Was Sie tun sollten, wenn Sie gehackt wurden

Wissen die Mitarbeiter im Büro eigentlich, was sie tun müssen, wenn sie gehackt wurden? Sollte das nicht der Fall sein, laden Sie sich unser kurzes Comic zum Thema herunter, das illustriert, was zu tun ist, wenn man gehackt wurde.

Verfasser: F-Secure Business Security Insider
Datum: 7. Juni 2016
Lesedauer: 5 Minuten

Mitarbeiter, auch diejenigen, die gut informiert und sich den Gefahren für Computersicherheit bewusst sind, sind oftmals unvorbereitet, wenn ein Vorfall dann stattfindet. Es kann sogar schwer erkennbar sein, ob man wirklich angegriffen wurde, oder es sich nur um ein IT-Problem handelt. Laut Janne Kauhanen, einem Experten der F-Secure Cyber Security Services, ist es normal, dass es zu Panikreaktionen und Stress kommt, wenn jemand die Befürchtung hat, dass er gehackt wurde. Durch die falsche Reaktion auf die Situation können die Probleme zudem verschlimmert werden.

Bevor also jemand in Panik gerät, seinen Computer aus dem Fenster wirft o.ä., sollten Sie den folgenden Plan befolgen. Die Schritte ruhig und bedacht durchzugehen, grenzt den Schaden ein und hilft dabei, analytisch herauszufinden, was genau passiert ist. Das spart Zeit und Geld für das Unternehmen und verhindert unnötige Kopfschmerzen.

  1. KEINE PANIK: Das mag normal klingen, aber Janne kommentiert, dass Panik die erste Reaktion ist, die betroffene Personen haben. „Ich kann nicht genug unterstreichen, wie schlimm ein Sicherheitsvorfall für ein Unternehmen sein kann“, so Janne. „Gleichzeitig sollten Mitarbeiter sich nicht selbst die Schuld geben oder überreagieren und Dinge wie persönliche Daten oder den Browserverlauf löschen, um diese vor dem Arbeitgeber zu verstecken (Jeder nutzt den Arbeitsrechner für persönliche Dinge, es lohnt sich nicht, das zu verstecken). Wer ruhig bleibt und sich darauf konzentriert, die richtigen Dinge zu tun und so die Situation zu bereinigen, reagiert richtig.“
  1. NIEMALS den Rechner oder das Gerät ausschalten: Ein genereller Fehler von Betroffenen ist es, dass sie in Panik das betroffene Gerät ausschalten. Das kommt daher, dass sie denken, ein infiziertes Gerät könne ja keinen Schaden ohne Strom ausrichten. Leider ist das etwas, was den Angreifern in die Karten spielt.

Grundsätzlich löscht das Ausschalten alle Informationen, die im Hauptspeicher vorhanden sind und diese Informationen können sehr wertvoll für Experten sein. „Das Ausschalten des Computers ist wie das Zerstören von Beweismitteln; Beweismittel, die dafür genutzt werden können herauszufinden, wer die Angreifer sind und was sie genau gemacht haben“, erläutert Janne. „Also ist es eigentlich so, dass man durch das Ausschalten den Angreifern hilft, indem man die Ermittlungsarbeit noch weiter erschwert.“

Im Endeffekt hilft man so den Angreifern zu verschwinden und Arbeitgeber und Ermittler müssen noch mehr Zeit und Geld investieren, um Ermittlungen nach dem Vorfall anzustellen. Also sollte man niemals den Strom des betroffenen Geräts ausschalten. Man sollte im Gegenteil sogar Netzteile bei mobilen Geräten nutzen, um dafür zu sorgen, dass die Batterieladung reicht, damit die Ermittler eine Chance haben, sich das Gerät anzuschauen.

  1. AUSSCHALTEN aller Netzwerkverbindungen des Geräts: „Physisch alle Verbindungen kappen, wenn möglich“, unterstreicht Janne. Während das Ausschalten des Geräts dem Angreifer nutzt, ist die Verbindung zu Netzwerken etwas, was unbedingt unterbunden werden muss. „Ihr Gerät mag es erwischt haben, aber es ist wichtig, dafür zu sorgen, dass die Angreifer sich nicht weiter durch das Netzwerk bewegen können. Durch das Ausschalten der Netzwerkverbindungen unterbinden Sie, dass die Angreifer das Gerät nutzen können, um das gesamte Netzwerk zu infiltrieren.“Hier ein paar Verbindungstypen, die viele Personen bei der Arbeit nutzen:
  • WiFi
  • Bluetooth
  • NFC
  • Mobile Daten (am besten SIM-Karte aus dem Gerät entfernen)

Natürlich dürfen keinerlei Wechselmedien mehr genutzt werden (inklusive Smartphones und Tablets), die in irgendeiner Form Kontakt zum betroffenen Gerät hatten (physikalisch oder per WLAN).

  1. Den Computer nicht mehr berühren: Wenn Sie die ersten drei Schritte befolgt haben, haben Sie bereits einiges erreicht. Sie haben die Angreifer vom Netzwerk abgeschnitten, ohne dabei Beweise zu vernichten, die die Ermittler (so wie der CISO Ihres Unternehmens oder ein professioneller Cyberermittler) nutzen können, um die Attacke zurückzuverfolgen und so herauszufinden, wie und wann der Angriff stattgefunden hat, was der Angreifer getan hat und so mit etwas Glück herausfinden kann, wer der Angreifer ist. Sammeln Sie sich kurz, holen Sie tief Luft und klopfen Sie sich selbst auf die Schulter für Ihr bisheriges Vorgehen im Anbetracht des Vorfalls.
  1. Schreiben Sie auf, was genau passiert ist: Jetzt, nachdem Sie sich und Ihre Gedanken geordnet haben, ist es Zeit, einen möglichst detaillierten Report des Vorfalls zu verfassen. Sie sollten dafür besser nicht den Computer nutzen, Stift und Papier reichen vollkommen. Versuchen Sie, jedes Details aufzunehmen, an das Sie sich erinnern können. Schreiben Sie auf, wann Sie herausgefunden haben, dass es ein Problem gab und was Ihnen das Gefühl gab, dass es ein Problem gab. Was haben Sie getan, als Sie den Vorfall bemerkten, was haben Sie seitdem getan? Gab es merkwürdige E-Mails oder andere Vorkommnisse in letzter Zeit, haben Sie Wechselmedien genutzt oder andere Peripheriegeräte an dem Gerät etc.?

„Daten und Zeiten zu den jeweiligen Vorkommnissen sind besonders wichtig“, so Janne. „Geräte enthalten viele mögliche Beweise, aber das Wissen um Geschehnisse und um den Zeitraum sind sehr wertvoll, weil sie dabei helfen, das Ausmaß genauer zu erkennen und so die Arbeit zu beschleunigen.“

  1. Holen Sie Hilfe: „Jetzt ist der Zeitpunkt gekommen, zu dem man sich Hilfe holt“, so Janne. Wer genau kontaktiert werden muss, ist von Unternehmen zu Unternehmen unterschiedlich, ja sogar manchmal unterschiedlich je nach Mitarbeiter. Aber der wichtigste Punkt ist, dass mehr Personen involviert werden, die das Problem bereinigen können – egal, ob das der CISO oder ein externer Consultant ist.

Wir haben einen illustrierten Ablaufplan vorbereitet, der durch die einzelnen Schritte führt. Es wurde genügend Platz freigelassen, um die wichtigsten Kontaktdaten der Ansprechpartner für Sie einzutragen.

hacked poster thumbnail


Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s