Nach Hackerangriffen effektiv vorgehen

Sicherheitsupdates, eine stabile Firewall und ein stets aktuelles Antivirenprogramm – weltweit Standard auf den meisten Computern. Aber auch damit gibt es keinen absoluten Schutz vor den Gefahren des Internets. Vor allem Ransomware wird zu einem immer größeren Problem, Schäden in Milliardenhöhe sind keine Seltenheit mehr. Und auch DDoS-Angriffe oder Botnetze nehmen jedes Jahr zu. Was also tun, wenn das eigene System betroffen ist? Wie identifiziere ich das Problem? Ist es sinnvoll, auf Lösegeldforderungen einzugehen? Oder kann der vermehrte Einsatz von Open Source-Lösungen weiterhelfen?

Anfang September 2023 wurde die Stadtverwaltung von Sevilla gehackt – mal wieder. Diesmal ist es den Tätern gelungen, die rund 4.000 Computer der Verwaltung mit der Ransomware Lockbit lahmzulegen. Bürgerinnen und Bürger mussten etliche Behördengänge vor Ort erledigen, Teile der Polizei und Feuerwehr sollen ebenfalls betroffen gewesen sein. Auch eine Lösegeldforderung hat es gegeben, die der Bürgermeister aber kategorisch ablehnte. Bereits 2021 hatten Cyberkriminelle die viertgrößte Stadt Spaniens ins Visier genommen. Damals konnten die Täter knapp eine Million Euro erbeuten, indem sie die virtuelle Identität des Unternehmens übernahmen, das für die Weihnachtsbeleuchtung der Stadt engagiert wurde

Generell sollten Betroffene eines Hackerangriffs immer Ruhe bewahren, die richtigen Maßnahmen einleiten – und eben auch aus Fehlern lernen. Vor allem bei der angemessenen Reaktion hapert es allerdings oftmals.

Gegenmaßnahmen oder Lösegeld?

Attacken mit Ransomware gehören zu den problematischsten Arten von Cyberkriminalität, und leider nimmt ihre Anzahl jedes Jahr weltweit zu. Offizielle Zahlen lassen sich nur schwer erfassen, aber allein im März 2023 hat es eine globale Ransomware-Attacke gegeben, bei der laut Bundesamt für Sicherheit in der Informationstechnik (BSI) eine dreistellige Anzahl von Unternehmen in Deutschland betroffen war. Hacker können damit Computersysteme ganz oder teilweise lahmlegen und fordern im Anschluss meist Lösegeld, um die Daten oder Funktionen wieder freizugeben – wie beim Beispiel Sevilla.

Für Betroffene gibt es verschiedene Möglichkeiten. Hat es ein Unternehmen oder öffentliche Einrichtung erwischt, können die Mitarbeiter der IT-Abteilung versuchen, selbst wieder Kontrolle über das System zu gewinnen. Der erste Schritt ist es, das Virus zu identifizieren. Da Hacker in diesem Bereich meist nicht besonders kreativ sind, kann das anhand verschiedener Merkmale gelingen, etwa durch den Dateinamen der Lösegeldforderung, die Mailadresse der Täter oder die gefordert Summe. Mit diesen Informationen können die Opfer sich dann Übersichten im Internet sowie den passenden Decryptor suchen. Wer damit überfordert ist, kann sich natürlich an eine spezialisierte Sicherheitsfirma wenden. Ob aber alle Daten gerettet werden können, ist nie garantiert.

Eine weitere Option wäre es, den Erpressern nachzugeben und das Lösegeld zu bezahlen. Zumindest für Unternehmen – staatliche Einrichtungen gehen darauf normalerweise nicht ein. Dieser Schritt sollte aber natürlich gut überlegt sein. Wie stehen die Chancen, das System selbst wieder unter Kontrolle zu bringen, und wie lange würde es dauern? Welche Verluste entstehen in dieser Zeit stündlich, wöchentlich, monatlich? Gibt es weitere Konsequenzen, etwa weil Kunden abspringen? In Fällen, bei denen es um das eigene Überleben gibt, ist es vermutlich das kleinere Übel, auf die Forderungen einzugehen. Andererseits befeuert dies die Cyberkriminellen, und es gibt auch keine Garantie, nicht irgendwann wieder in das Fadenkreuz zu geraten. Wirklich ein Dilemma.

Ransomware gibt es in unzähligen Variationen, aber ein besonders bekanntes Beispiel ist die Schadsoftware WannaCry, die sich 2017 in über 150 Ländern ausbreitete und Schäden in Höhe von vier Milliarden US-Dollar verursachte. Eine Hackergruppe nutzte hierfür eine Sicherheitslücke im Betriebssystem Windows, die der amerikanische Geheimdienst NSA übrigens über mehrere Jahre für eigene Zwecke verwendet hatte. Dies ist der Nachteil bei Closed-Source-Software, also Programmen, deren Quellcode nur vom Entwickler verändert werden kann. Da nur ein beschränkter Personenkreis Zugriff hat, bleiben Sicherheitslücken oft lange unentdeckt.

