|
|
Was macht die Hacks ausWas passiert aber bei einem Hackerangriff und wie kann ein solcher Angriff bemerkt werden. Diese und ähnliche Fragen werden oft an uns gestellt. Wir haben Ihnen hier einige Tipps zusammengestellt, in denen Sie erfahren, wie ein Angriff ausgeführt wird, wie Sie ihn bemerken können, wie Sie sich schützen können und vor allem, wie Sie sich dagegen wehren können. Viele Trojaner und Spähprogramme haben keine offensichtliche Schadensfunktion, um sich möglichst lange im System verstecken zu können. Beliebte Tarnungen sind nach wie vor E-Mails mit irritierendem Inhalt, und einem Verweis auf den Anhang oder Webdownloads von Tools und Spielereien. Während diese vom Benutzer erstmals ausgeführt werden, schreibt sich der Trojaner heimlich ins System. Die Vorgehensweise bei einem Trojaner-Angriff ist fast immer die gleiche. Ähnlich wie bei Viren werden diese meist wahllos gestreut, etwa über Mail-Attachments oder Downloads. Lädt der ahnungslose Anwender das Programm, schlummert dieses im System, bis die Malware aktiviert wird. Dann erst nimmt diese mit dem Command-and-Control-Server Kontakt auf. Immer häufiger wird das Spear-Fishing, einem gezielten, langen und wohl geplanten Angriff auf eine bestimmte Person oder Personenkreis mit E-Mails, in deren Betreff etwas plausibles steht und scheinbar auch noch von einem bekannten Absender kommt. Der gefährliche Anhang ist dann oft schon auf die IT-Systeme des Opfers zugeschnitten. Der Hacker der von außen angreift, weiß zuvor nicht unbedingt, welche PCs einen offenen Port haben oder mit einem Trojaner infiziert sind. Er durchsucht systematisch in den Adressen, bis er eine IP-Adresse erreicht, über die er einen Port oder einen Trojaner ansprechen kann. Momentan sehr häufig sind dabei Angriffe auf IoT-Geräte, welche msit über einen bekannten Zugang und ein bekanntes default-Passwort verfügen, welche offenbar cvon den meisten Benutzern nicht geändert werden. Ein wichtiger Aspekt um Spyware und Trojanern vorzubeugen ist das „umsichtige Surfen“ und E-Mail öffnen. Dies ist ein häufig unterschätzter Bestandteil um sein System sauber zu halten. Viele User sind sich der Gefahren im Internet immer noch nicht bewusst bzw. ignorieren sie, surfen mit aktivierten ActiveX/Java/JavaScript auf obskure Websites, installieren Programme die sie aus unsicheren Quellen heruntergeladen haben, öffnen Mails von unbekannten Frauen mit eindeutigen Versprechen und verlassen sich dabei blind auf Firewall und Antivirenprogramm. Wohlüberlegtes Surfen ist vor allem sehr effektiv bei Trojanern, Viren und Würmern. Wer umsichtig und überlegt surft und E-Mails öffnet, wird sein System kaum mit einem Trojaner infizieren. Der beste Schutz ist immer noch der mitdenkende Benutzer!
Trojan-Backdoor DoS- oder DDOS-AttackenBei DoS / DDoS-Attacken wird ein Server gezielt mit so vielen Anfragen bombardiert, dass das System die Aufgaben nicht mehr bewältigen kann und zusammenbricht. Auf diese Art wurden schon bekannte Web-Server wie zum Beispiel Amazon, Yahoo, eBay, mit bis zu tausendfachen Menge des normalen Datenverkehrs massiv attackiert und für eine bestimmte Zeit für normale Anfragen außer Gefecht gesetzt. Es existieren daher auch verschiedene Formen einer DoS-Attacke: Syn Flooding: Zu Beginn eines Verbindungsaufbaus wird in TCP/IP basierten Netzen ein Handshake durchgeführt. Dabei werden SYN - und ACK -Datenpakete ausgetauscht. Bei einem SYN-Flooding-Angriff werden an ein Computersystem SYN-Pakete geschickt, die anstatt der eigenen Absenderadresse eine gefälschte im Internet erreichbare IP-Adresse tragen. Das angegriffene Computersystem versucht nun auf die SYN-Pakete mit SYN-ACK-Paketen zu