Hilfe, ich wurde gehacked!
Der Ernstfall ist eingetreten, was ist jetzt zu tun? Hier sind unsere Handlungsempfehlungen und Ansprechpartner für den Notfall.
Bewahren Sie Ruhe und befolgen Sie unsere Tipps!
1. Nur keine Panik
Sollten Sie den begründeten Verdacht haben, dass unberechtigte Dritte einen PC oder Server in Ihrer Organisation übernommen haben, ist ein ruhiges und überlegtes Vorgehen für den Erfolg der Aufklärung sehr wichtig. Überstürzen Sie nichts, teilen Sie Ihren Verdacht nur wenigen Personen mit und halten Sie somit den Kreis der Mitwisser klein. Ziehen Sie so schnell wie möglich professionelle Hilfe hinzu, denn jede Minute zählt, wenn es um die Eindämmung des Schadens geht. Schon der Verdacht auf einen Einbruch, selbst wenn er sich nicht bestätigen sollte, benötigt zur Aufklärung des Sachverhaltes Kenntnisse aus dem Bereich der IT-Forensik.
2. Lassen Sie die Hardware eingeschaltet
Das Ausschalten einzelner Systeme – vor allem, wenn Sie üblicherweise eingeschaltet sind – alarmiert die Angreifer nur unnötig und führt außerdem zur Vernichtung von Beweismitteln. Versuchen Sie nach Möglichkeit, das betroffene Computersystem nicht zu nutzen und Normalität vorzutäuschen. Es gibt nur wenige Fälle, wie z.B. eine laufende Verschlüsselung durch Ransomware, bei der das sofortige Ausschalten der Hardware die beste Lösung darstellt.
3. Lassen Sie das Netzwerk aktiv – oder auch nicht…
Das Ziehen von Netzwerksteckern hilft auch nicht weiter, denn auch diese Maßnahme kann dazu führen, dass die Angreifer sehr schnell mit dem „Aufräumen“ auf einem anderen Computersystem beginnen. Wenn Sie sich allerdings sehr sicher sind, dass der Einbruch in Ihre IT gerade erst stattgefunden hat und die Angreifer nun zum ersten Mal Daten manipulieren, ist die sofortige Unterbrechung der Netzwerkverbindung am kompromittierten Gerät angebracht. Wir raten in letzter Zeit bei Cryptotrojanern dazu die betroffenen Systeme vom Netzwerk zu trennen, um eine Verbreitung im Netzwerk zu verhindern (s.a. Wannacry oder Petya). Die Entscheidung, ob die Netzwerkverbindung und/ oder die Hardware abgeschaltet werden sollte, muss für jeden Einzelfall erneut getroffen werden. Die effektivste Variante eine Netzwerkverbindung zu deaktivieren, ist das Steckerziehen bzw. die WLAN Verbindung zu deaktivieren.
4. Dokumentieren und Fotografieren
Notieren Sie auffälliges Verhalten von Betriebssystemen, eventuelle Meldungen auf dem Bildschirm und andere Hinweise sekundengenau auf Papier. Nutzen Sie am besten die Uhr Ihres Smartphones für eine verlässliche Uhrzeit – die Zeiten des Computers könnten manipuliert sein. Bitte machen Sie keine Screenshots auf dem Computersystem, auf dem Sie die Angreifer vermuten, weil Sie damit die Zwischenablage und auch Bereiche der Festplatte überschreiben würden. Fotografieren Sie das Bild des Monitors mit einer externen Kamera ab, auch hier kann das Foto einer Handykamera sehr hilfreich sein.
5. Sicherung der Datensicherung und aller Protokolle
Stellen Sie sicher, dass Sie eine funktionsfähige Datensicherung haben und schützen Sie diese unbedingt! Verhindern Sie das planmäßige Überschreiben älterer Datensicherungen und prüfen Sie, ob Sie für die Zeit der Krise von inkrementeller oder differentieller Datensicherung auf „Full Backup“ umstellen und ausnahmslos alle Daten sichern können. Ebenfalls sollten Sie ab sofort alle Protokollierungsmöglichkeiten von Betriebssystemen, Anwendungen und Netzwerkhardware einschalten und vorhandene Protokolle (vor allem Windows Security Eventlogs) vor dem gewollten Überschreiben bewahren. Haben Sie ein SIEM im Einsatz, schützen Sie die darin gesammelten Daten vor Manipulation und Sabotage. Protokolle und Logdateien sind sehr wertvolle Hilfsmittel, um Cyberangriffe und illegale Zugriffe aufzuklären. Das wissen auch die Angreifer und versuchen gern, genau diese Beweise zu vernichten. Informieren Sie unbedingt den Datenschutzbeauftragten Ihrer Organisation über das massenhafte Protokollieren von Daten. Für unsere Kunden halten wir eine praxisgerechte Checkliste bereit, damit keine Protokollierung vergessen wird.