Aber nicht nur Ransomware kann große Schäden verursachen. Sehr beliebt bei Cyberkriminellen sind Distributed Denial of Service-Angriffe, kurz DDoS, bei denen Server mit unzähligen Anfragen überlastet werden. Webseiten sind dann, je nach Ausmaß des Angriffs, für einen längeren Zeitraum unerreichbar. Häufig nutzen Hacker dafür sogenannte Botnetze, bei denen sie mit ihrem PC etliche andere, infizierte Computer steuern und so einen massiven Angriff starten können. Wer von einer DDoS-Attacke betroffen ist, kann zunächst die eingesetzten IPs sperren – bei der Masse wäre das aber eine wahre Sisyphusarbeit. Um solchen Angriffen vorzubeugen, ist es sinnvoll, Daten auf mehreren Servern zu verteilen. Das ist zwar zunächst kostspielig, kann auf lange Sicht aber vor Totalausfällen schützen.

Besonders während der Corona-Pandemie sind auch sogenannte Social Engineering- Angriffe immer beliebter geworden. Dabei geraten Mails oder nachgebaute Webseiten in Umlauf, die angeblich über aktuelle Themen informieren sollen. Die ahnungslosen Opfer geben ihre Daten ein und gewähren Hackern so Zugriff auf das System. In so einem Fall sollten sofort alle Passwörter geändert werden. Präventiv ist es daher wichtig, das Personal für solche Attacken zu sensibilisieren. Diese Variante kann auch ein Einfallstor für einen Identitätsdiebstahl sein, wie er 2021 in Sevilla vorkam.

Prävention mit Open Source

Keine Sicherheitsmaßnahme kann einen kompletten Schutz vor Cyberattacken bieten. Deshalb sollten Schutzvorkehrungen immer so breit wie möglich aufgebaut werden. Und ein wichtiger Baustein hierbei können Open Source-Systeme sein.

Bei diesen kann der Quellcode offen eingesehen und verändert werden. Das klingt zunächst paradox: Warum sollten sich nicht auch Hacker dies zu Nutze machen und Codes für ihre Zwecke verändern? Das Geheimnis liegt in der Teamarbeit und dem Viele-Augen-Prinzip. Weil so viele Leute an einem Code arbeiten, werden Veränderungen ununterbrochen überprüft. Wer von einem Hackerangriff betroffen war oder die Sicherheit präventiv erhöhen möchte, sollte den Umstieg auf Open-Source-Systeme in Betracht ziehen.

Entwickler und User arbeiten als große Community zusammen und können Einfallstore schnell identifizieren und schließen. Dies ist besonders hilfreich, wenn ein neues Computervirus die Runde macht. Denn so wird die Zeit zwischen Entdeckung und Korrektur minimiert. Bei proprietärer Software, deren Code Verschlusssache ist, dauert dies meist deutlich länger. Deshalb setzen auch wir mit unserem IT-Service-Managementsystem KIX von Beginn an auf Open Source.

In Fragen der Sicherheit spielt ein solches System vor allem in Kombination mit einem IT-Security-Managementsystem seine volle Stärke aus. Ganz unterschiedliche Probleme lassen sich so nicht nur identifizieren, nachverfolgen und lösen, sondern gleichzeitig auch dokumentieren. Auch neue Mitarbeiter haben so jederzeit den Überblick über vergangene Vorkommnisse und sehen, wie sie bewältigt wurden. Für Unternehmen mit erhöhtem Sicherheitsbedarf wäre es zudem optimal, die Arbeitsabläufe nach der Information Technology Infrastructure Library (ITIL) auszurichten, die allen Nutzern einen Fahrplan an die Hand gibt, was in welchen Situationen zu tun ist. So steigern sich – weit hinausgehend über den normalen Standard von IT-Security – die Qualität und die Arbeitsabläufe.

Die Gefahr von Hackerangriffen nimmt ständig zu. Unternehmen und öffentliche Einrichtungen sollten deshalb jederzeit wachsam, vorsichtig und up to date bleiben, ohne in Panik zu verfallen, wenn doch etwas passiert ist. Oder um in etwas abgewandelter Form Sepp Herberger zu zitieren: Nach dem Angriff ist vor dem Angriff.

Von Rico Barth, Geschäftsführer KIX Service Software und Vorstandsmitglied Open Source Business Alliance