So schützen Sie sich wirksam vor Hacking-Angriffen

Hacking beschränkt sich längst nicht mehr nur auf Muskelspielchen zwischen Großmächten und gegen Großkonzerne. Auch kleine und mittelständische Unternehmen werden mehr und mehr zum Ziel von Hacking-Angriffen – auch ohne sich Feinde gemacht zu haben. In diesem Gastbeitrag von Burkart Kühn aus unserem comp/lex Netzwerk erfahren Sie, wie Sie Hacking-Angriffe frühzeitig erkennen und wie Sie sich wirkungsvoll schützen können.

Woran erkenne ich, ob meine IT schon gehackt wurde?

Spätestens wenn man keine Dateien vom Server mehr öffnen kann und in jedem Ordner unbekannte neue Text-Dateien liegen, sollte man sich ernsthaft Gedanken machen. Wenn dann auch noch die Lösegeldforderung ins Haus flattert, geht es nur noch um Schadensbegrenzung. Das Kind ist bereits in den Brunnen gefallen. Wenn man ruhig schlafen möchte, sollte man ein funktionierendes, aktuelles Backup haben, welches sich auch problemlos wieder zurückspielen lässt.

Das Hauptproblem

Sätze wie “Danke für das Angebot, aber sicherheitstechnisch sind wir ein unlukratives klassisches Unternehmen.“ bekommen wir ganz oft als Antwort auf Angebote zum Thema Erhöhung der IT-Security im Unternehmensnetzwerk. Wer diese Haltung teilt, kann hier aussteigen – oder sollte vielleicht gerade deshalb weiterlesen.

Externe Hackingangriffe sind selten wirklich zielgerichtet, hier verhält es sich eher wie ein Schrotgewehr. Irgendjemand wird schon getroffen und irgendwer wird schon das geforderte Lösegeld zahlen. Das ist wie mit Spam Mails. Wenn nur 2% aller Spam-Mailempfänger Genitalvergrößerungen kaufen, ist das ein lukratives Geschäft.

Ein Sinneswandel muss her

Es kann tatsächlich jeden treffen! Ob Privat- oder Firmenkunde, die Trojaner kommen per Email oder per Drive-By-Download. Ob der Gehackte ein lukratives Opfer war, stellt sich erst später raus. Dann ist es aber zu spät. Von daher muss ein Sinneswandel beim Thema IT-Security einsetzen. Schützen muss sich wirklich jeder. Das fängt beim Antivirus-Programm auf dem PC an, geht über achtsames Handeln im Umgang mit externen Dateien, dem Zurückhalten von Informationen (die für ein zielgerichteten Hackingangriff absolut brauchbar sind, z.B. CEO Fraud) und endet mit der Überwachung der gesamten IT-Infrastruktur (Stichwort Server Monitoring und Intrusion Detection). 

Viele Angriffe kommen tatsächlich von innen. Nicht nur der gemeine „ausländische“ Hacker hat es auf die Firma abgesehen, sondern auch der frustrierte Mitarbeiter, der in der Gehaltsrunde leer ausgegangen ist. Die Gefahr ist gar nicht zu unterschätzen. Ob der Mitarbeiter sensible Dateien nach außen schleusen kann, sollte also ebenfalls bedacht werden.

Lösungsansätze

Um sich vor Hacking-Angriffen zu schützen, sollten Sie ein paar Schutzmaßnahmen schon von sich aus einhalten:

• Seien Sie achtsam!
• Halten Sie alle Systeme auf dem neuesten Stand
• Nutzen Sie nur verschlüsselte Verbindungen.
• Setzen Sie Passwort Safe ein.
• Aktivieren Sie die 2-Faktoren-Authentifizierung.
• Arbeiten Sie am Rechner nicht mit Adminrechten.
• Führen Sie regelmäßig ein Backup durch – am besten mit der 3-2-1-Regel: 3 Kopien auf 2 Datenträgern, davon 1 außer Haus.
• Überprüfen Sie auch, ob sich das Backup wieder restoren lässt.