antworten. Weil die Absenderadresse des ersten Paketes gefälscht war, kann das System unter dieser Adresse nicht den Computer erreichen, der eine Verbindung zu ihm aufbauen wollte. Erst nach einer gewissen Zeit werden die Verbindungsversuche von Seiten des angegriffenen Systems aufgegeben. Wenn nun eine große Anzahl von gefälschten SYN-Paketen eintrifft, verbraucht der angegriffene Rechner alle seine Verbindungskäpazitäten auf das hoffnungslose Versenden von SYN-ACK-Paketen und ist somit von anderen Systemen aus nicht mehr zu erreichen. Ping Flooding: Ping ist ein Programm, das prüft, ob andere Rechner im Netz überhaupt erreichbar sind. Beim Ping Flooding bombardiert der Angreifer den Zielrechner mit einer gewaltigen Menge von Pings. Der Rechner ist dann damit beschäftigt die Pings zu beantworten. Das Ping Flooding führt zu einer wesentlichen Beeinträchtigung des angegriffenen Rechners und vor allem des Netzwerkes, in dem sich dieser Rechner befindet. Es entstehen hohe Kosten, wenn die Netzwerkverbindung nach Datenmenge abgerechnet wird. Mailbombing: Dabei wird entweder eine enorm große Nachricht in Form einer E-Mail an die Zieladresse geschickt oder die Zieladresse wird mit Tausenden von Nachrichten bombardiert. Das führt zum Verstopfen des Mail-Accounts. Im schlimmsten Fall bricht der Mail-Server total zusammen. Solche Mail-Bombing-Angriffe können ohne größere Probleme durch im Internet erhältliche Programme durchgeführt werden. Verteilte Denial-of-Service-Attacken (DDoS): Seit einiger Zeit gibt es vermehrt verteilte DoS-Attacken. Dabei kommt anstelle von einzelnen Systemen eine Vielzahl von unterschiedlichen Systemen (Botnet) in einem großflächig koordinierten Angriff zum Einsatz. Durch die hohe Anzahl der gleichzeitig angreifenden Rechner sind die Angriffe besonders wirksam. Diese Art Angriff Wird als Distributed Denial of Service (DDoS)-Angriff bezeichnet. Eine DDoS-Attacke ist daran zu erkennen, dass sie deutlich mehr Netzressourcen als der normale Verkehr beansprucht. Ein Hacker verteilt dazu seine Angriffsprogramme auf mehreren tausend ungeschützten Rechnern. Diese Rechner werden zum Angriffswerkzeug, denn auf Kommando des Hackers bombardieren sie ein bestimmtes Ziel mit gefälschten Anfragen. Sich vor solchen Angriffen zu schützen ist deshalb schwer, weil der Zielrechner die Daten erst erhalten muss, um sie zu analysieren. Doch dann ist es bereits zu spät. Die Hacker selbst lassen sich nur schwer aufspüren, da sie in den meisten Fällen mit gefälschten IP-Quelladressen arbeiten. Deshalb muss auch verhindert werden, dass DDos-Programme wie "Stacheldraht" oder "TFN 2K" in das eigene Netzwerk oder die Zugangsrouter eingeschleust werden und man unfreiwillig Teil eines Botnet wie Mirai-Botnet oder Zeus-Botnet wird. Ändern Sie also auf Ihren Routern das Standard-Passwort und lassen Sie keinen Zugriff von Außen zu. Überprüfen und schützen Sie Ihre Rechner mit Malwarebytes. Buffer Overflow "Buffer Overflow"-Schwachstellen sind gerade bei Web-Servern und -Applikation durchaus häufig und gefährlich. Ein Angreifer aus dem Internet kann beispielsweise einen "Speicherüberlauf" generieren, das System zum Absturz zwingen oder gar eigenen Code ausführen lassen, indem er lediglich ein paar Zeilen formatiert und darin seinen Code stückweise verteilt. Um eine Buffer-Overflow-Schwachstelle auszunutzen, bedarf es keiner Interaktionen des Nutzers. Auf diese Weise lässt sich der Angriff einfach mit Hilfe wieder verwendbarer Skripts oder Würmern reproduzieren und ausweiten. Buffer-Overflow-Attacken können überall dort gestartet werden, wo Input des Anwenders erwartet wird. Dazu gehören Internetadressen (URLs), HTTP-Kopfzeilen