (DDoS) Angriffe
Bei Dos- oder DDoS-Attacken überlasten Angreifer ein System oder Netzwerk mit übermäßigem Datenverkehr und machen es für die Außenwelt unerreichbar. So können etwa Kunden keine Bestellungen aufgeben, Rechnungen erhalten oder mit dem Unternehmen kommunizieren.
