IT Sicherheit FAQ

Um die Netzwerksicherheit deines Unternehmens bestmöglich vor Cyber Kriminellen zu
schützen, benötigst du ein Konzept, in das Clients, Server, Cloud-Anbindungen, Backups und
die Netzwerkinfrastruktur einbezogen werden müssen.
Auf unserem Linkedin-Kanal bekommst du regelmäßig Tipps & Best Practices für deine IT
Sicherheit. Vernetze dich dort gerne mit uns – hier geht’s zu den Accounts von BreakinLabs
und unseres Geschäftsführers Thomas Moosmüller.
Für eine spezifische Beratung kannst du uns gerne auch direkt über unser Kontaktformular
anschreiben.

Eine erste und günstige Möglichkeit sind sog. Schwachstellen-Scanner. Sie zeigen dir in
wenigen Minuten kritische IT Schwachstellen an, die z.B. durch die alte Firmware deines
Routers oder Servers auftreten können.

Häufig werden diese Schwachstellen-Scanner auch als „Pentest“ angeboten, obwohl sie die
Ansprüche eines echten Penetrationstests nicht erfüllen. Denn ein solcher Scan verschafft,
im Gegensatz zur tiefgehenden IT Schwachstellenanalyse eines Pentests, lediglich einen
ersten, oberflächlichen Überblick zur allgemeinen IT Sicherheit deines Unternehmens.
Einen solchen „falschen“ Pentest erkennst du vor allem am Preis von unter 2.000,- EUR und
daran, dass dir die Art des Tests meist nicht erklärt wird – oder dass das Wort „automatisch“
fällt.

Unser Tipp: Von solchen „Pentests“ solltest du besser die Finger lassen. Im schlimmsten Fall
hast du viel Geld für ein sicheres Gefühl ausgegeben, dass nicht der tatsächlichen Lage
deiner Netzwerksicherheit entspricht. In unserem Pentest-FAQ findest du noch mehr
Informationen zu den Inhalten, die ein echter Penetrationstest umfasst.

Bei einer Schwachstelle handelt es sich um einen Programm- oder Konfigurationsfehler, der
bei einem Hackerangriff ausgenutzt werden kann, um in Netzwerke einzudringen und dort
Schaden anzurichten.

Eine Studie hat ergeben, dass pro 11.500 Zeilen Programm-Code mindestens eine kritische
Sicherheitslücke enthalten ist. Wenn wir uns vor Augen halten, dass aktuelle Software meist
aus mehreren Millionen Zeilen Programm-Code besteht, bekommen wir schnell ein Gefühl
dafür, wie viele IT Schwachstellen dabei auftreten können.

Zur Veranschaulichung:
Der Browser Firefox besteht aus ca. 22,3 Mio. Zeilen Code – also potenziell auch über 1939
Sicherheitslücken. Jede einzelne von ihnen könnte von einem Hacker ausgenutzt werden.
Firefox hat aber natürlich durch intensives Pentesting dafür gesorgt, dass diese IT
Schwachstellen rechtzeitig entdeckt und behoben werden.

Virenscanner kennen wir alle – wir installieren sie, damit sie unsere Systemdateien vor Viren
wie z.B. Trojanern schützen. In der Basis-Funktion suchen Virenscanner nach bestimmten
Mustern im Programm-Code der Dateien. Das Problem: Hacker arbeiten nahezu
ununterbrochen daran, neue Angriffsmöglichkeiten und Hacking Methoden zu entwickeln.

Diese Angriffsmethoden müssen dem Hersteller des jeweiligen Virenscanners allerdings
erst mal gemeldet werden, damit sie via Update in das Scan-Programm aufgenommen
werden können. Es kann Tage oder auch Monate dauern, bis das umgesetzt ist – während in
der Zwischenzeit wieder völlig neue Hacking Methoden entwickelt wurden.

Das heißt: Wenn du schon zu den ersten Opfern einer neuen Hacking Methode gehörst, hilft
dir auch der umfangreichste Virenscanner nicht mehr.

Eine Firewall schützt Netzwerke, indem sie offene Ports nach außen beschränkt und im
Idealfall parallel eine Netzwerküberwachung durchführt. Bei anomalen Netzwerkaktivitäten
wird hier zwischen der Netzwerküberwachung (IDS) und dem Einschreiten der Firewall (IPS)
unterschieden.

Die Firewall kann ein essenzieller Punkt innerhalb der IT Sicherheit eines Unternehmens sein – sie muss dafür allerdings von einem Experten entwickelt und eingerichtet werden, der sich mit Cyber Security und Hacker Angriffen auskennt. Dabei muss das ganze Netzwerk
berücksichtigt und alle Funktionen korrekt genutzt werden. Personen, die sich eher
hobbymäßig mit IT Sicherheit und Hacking beschäftigen, bringen dafür in der Regel nicht das nötige Expertenwissen mit.

Wenn man von Hacker Angriffen liest, erscheint das Thema für viele in weiter Ferne. Dabei
kann man schnell den Eindruck bekommen, dass nur große Finanz- und Tech-Firmen
betroffen sind – eben die, bei denen vermeintlich viel zu holen ist.

Die Realität sieht anders aus: Tatsächlich versucht nahezu jede Minute jemand, in den
Admin-Bereich einer Website einzudringen, oder wirft wahllos Angriffe gegen deinen Firewall. Und nicht nur das – auch du und deine Mitarbeiter werden
direkt über Spam- und Phishing Mails attackiert, die über einen bösartigen Link dein
Passwort stehlen möchten. Ebenso beliebt sind Mail-Anhänge mit Dateien, die dein System
beim Öffnen der Datei schädigen.