oder -Text. Dialer Zu den gefährlichen Malware-Programmen zählen Dialer. Dahinter verbergen sich 0190 oder 0900-Nummern zur Einwahl ins Internet. Dialer werden über vermeintliche Hacker-Seiten, vor allem aber über Sex-Angebote im Internet verbreitet und treffen Anwender mit Wählleitungen (Modem, ISDN). Während der Installation des Dialers werden die vorhandenen Einstellungen der DFÜ-Verbindung überschrieben. Ab dem Zeitpunkt surft der Anwender für bis zu 1,86 Euro pro Minute. Unentdeckt bleibt der Schwindel dann bis zur nächsten Telefonrechnung. Einblicke in die DFÜ-Verbindung und die Modemeinstellungen gewährt die Systemsteuerung. Ob sich ein Dialer eingeschleust hat, entlarvt dort allein die Vorwahl. Der Name des Providers wird selten geändert. Täuschen lassen sollte sich der User nicht von einer 010 33-Vorwahl vor dem 01 90-Code. Denn diese hat auf den tatsächlichen Tarif keine Auswirkungen. Klicken Sie also gar nicht erst auf Links in Werbe-Mails oder auf den beworbenen Web-Seiten. Installieren Sie keine Programme, die aus unsicheren Quellen stammen. Brechen Sie einen automatisch gestarteten Download sofort ab. Lassen Sie 0190- Nummern sperren. (Telekom: 0800-330-1000). Beantragen Sie einen Einzelverbindungsnachweis. Richten Sie keinen automatischen Internet-Zugang ein. Speichern Sie Ihr Zugangspasswort nicht ab. Installieren Sie ein Dialer-Schutzprogramm (0190-Warner). Meiden Sie unbekannte Software, E-Mails oder "kostenlose" Dialer. Deaktivieren Sie wenn möglich AktiveX und andere Aktive Inhalte, über die sich Dialer unbemerkt einnisten können. Schalten Sie externe Modems ab. Ziehen Sie ungenutzte Kabel aus der Telefondose. Wenn Sie über DSL verfügen, so stellen Sie sicher, dass Ihr altes Modem bzw. Ihre ISDN Karte abgeschaltet, ausgebaut oder von der Telefonleitung getrennt sind. Sollte das nicht der Fall sein, kann ein Dialer Ihre "alte Leitung" missbrauchen. ARP-Spoofing, Man-in-the-Middle-Attacken und Connection HijackingSeit vielen Jahren gehören Man-in-the-Middle-Attacken, die auf den Missbrauch von ARP zurückzuführen sind, zum festen Repertoire vieler Hacker. Für die IP-Kommunikation über das Ethernet ist ARP ein unverzichtbarer Bestandteil, da die eigentliche Adressierung im Ethernet anhand der MAC-Adressen stattfindet. Eine MAC-Adresse (Medium Access Control) ist eine auf der Netzwerkkarte festgelegte Kennung, die im Normalfall einzigartig und unveränderbar ist. ARP stellt das Bindeglied zwischen IP- und MAC-Adresse dar. Bevor ein IP-Paket verschickt werden kann, ist die MAC-Adresse des Zielrechners zu ermitteln. Dazu versendet ARP einen Broadcast mit der Frage "who has <IP-Adresse>". Ist der Ziel-Host online, antwortet dieser mit einem an den Absender gerichteten ARP-Reply "<IP-Adresse> is at <MAC-Adresse>". Diese Antwort speichert der Rechner temporär im ARP-Cache, um weitere Anfragen zu vermeiden. Beim ARP-Spoofing wird dem Absender eine falsche Adresszuordnung übermittelt. Ein Anwendungsbeispiel aus der Praxis ist das Fälschen des DNS. Der Angreifer bekommt dadurch die Möglichkeit zu kontrollieren, welche Adressen wie aufgelöst werden, da er anstelle des eigentlichen Name-Servers diese Auflösung übernimmt. Dadurch ist er in der Lage, Adressen vertrauenswürdiger Seiten auf eigene Server umzuleiten, um beispielsweise eingegebene Passwörter oder PINs in Erfahrung zu bringen. Ein anderes Beispiel ist das Spoofen des DHCP-Servers. Da zusätzlich zur IP-Adresse noch diverse andere Daten wie das Gateway oder die Adresse des Nameservices übertragen werden, ist der Angreifer dadurch in der Lage, die Kommunikationswege des Rechners zu manipulieren, um damit eine Man-in-the-Middle-Attacke einzuleiten.