6. Kommunikation über sichere Kanäle
Gehen Sie davon aus, dass Angreifer auch Ihre Mailserver unter ihre Kontrolle gebracht haben könnten und nun alle E-Mails des Unternehmens mitlesen. Nutzen Sie am besten (private) Handys oder treffen Sie Ihre Ansprechpartner persönlich. Auf einem fremdgesteuertem PC kommen Sie auch mit verschlüsselten E-Mails (egal ob S/MIME oder PGP) nicht weiter, da Trojaner Tastatureingaben aufzeichnen („Keylogger“) oder automatisch Screenshots der Nachricht im Klartext machen könnten.
7. Kommunikation innerhalb des Unternehmens
Ein erfolgreicher Cyberangriff, bei dem Sie die Autorität über Ihre eigenen Client- und Serverbetriebssysteme verlieren, ist eine ernsthafte datenschutzrechtliche und wirtschaftliche Bedrohung des Unternehmens. Vor der vollständigen Aufklärung des Vorfalls sollte der Kreis der Mitwisser so klein wie möglich gehalten werden. Es muss sich nicht immer um einen externen Zugriff handeln, die Mehrzahl der Datendiebstähle wird von eigenen Mitarbeitern (also Insidern) verübt! Ziehen Sie in Betracht, die folgenden Akteure und Verantwortlichen gleich zu Anfang oder im späteren Verlauf über den Vorfall zu informieren:
- Verantwortlicher Abteilungsleiter der IT oder Chief Information Officer („CIO“) des Unternehmens
- Bestellter Datenschutzbeauftragter der Organisation
- Unternehmensführung in Form des Geschäftsführers oder Vorstandes
- Vorsitzender des Aufsichtsrates
- Rechtsabteilung oder externe Rechtsanwaltskanzlei
- Betriebsrat, Personalrat oder entsprechende Mitarbeitervertretung
- Pressesprecher oder externe PR Agentur
Diese Liste ist nur ein Anhalt, abhängig von der Struktur des Unternehmens und sicherlich nicht vollständig. Der Verlust oder Diebstahl von Daten kann auch börsenrechtlich eine Pflichtmitteilung bedeuten, sofern das betroffene Unternehmen gelistet ist. Vergessen Sie nicht, den Betriebsrat und den Datenschutzbeauftragten zu involvieren! Die Sicherung und Auswertung von Daten auf Computern angestellter Mitarbeiter könnte sonst verzögert oder verhindert werden.
8. Die Spezialisten von der Polizei
Die Unternehmensleitung sollte spätestens jetzt entscheiden, ob Strafverfolgungsbehörden eingeschaltet werden sollen.
- Bundeskriminalamt: +49 611 55-15037 E-Mail: zac@cyber.bka.de
- Baden-Württemberg: +49 711 5401-2444 E-Mail: cybercrime(at)polizei.bwl.de
- Europol EC3: +31 70 302 5000
- https://www.polizei.de/Polizei/DE/Einrichtungen/ZAC/zac_node.html
9. Cyber Security von Anfang an. Thinking Objects GmbH
In Einzelfällen möchten gewerbliche Kunden zusätzlich – oder auch ausschließlich – durch uns eine individuelle Unterstützung, zum Teil auch ohne Anzeigenerstattung bei der Polizei.
Und: sind Sie sicher über die Konsequenz einer Anzeigenerstattung?
Solchen gewerblichen Kunden leisten wir im Falle eines „I’ve been hacked“ – Falles gerne Hilfe und bitten um Verständnis dies bei Privatanwendern grundsätzlich nicht tun zu können.
Unsere Hilfestellung geht mit einigen Formalitäten und einer Beauftragung einher. Der aktuelle Stundensatz einer „I‘ve been hacked“-Consultinginstanz beläuft sich auf € 250.- zzgl. unserer Reise- und Kostensätze zzgl. der gesetzlichen Umsatzsteuer lt. unseren AGB Stand 27.Oktober 2017.
Sie haben Wünsche, Fragen oder Anregungen?
Sprechen Sie uns an. Wir sind für Sie da. ISO 27001 zertifiziert.
Thinking Objects GmbH
Lilienthalstraße 2/1 – 70825 Korntal-Münchingen
Tel.: +49 711 88770-556
E-Mail: hacked(at)to.com