Cyber-Attacken können heutzutage so gut wie jedes Unternehmen treffen. Im Ernstfall versuchen IT-Forensiker unter großem Zeitdruck, den Schaden zu begrenzen und den Übeltäter aufzudecken. Wie fordernd dieser Job wirklich ist, haben Teilnehmer eines Workshops des Versicherers Hiscox nun am eigenen Leib erfahren.

Cyber-Attacken auf Unternehmen sind zu einem ernsthaften Problem mit ungeahnten Dimensionen geworden. Wenn etwas passiert, schlägt die Stunde sogenannter IT-Forensiker. So viel ist sicher: Der Job ist nichts für schwache Nerven.

Das haben auch die Teilnehmer eines Cyber Simulation Workshops des Versicherers Hiscox erfahren müssen. Das Szenario lautet so: Die fiktive Firma HAK Messtechnik wird Opfer einer zielgerichteten Cyber-Attacke und muss nun schnellstmöglich die Einfallstore der Kriminellen ermitteln und schließen. Unterstützt werden die Teilnehmer von IT-Forensikern des IT-Beraters HiSolutions. 

Und so gehen die Attackierten vor:

Die Workshop-Teilnehmer beginnen ihre Arbeit bei den betroffenen Laptops. Zunächst sichern die Teilnehmer den Arbeitsspeicherinhalt der Rechner, weil dort oft flüchtige Informationen zu finden sind, die verloren sind, sobald der Laptop ausgeschaltet wird. Den USB-Stick mit den gesicherten Daten verstaut das Team direkt in einer Beweismitteltüte. Denn es ist sehr wichtig, alles sauber zu dokumentieren. Später bauen die frisch ernannten IT-Forensiker die Festplatten der Laptops aus und erstellen eine unveränderbare Kopie davon.

Nun gilt es, die Analysephase zu starten. Innerhalb einer sogenannten Sandbox, in der Programme sicher und vom System abgeschottet laufen können, suchen sie mit speziellen Forensik-Softwares nach auffälligen Aktivitäten. Sie werden schon nach wenigen Minuten fündig: Auf einem der gehackten Rechner wurde zum Zeitpunkt der verdächtigen Proxy-Logs zeitgleich ein sogenanntes Executable erstellt und sofort wieder gelöscht. Das scheint verdächtig. 

Es könnte sich aber auch um ein Ablenkungsmanöver handeln.

Im Outlook-Cache eines anderen Laptops finden die IT-Forensiker zudem ein als Bewerbung getarntes Executable, das einen Infektionsvektor und damit ein weiteres Einfallstor darstellen könnte. Der Untersuchung zufolge ist das Programm ein fortgeschrittener Kryptotrojaner, der bereits viele Dateien verschlüsselte und über eine Erkennungsfunktion für gängige Schutz- und Analyse-Softwares verfügt. 

Aber welcher Zusammenhang besteht zum zuvor gefundenen Angriff?

Durch die mutmaßlich abgegriffenen Rechnerzugänge und Passwörter der Geschäftsführung, der Personal- und der Entwicklungsabteilung kann das Team davon ausgehen, dass die Cyber-Kriminellen mittlerweile weitreichende Kontrolle über das Firmennetz der HAK Messtechnik erlangt haben.

Welche Daten wurden gestohlen oder verändert und wer ist noch von der Attacke betroffen? Die IT- Forensiker müssen unter anderem berücksichtigen, dass auch Vertriebler oder Zulieferer des Messtechnik-Herstellers mit dem Firmennetz verknüpft sind. Hier endet für die Teilnehmer des Workshops die Arbeit am fiktiven Fall. Doch in der Realität würden Forensiker jetzt erst so richtig loslegen. Es wird schnell klar: Das ist ein schwieriger Job – mitunter können Wochen vergehen, bis man einen Fall löst. 

Und:

Der fiktive Fall zeigt, welche vielschichtigen Prozesse bei der Abwehr einer Cyber-Attacke ablaufen. „Cyber-Attacken sind nichts, wofür die klassische IT-Abteilung eines Mittelständlers ausgebildet ist. Ein Einfallstor zu ermitteln, parallel den Zugriff der Kriminellen zu minimieren und die Daten unveränderbar zu sichern, ist eine komplexe und zeitintensive Aufgabe, die Profis übernehmen müssen,“ weiß Frank Rustemeyer, Direktor bei HiSolutions.

Viele Unternehmen sind blutige Cyber-Anfänger

Im Rahmen einer Cyberversicherung ist diese sofortige Unterstützung durch IT-Krisenexperten sichergestellt und der Schaden kann gemeinschaftlich eingedämmt werden. Und immer mehr Unternehmen schließen eine solche Police ab. Aber: Nach wie vor hadern viele Betriebe mit dem Thema Cyber. Die Anzahl schlecht gegen Cyber-Attacken gerüsteter Unternehmen in Deutschland ist alarmierend. 77 Prozent der deutschen Unternehmen sind sogenannte Cyber-Anfänger, wie die Hiscox-Studie Cyber Readiness Report zeigt. Auch änderten 45 Prozent der Cyber-Opfer nach einer erlebten Attacke im Unternehmen nichts.

Laut Hiscox-Experte Ole Sieverding sieht der Versicherer daher seine Aufgabe auch darin, ein praxisnahes Bewusstsein für Cyber-Risiken zu schaffen und Unternehmen mit passgenauen Lösungen vor Schäden zu bewahren. „Aktuell sehen wir jedes Jahr mindestens eine Verdoppelung der Cyber-Prämien. Seit 2015 haben wir in der Hiscox-Gruppe bereits über 2.000 Cyber-Schadenfälle abgewickelt“, fasst Sieverding die Entwicklung zusammen.

Quelle:

Pfefferminzia

Autor:

Juliana Demski

Unser Tipp:

Vergleichen Sie hier direkt Ihre Cyberversicherung