Connection Hijacking ist vergleichbar mit einem Man-in-the-Middle-Angriff. Der Unterschied ist, dass bestehende Verbindungen übernommen werden. Anwendung findet dies in erster Linie bei unverschlüsselten Protokollen wie Telnet, die eine kontinuierliche Verbindung aufbauen. In die Kommunikation von verschlüsselten Verbindungen kann der Angreifer auf diese Weise nicht mehr eingreifen, da er nicht im Besitz der dafür notwendigen Schlüssel ist. Weist ein ARP-Cache mehrere Einträge mit identischen MAC-Adressen auf, ist das ein Indiz, dass diese gespooft wurden. Dies muss jedoch nicht zwingend der Fall sein, da ein Host über mehrere IP-Adressen auf dem gleichen Netzwerk-Device verfügen kann; in der Regel findet das jedoch nur bei Servern Anwendung. Eine effektive Maßnahme, um den Missbrauch von ARP vorzubeugen, ist die Verwendung von Layer-3-Switches. Das Konzept dieser Switches sieht vor, die Verbindung nicht nur anhand der MAC-Adresse zu identifizieren, sondern auch anhand der IP-Adresse. Häufige Änderungen der MAC/IP-Zuordnung werden vom Switch bemerkt und verhindert. Abhilfe schafft auch die richtige Konfiguration der Hosts im Netz, um zumindest die wichtigsten Angriffsziele wie den Gateway, DNS oder Mailserver gegen einen Man-in-the-Middle-Angriff zu sichern. Das Einrichten eines statischen ARP-Caches, der die wichtigsten Host-Zuordnungen festlegt, reicht jedoch oft schon aus, um zumindest einen Grundschutz vor ARP-Spoofing zu gewährleisten. Unter Linux lässt sich ein statischer ARP-Cache einrichten. Legen Sie dazu die Liste der Hosts, deren Zuordnung statisch in den Cache geschrieben wird, in einer Datei an und rufen Sie "arp -f <Dateiname>" auf. Dieses Kommando liest die Datei aus und schreibt deren Inhalt in den ARP-Cache. Um diesen Vorgang beim Start zu automatisieren, legen sie im Runlevel 4 oder 5 ( /etc/rc4.d oder /etc/rc5.d) ein entsprechendes Startscript an. Unter Windows erstellen Sie eine Datei "arpstart.bat" und fügen die Adressen wie folgt ein: arp -s <IP-Adresse> <MAC-Adresse> . Damit bei jedem Systemstart das Skript geladen und die Einträge fest in den Cache geschrieben werden, tragen Sie die Datei in "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run" ein. Als Schutzmaßnahme kann man das Tool XArp im Hintergrund mitlaufen zu lassen. Das Programm protokolliert sämtliche Veränderungen in der Zuordnung zwischen IP-und MAC-Adresse und stellt diese übersichtlich dar. Social Engineering
Die Absicht ist meistens, jemanden anzurufen oder ihm eine gut gefälschte E-Mail
zu senden und
ihn dazu zu bringen, sein Passwort zu verraten oder ein Programm auszuführen.
Eine andere Methode ist es, kostenlose DVDs mit garantiert "gaaaanz tollem
Inhalt" zu verteilen oder einfach einen veränderten USB-Stick auf dem
Firmengelände liegen zu lassen. Irgendeiner steckt das Ding bestimmt in seinen
Rechner. Es
gibt jedoch auch wesentlich raffiniertere Attacken, bei denen nur kleinste,
unauffällige
Informationsbröckchen gesammelt werden um am Schluss den großen Angriff starten
zu können. Die anderen Angriffe Die Anzahl der Cyberattacken steigt pro Jahr um ca. 30%-40% gegenüber dem Vorjahr. Dabei gibt es jeden Tag neue, unbekannte Angriffsszenarien. Bei den Urhebern der Angriffe führen böswillige Dritte mit ca. 70 Prozent aller Attacken die Liste an. Die meisten Attacken zielen auf den Einzelhandel, das Gesundheitswesen, die öffentliche Verwaltung und die Finanzbranche. Es ist deshalb wichtig zu verstehen und zu dokumentieren, welche Daten wirklich sensibel sind, wo sie gespeichert werden, wie sie ausgetauscht werden und mit welchen Methoden sie sich am besten schützen lassen. Abwehr von Hacker Attacken und RansomwareIn der Cybersicherheit scheint es jedoch oft als ob die "bösen Jungs" immer besser organisiert sind und enger zusammenzuarbeiten als die "guten Jungs". Was können und müssen wir also tun, um diese Angriffe stoppen zu können? Die folgenden Vorsichtsmaßnahmen sind eine grundlegende Reihe von Aktionen für die Cyber-Verteidigung. Diese spezifischen und umsetzbaren Möglichkeiten, stoppen die heute am weitesten verbreiteten und gefährlichsten Angriffe:
1. Inventarisierung von autorisierten und nicht autorisierten Geräten.
2. Inventar der autorisierten und nicht autorisierten Software
3. Sichere Konfigurationen für Hardware und Software auf mobilen Geräten,
Laptops, Arbeitsstationen und Servern.