Aber keine Sorge: Auch auf niedriger Ebene kannst du viel dafür tun, diese Risiken
einzudämmen! An erster Stelle steht dabei, das Bewusstsein deiner Mitarbeiter zu erhöhen
und ihnen die richtigen Verhaltensweisen zu zeigen:

• Mail-Anhänge nicht unüberlegt öffnen – vorrangig dann nicht, wenn der Absender
  unbekannt ist oder unseriös erscheint.
• Nicht jeden Link anklicken
• Geräte unbekannter Herkunft nicht anstecken (z.B. USB-Sticks)
• PCs und Programme regelmäßig updaten
• Lange und komplexe Passwörter verwenden – am besten kombiniert mit einer 2-Faktor-Authentifizierung

Die Tipps kommen zu spät – du bist schon Opfer eines Hackerangriffs geworden?
Dann schau gerne ins nächste Kapitel!

Wie Informatiker und Rechtsanwälte gerne sagen: „Es kommt darauf an!“ – nämlich auf das
Ausmaß des bereits verursachten Schadens. Häufig bemerkt man einen Hacker Angriff erst,
wenn bereits alle Systeme verschlüsselt oder die Daten abhanden gekommen sind.

Wenn du oder deine IT-Abteilung bemerkt habt, dass dein Unternehmen gehackt wurde, ist
zunächst vor allem eines wichtig: Bewahre einen kühlen Kopf!

Überstürzte Aktionen, wie z.B. das Einspielen des letzten, noch intakten Backups, kann dazu
führen, dass du auch noch die letzte verbleibende Sicherung zerstörst. Denn häufig ist
währenddessen auch die Ransomware noch in deinem Netzwerk aktiv – und kann direkt
auch auf das Backup überspringen!

Wir empfehlen dir daher, einen Notfallplan für Hacker Angriffe zu entwickeln – dabei können wir dich gerne unterstützen. Den Notfallplan regelmäßig mit deinen Mitarbeitern durchzuspielen und deine Backups auf Funktionalität zu testen. Denn häufig scheitert es
genau an diesen Stellen.

Es ist ebenso wichtig, dass du deine Backups regelmäßig auf schädliche Dateien und
Ransomware überprüfst. Trojaner können sich z.B. schon seit einiger Zeit in deinem System
befinden, ohne bisher aktiv geworden zu sein.

Bei der Erstellung deines Notfallplans solltest du deine Informatiker und dein Systemhaus
einbeziehen. Im Idealfall überprüft auch dein Pentester den Plan, um wichtige
Abhängigkeiten und Angriffspfade zu ermitteln – und dich passend zu beraten.

Um zu verhindern, dass weiterhin Daten deines Unternehmens gestohlen werden, solltest
du als erstes deine Internetverbindung kappen. Eine fehlende Internetverbindung verhindert
außerdem, dass weitere Module der Ransomware auf dein System geladen werden können.

Falls du mehrere separierte Subnets verwendest, solltest du diese ebenfalls kappen.

Logge dich auf keinen Fall in privilegierte Accounts wie deiner Systemadministratoren ein!
Der Login kann Spuren auf deinem System hinterlassen, die der Hacker verwenden kann, um den Account mit all seinen Berechtigungen zu übernehmen.

Nach dem Angriff musst du eine schwere Entscheidung treffen:

• Möchtest du deinen Betrieb möglichst schnell wieder aufnehmen und weitere Kosten
  durch den Systemausfall vermeiden?
• Oder möchtest du die Verfolgung der Hacker aufnehmen?

Beides gleichzeitig ist leider nicht möglich! Die Ursache dafür liegt in der Forensik, also der
Spurensicherung. Denn bei der forensischen Untersuchung dürfen keine Daten verfälscht
oder kopiert werden. Die Untersuchung deiner Daten muss daher direkt auf den
angegriffenen Systemen erfolgen – und kann mehrere Wochen dauern. Während dieser Zeit
kannst du ebenfalls kein Backup auf deinen Systemen wiederherstellen. Das heißt konkret:
Dein System fällt für diese Zeit aus und dein Betrieb geht voraussichtlich in den Leerlauf.

Ob du das enorme finanzielle Risiko, das mit einem solchen Stillstand einhergeht, eingehen
kannst oder willst, solltest du dir am besten vorab überlegen. So kannst du im Fall der Fälle
schneller entscheiden und handeln.

Übrigens: Das BKA gibt die Aufklärungsquote von Hacker Angriffen aktuell mit 29,3 % an.
Wenn die Hacker im Ausland sitzen, kann es selbst bei einer erfolgreichen Aufklärung dazu
kommen, dass du mit dem entstandenem Schaden allein dastehst, und die Hacker einem Urteil entgehen.

Wie bereits erwähnt musst du darauf achten, das Backup deines Systems auf keinen Fall
einzusetzen, solange dein Netzwerk noch nicht vom Angriff bereinigt wurde. Im Idealfall wird
die alte Infrastruktur als Erstes vom Netzwerk getrennt. Anschließend werden einzelne
Server neu aufgesetzt und Daten zurückgespielt. So kannst du sicherstellen, dass keine
bösartigen Elemente, die vielleicht schon Wochen vor dem eigentlichen Hacker Angriff auf
dein System gespielt wurden, auf deine neue Infrastruktur übergehen.