Die Liste ließe sich noch mit vielen weiteren Punkten fortsetzen. Das Hauptaugenmerk möchte ich jedoch auf das Thema Intrusion Detection legen. Niemand möchte Opfer einer Ransomware Attacke werden. Dabei werden alle Dateien auf dem Rechner und wenn möglich auch auf dem File Server verschlüsselt. Ein Zugriff ist nicht mehr möglich. Ggf. erhält man einen Entschlüsselungscode, wenn man das Lösegeld zahlt. Wirkliche Sicherheit, dass das klappt, hat man nicht. Dann bleiben die Daten verschlüsselt und das Geld ist auch noch weg.

Überwachung des Netzwerkverkehrs

Abhilfe kann ein Intrusion Detection System (IDS) leisten. Es scannt den gesamten Netzwerkverkehr der zur Firewall geht oder von der Firewall kommt. Der IDS Sensor prüft anhand von zigtausend Regeln, ob das Datenpaket verdächtig ist. Sollte dies der Fall sein, werden innerhalb kürzester Zeit Alarme versendet. Beispiele:

— [Haystacks Sensor autumn-smoke erzeugte folgendes Alert Event] ————————————

The Alert Event „ET HUNTING Suspicious Chmod Usage in URI (Inbound)“ was triggered at 2020-11-29T13:47:01.325Z 

— [Haystacks Sensor wild-shadow erzeugte folgendes Alert Event] ————————————

The Alert Event „ET CNC Feodo Tracker Reported CnC Server group 9“ was triggered at 2020-10-01T03:02:42.121Z 

— [Haystacks Sensor wild-shadow erzeugte folgendes Alert Event] ————————————
The Alert Event „ETPRO POLICY Possible ROKRAT SSL Certificate Observed“ was triggered at 2020-08-10T14:56:08.934Z

Wenn man jetzt schnell reagiert, könnte man z.B. den Verschlüsselungstrojaner noch daran hindern, den gesamten File Server unbrauchbar zu machen. 

Vorteile

Der Sensor bietet folgende Vorteile:

• Erkennung von aktiven Angriffen auf die IT;
• Alarmierung innerhalb kürzester Zeit;
• die Möglichkeit, Gegenmaßnahmen asap in die Wege zu leiten;
• Erkennung, wenn Passwörter unverschlüsselt über das Netzwerk geschickt werden;
• Erkennung von Phishing Attacken;
• ein Gefühl zu bekommen, was im Netzwerk überhaupt los ist (Alarm Dashboard);
• Erkennung, welche IT-Systeme Ziel eines Angriffs sind;
• Erkennung, welches System infiziert wurde. Nur dann kann man auch den Angriff unterbinden, analysieren und dauerhaft ins Leere laufen lasse.

Ein Sensor, der seit Anfang des Jahres bei einem großen Unternehmen im Einsatz ist, zeigt im Dashboard diese Werte. Es sind über 360.000 Alarme (davon 66x unverschlüsselte Passwörter übertragen, 18 Phishing Attacken) eingegangen. Die meisten sind nicht relevant und es sind auch False Positives dabei (Alarme, die keine sind). 

Aber: Wenn ein wirklich aktiver, gefährlicher Angriff im Gange ist, bekommen wir das innerhalb weniger Minuten mit und können den Kunden informieren und den Angriff verhindern bzw. die Auswirkungen minimieren.

Wer Interesse an einem derartigen „Hacking Frühwarnsystem“ hat, kann gerne Kontakt mit uns aufnehmen. Wir stehen auch für alle Fragen zum Thema IT-Security Rede und Antwort:

Burkart Kühn
Haystacks GmbH
Email: info@haystacks.it
Web: https://www.haystacks.it
Telefon: +49 40 – 466 665 210