4. Kontinuierliche Gefährdungs-Einstufung und -Verbesserung
5. Kontrollierte Verwendung von Administratorrechten
6. Wartung, Überwachung und Analyse von Prüfprotokollen
7. E-Mail- und Webbrowser-Schutz
8. Malware Verteidigung
9. Einschränkung und Kontrolle von Netzwerk-Ports, Protokollen und Diensten
10. Datensicherung (Backup) und Datenrettungsfähigkeit (Restore)
11. Sichere Konfigurationen für Netzwerkgeräte wie Firewalls, Router und
Switches
12. Segmentierung 13. Datenverschlüsselung
Mit der Verschlüsselung von Daten können Unternehmen die Wahrscheinlichkeit
einer Datenpanne verringern. Die Verarbeitung unverschlüsselter Daten birgt ein
großes Risiko durch Cyberangriffe, welche Unternehmen jeder Größe treffen.
Deshalb spielt die Risikominimierung durch Datenverschlüsselung eine große Rolle
in der IT-Sicherheit. Dies minimiert das Verlustrisiko bei der
Datenverarbeitung, da verschlüsselte Inhalte grundsätzlich für Dritte ohne den
entsprechenden Schlüssel nicht lesbar und damit wertlos sind. Verschlüsselung
schützt Daten auf den Transportwegen und sichert gespeicherte Daten gegen
unberechtigten Zugriff ab. Verschlüsselung wird explizit als geeignete Maßnahme
in der Aufzählung des Art. 32 Abs. 1 DSGVO angeführt.
14. Datenschutz
15. Kontrollierter Zugriff beschränkt auf berechtigte Personen
16. Drahtlose Zugriffskontrolle
17. Kontoüberwachung und -kontrolle 18. Zutrittskontrolle
Durch eine Zutrittskontrolle wird verhindert, dass unbefugte Personen den
physikalischen Zutritt zu Datenverarbeitungsanlagen erhalten. Dazu zählen:
Empfang mit Personenkontrolle, Tragen von Firmen-/ Besucherausweisen,
Videoüberwachung, Schlüssel- und Chipkartenregelung, sowie biometrische
Einlass-Systeme.
19. Beurteilung der Sicherheits-Kompetenzen und angemessene Schulungen
20. Software-Sicherheit
21. Notfallplan
22. Penetrationstests und Übung von Angriffsszenarien Sandbox SystemeBösartige Software verändert sich, während sie sich vermehrt und weicht damit den abgeklärtesten und ausgereiftesten Antiviren-Lösungen aus. Hacker können durch verschiedene Verschleierungstechniken einer Sicherheitsabwehr erfolgreich ausweichen, um Malware ohne Erkennung zu verteilen. Sie erreichen dies, indem sie bekannte Bedrohungen neu verpacken und neu aussehen lassen. Es gibt Millionen von Malware-Varianten, und die meisten kommen mittlerweile von Hackern mit einfachen Malware-Verschleierungstechniken. Die vier grundlegenden Methoden umfassen Packer, Krypter, polymorphe Malware und Downloader (auch als Dropper oder „Staged Loader“ bezeichnet). Die Techniken schützen Malware vor statischer Muster-Analyse, aber nicht notwendigerweise vor dynamischer Analyse. Statische Analyse bedeutet Malware-Erkennungstechniken, die Sie auf einer Datei durchführen, ohne diese auszuführen. Weil man Malware stoppen will, bevor sie auf die Systeme kommt, scannen viele AV-Produkte Dateien, wenn sie über das Netzwerke laufen oder auf das Dateisystem eines Computers kopiert werden. Allerdings ist die statische Analyse sehr eingeschränkt, was sie über die jeweilige Datei wissen kann, da diese Dateien gepackt oder verschlüsselt sind. Heute gehen Hacker über diese Grundlagen hinaus, indem sie fortgeschrittene Methoden und Taktiken verwenden, wenn sie Malware verstecken. Dazu gehören Antidisassembly und Debugging, Rootkits und Code-, Prozess- und DLL-Injektion. Damit kann ein Programm seinen Code unter dem Kontext eines anderen Prozesses auszuführen. Malware-Autoren nutzen diese Techniken oft, um ihren Malware-Code in einem erforderlichen Windows-Prozess auszuführen. Zum Beispiel könnten sie explorer.exe, svchost.exe SearchIndexer.exe oder eine andere legitime Windows-Datei ausführen. Durch die Kommissionierung an einen wichtigen