Bevor sich die Frage stellt, welche Schritte man nach einem erfolgreichen Hackerangriff einleiten soll, muss man einen solchen erst einmal bemerken. Dies gestaltet sich in den meisten Fällen gar nicht so einfach. Laut dem M-Trends 2018 Report der Sicherheitsfirma FireEye wird ein erfolgreicher Angriff in Europa erst nach durchschnittlich 175 Tagen entdeckt.

Für Privatpersonen wie auch Unternehmen gehört ein aktuelles Anti-Schadsoftware-Programm zur Grundsicherung. Hiermit lässt sich der Ausbruch und die Infektion mit bekannter Schadsoftware in der Regel erfolgreich erkennen und verhindern. Da sich die Autoren von Schadsoftware immer neue Tricks einfallen lassen, um der Erkennung durch solche Programme zu entgehen, ist es vor allem für Unternehmen wichtig noch weitere Schutzmaßnahmen einzusetzen. Für Unternehmen empfiehlt sich zum Beispiel der Einsatz von Netzwerk- und Host-Monitoring-Systemen, um ggf. Anomalien auf Computern und im Netzwerk zu erkennen.

Ein gehacktes Online-Konto zu erkennen, ist ebenfalls schwer, solange ein Angreifer keine Aktionen durchführt und ggf. nur mitliest. Hier bleibt einem oft nichts anderes übrig, als – falls möglich – Anmeldungsbenachrichtigungen zu aktivieren. Hierbei wird im Falle einer Anmeldung von einem unbekannten Gerät eine Benachrichtigung an die hinterlegte E-Mail-Adresse gesendet. Weiterhin hilft neben einem sicheren Passwort die Aktivierung von Zwei-Faktor-Autentifizierung.

Welche Schritte sollte man nach einem Hackerangriff durchführen?

Da man einen Hackerangriff nicht zu 100% verhindern kann und es gerade bei Unternehmen nicht die Frage ist, ob, sondern wann ein Hackerangriff erfolgreich ist, sollte man auch immer einen Notfallplan haben.

Als erstes empfiehlt es sich, die Netzwerkverbindung zu trennen, damit wird eine ggf. stattfindende Kommunikation und ein Abfluss von sensiblen Daten initial verhindert oder zumindest gestoppt. Im Fall von Ransomware ist es oft auch sinnvoll, den Computer unmittelbar vom Strom zu trennen, damit eine weitere Verschlüsselung der Daten unterbunden wird. Weiterhin ist es empfehlenswert, die Passwörter der auf diesem Gerät verwendeten Accounts zu ändern. Dadurch kann verhindert werden, dass eventuell von der Schadsoftware mitgeschnittene Passwörter missbraucht werden können. Befanden sich auf dem kompromittierten Gerät sensible oder wichtige Daten oder ist im Unternehmenskontext der Infektionsweg unklar, kann im Anschluss eine forensische Untersuchung hilfreich sein, um die offenen Fragen zu klären und ggf. Daten wiederherzustellen. Um aussagekräftige Untersuchungsergebnisse zu bekommen, sollten so wenig Veränderungen wie möglich an dem zu untersuchenden System durchgeführt werden. In jedem Fall sollte das betroffene System vor der Wiederinbetriebnahme neu aufgesetzt werden.

Galt der erfolgreiche Angriff einem Online-Konto, sollten zunächst neue, sichere Zugangsdaten vergeben werden. Anschließend sollte überprüft werden, ob irgendwelche Aktionen (verschickte Nachrichten, Transaktionen, etc.) durch den Angreifer durchgeführt wurden. Danach können ggf. Gegenmaßnahmen eingeleitet werden. Gerade im Falle von kompromittierten E-Mail-Konten ist es wichtig zu überprüfen, ob der Angreifer eventuell Zugangsdaten für andere Konten zurückgesetzt hat. Im Zweifel sollten alle Konten, die mit dieser E-Mail-Adresse angelegt wurden, überprüft werden.

| | | , ,