Windows-Prozess, kann die Malware für AV-Software sehr schwierig zu finden und zu entfernen sein. Neben dieser dunklen Seite gibt es aber auch eine helle Seite. Während Malware in der Lage ist sein Aussehnen zu verändern, kann es nicht ändern was es tut, zumindest wenn es Ziele erreichen will wie den Computer zu infizieren, eine Hintertür zu öffnen oder Dateien zu verschlüsseln. So schaffen viele fortschrittliche Erkennungslösungen ein System, das Malware anhand ihres Verhaltens (Behavior-Analyse) erkennt. Diese Lösungen schaffen eine "Sandbox", die wie ein Opfer-Computer aussieht, mit aller normalen Begleitsoftware. Wenn dieses System neue und verdächtige Dateien empfängt, führt es sie in den Sandbox-Umgebungen aus, um zu sehen, was sie tun. Durch die Überwachung von Hunderten von bekannten Malware-Verhaltensweisen, einschließlich bekannter Ausweichtechniken, können diese Lösungen ziemlich genau und aktiv erkennen, ob die ausführbare Datei böswillig ist. Wenn der Notfall doch eingetreten istZiehen Sie die Netzwerkstecker. Alle Netzwerkstecker! Separieren Sie Ihr Netz gegen das Internet und die einzelnen Rechner gegeneinander. Bei malware-Befall versuchen Sie dann mit einer Start-DVD oder einem schreibgeschützten Boot-USB-Stick mit aufgespielten, aktuellen Notfall-Scannern von MalwareBytes, Kaspersky, Panda und Sophos die einzelnen Rechner von der Schadsoftware zu befreien. Wenn Sie unsicher sind, halten Sie Rücksprache mit dem Hersteller Ihrer Anti-Malware-Lösung, bevor Sie einen Datenverlust durch unsachgemäßes Vorgehen erleiden. Die Hersteller sind meist sehr um die Lösung der Probleme ihrer Kunden bemüht. Bei Lösegeldforderungen: NICHT zahlen. Nein, gar nicht zahlen! Jede erfolgreiche Erpressung zeigt den Erfolg des Angriffs und motiviert den Angreifer weiter zu machen. Traue niemals einem Kriminellen. Er sieht seine Opfer als offener Kassenschrank.
Avast und Kaspersky helfen verschlüsselte Dateien der Ransomware-Arten Agent.iih,
Alcatraz Locker, Apocalypse, Aura, AutoIt, Autoit, Badblock, Bart, Bitcryptor,
Bitman, Chimera, CoinVault Cryakl, Crybola, Crypt888, CryptXXX versions 1-3,
Crysis, Cryptokluchen, Democry, Fury, Globe, Hiddentear, Jigsaw, Lamer, Legion,
Lortok, MarsJoke, Noobcrypt, Petya, Philadelphia, Pletor, Polyglot, Rakhni,
Rannoh, Rotor,Shade, Stampado, SZFlocker, Teslacrypt, Wildfire Vandev, Xorist
wiederherzustellen und halten die Tools durch Updates auf dem neuesten Stand,
sobald sich die Ransomware verändert hat. Die jeweiligen Entschlüsselungstools
und Zusatzinformationen stehen auf der Web-Seite von Avast und Kaspersky zum
Download bereit: Als Firma oder bei Verlust personenbezogener Daten informieren Sie umgehend (UNVERZÜGLICH) das BSI oder Ihre laut DSGVO Art. 55 zuständige Aufsichtsbehörde. Um ein verlässliches Lagebild zu erhalten, ist es notwendig, dass beim BSI möglichst viele Meldungen mit möglichst guter Dokumentation des Vorfalls in das Lagebild einfließen. Deshalb sollte schon die Meldungen eines Cyber-Angriffs möglichst detaillierte Informationen enthalten. Erstatten Sie jedenfalls eine Strafanzeige bei der Polizei. Recht haben heißt aber nicht immer sofort Recht zu bekommen, denn der Weg zur Ermittlung und Anklage des Schädigers ist mitunter kompliziert und dornenreich, gerade wenn diese im nicht europäischen Ausland sitzen. Welche Möglichkeiten aber hat ein Geschädigter, wenn Dokumente oder Geschäftsunterlagen zerstört und gestohlen werden oder ein System so zerstört wird, dass keine Möglichkeit mehr zum Zugriff auf Daten besteht? Eine Rechtsberatung dürfen wir Ihnen hier nicht geben, zumindest aber Tipps und Hinweise, wie Sie sich im Verdachtsfall verhalten können. Dass ein potentieller Angreifer seine Identität allzu leicht offen legt, braucht niemand zu hoffen (und wenn ja, ist das meistens eine gewollte, falsche Fährte). Schädlinge werden zu 96% per eMail verschickt und es gibt viele, oft auch im Ausland gelegene Freemail-Anbieter die offensichtlich keinen Wert auf die Identität eines Nutzers legen. So können Angreifer im Sekundentakt anonyme Postfächer eröffnen und von dort aus ihre destruktiven Aktivitäten ausführen. Zudem ist es jederzeit möglich, mit einem Programm wie Ghost-Mail anonyme eMails zu versenden und von einem ungeschützten Spam-Server in Umlauf zu bringen. Normale Viren sind nicht das Problem, wenn es um Datendiebstahl geht. Ein Virenscanner ist in der Lage, den schädlichen Code zu verhindern. Das weitaus größere Problem ergibt sich aus Trojanern, BackDoors die es auf ungepachte Schwachstellen abgesehen haben. Sie sind in der Lage sich zu verändern um dem AntiVirus auszuweichen, unbemerkt Verbindungen zum Angreifer aufzunehmen, der dann in der Lage ist, sämtliche lokalen Funktionen auszuführen und den infizierten Rechner zu durchsuchen und zu steuern. Auf diese Weise können Nutzerdaten, private Dokumente persönliche Daten oder auch wichtige und geheime Geschäftsunterlagen gesammelt werden. Liegt ein begründeter Verdacht auf Befall mit einem Trojaner oder Backdoor vor und wurden persönliche Daten gestohlen oder zerstört, muss der Beweis dafür erbracht werden. Sehr wirkungsvoll ist hier der Einsatz einer Firewall mit Logging und Reporting-Funktion, denn auf diese Weise lassen sich sämtliche - auch ausgehende - Verbindungen erfassen, protokollieren und auswerten. Beweisführend ist hier die IP-Adresse des Remote-Rechners, von dem aus der Angreifer auf den Ziel-Rechner zugreift. Kann sie zweifelsfrei erfasst werden, hat der Geschädigte eine kleine Chance auf Ergreifung des Schädigers, denn viele westliche Internet-Provider erfassen User in einer Logdatei. Anhand dieser Logdatei kann ermittelt werden, wem zu welchem Datum und zu welcher Uhrzeit diese IP-Adresse zugeordnet wurde.
Zum Beispiel kann das die Logdatei des eingesetzten Firewall-Systems sein. Wurden auch Nutzerdaten gestohlen und wurde damit ein wirtschaftlicher Schaden verursacht, indem der Datendieb die fremden Account-Daten für eigene Surf-Sessions benutzt hat, so kann auch eine Auflistung der Telefon- und Internet-Kosten der letzten Monate eine Hilfe sein. Sind personenbezogene Daten, Nutzerdaten oder Kundendaten gestohlen worden, so müssen die betroffenen Personen, Nutzer oder Kunden nach Art. 34 DSGVO umgehend informiert werden. Liegt ein begründeter Verdacht auf Datendiebstahl oder Zerstörung vor, ist Eile geboten, denn Internet-Provider bewahren Logfiles maximal 90 Tage auf. In jedem Fall werden Sie oder Ihre Rechtschutzversicherung aber in Vorleistung gehen müssen, da Rechtsanwälte in der Regel einen Vorschuss für ihre Arbeit berechnen. Wurde eine Strafanzeige gestellt und ist es dem beauftragten Staatsanwalt gelungen, in den Logfiles des Providers den verdächtigen Zugang zweifelsfrei festzustellen, laufen die Ermittlungen an. Ein Hinweis zu forensischen Untersuchungen: Wenn Sie wirklich glauben, dass ein Angriff stattgefunden hat und rechtliche Schritte einleiten möchten, empfiehlt es sich, die forensischen Untersuchungen nicht selbst vorzunehmen. Nehmen Sie die betroffenen Systeme sofort aus dem Netz, um eine weitere Ausbreitung des Schadens zu verhindern, aber ziehen Sie anschließend einen forensischen Experten zu Rate. Das Risiko, dass Beweise zerstört und damit vor Gericht nicht mehr anerkannt werden, ist einfach zu groß. Wenn Sie also die Notwendigkeit zum Sichern von Beweisen sehen, ziehen Sie unbedingt einen Experten hinzu. Als Firma fragen Sie uns bei Angriffen von professionellen Hackern direkt um Hilfe, da hier meistens ein gezieltes, schnelles Vorgehen gegen eine weitere Ausbreitung notwendig ist. Informationen über das richtige Verhalten im Verdachtsfall können wir Ihnen in Zusammenarbeit mit einem spezialisierten Anwaltsbüro gerne geben. GepaNet GmbH Security AuditAuf dieser Internet-Seite können wir nur einen kurzen, ganz allgemeinen Abriss über die "gewöhnlichen" Angriffsszenarien geben. Die Angriffe entwickeln sich aber ständig weiter, werden vielschichtiger, verteilter, andauernder und komplizierter. Typisch für diese APT-Angriffe ist, dass die Täter sehr viel Zeit und Handarbeit aufwenden und Werkzeuge benutzen, die nur für diese gezielte Aufgabe geeignet sind und sich nach getaner Arbeit möglichst spurlos wieder zurückziehen. Der Angreifer nutzt die ersten infizierten Rechner nur als Sprungbrett in das Netzwerk der betroffenen IT-Struktur, bis die Hauptziele, wie z.B. Forschungsdaten, Kreditkartendaten oder Produktivsysteme, erreicht sind. Zur Abwehr benötigen Sie wie oben beschrieben eine vielschichtige Sicherheitslösung in Ihrem Netzwerk und Ihrer IT-Struktur. Zur Aufdeckung von Incidents benötigen Sie Lösungen, die Ihnen präzise und aussagekräftige Informationen über alle Vorgänge in Ihrem Netzwerk liefern. Das GepaNet GmbH Security Audit beruht deshalb auf langjährigen Erfahrungen von qualifizierten System-, Netzwerk- und Security-Administratoren die stets an vorderster Front arbeiten, mit dem gemeinsamen Ziel den Stand der Informationssicherheit zu verbessern. Das GepaNet GmbH Security Audit basiert auf den neuesten bekannten und bestätigten Bedrohungen und Schwachstellen. Diese Bedrohungen und Schwachstellen werden auf den verschiedenen Sicherheitsebenen erläutert und beruhen auf gesicherten Informationen aus realen Situationen. Diese werden verwendet, um das Bewusstsein des Kunden zu stärken und aufzuzeigen, warum eine stetige Bedrohungsanalyse wichtig ist. Aus den aufgezeigten Bedrohungen und Schwachstellen entwickeln wir gemeinsam mit dem Kunden Gegenmaßnahmen und Verteidigungen auf den einzelnen Sicherheitsebenen einschließlich deren Instrumentierung, den Metriken und der ständigen Revision. Der Workshop beginnt mit einer tiefgreifenden Einführung in die einschlägigen Methoden und Prüfprogramme. Anschließend führt er durch alle Einzelheiten, wie man Audit-Geräte für die Überprüfung von IT-Systemen, Firewalls und Routern bis hinunter zu den Betriebssystemen einsetzt. Die praktischen Übungen laden Sie zum Experimentieren mit den Audit-Tools ein. Dabei hat der Kunde Gelegenheit zur Durchführen von Auditfunktionen gegen Test-Server, welche zur Verfügung gestellt werden können. Das GepaNet GmbH Security Audit ist mehr als das Abhaken einer Bedrohungs-Checkliste, es ist das Verständnis der Best Practices, System-Analyse und Forensik. Registrieren Sie sich für das Security Audit und erleben Sie die einzigartige Mischung aus Theorie, Praxis- und Praxiswissen zur Stärkung Ihrer Informationssicherheit.
|
| ||||||||||||
Falls Ihnen per Mail bereits ein Trojaner zugestellt wurde und
Sie arglos den Dateianhang der E-Mail geöffnet und ausgeführt haben, wurde der
Trojaner installiert. Nun verbindet sich das Schadprogramm mit seinem Steuerungs-Server.
Zu diesem Zweck benötigt er einen offenen Port, und meldet sich über gewöhnlich
offene http oder https
Ports zurück.
Ein Port ist eine Art Zugangstür, durch den IP-Funktionen
ausführbar sind. Beispielsweise werden die Ports 137-139 standardmäßig vom
Windows-Betriebssystem geöffnet. Über diese Ports kann der Trojaner-Agent
Kontakt zum Trojaner-Server aufnehmen. Falls der Server des Trojaners antwortet, hat der Hacker nun
freien Zugriff auf den PC. Die Portnummer ist von Trojaner zu Trojaner
verschieden. Beispielsweise nutzt der Trojaner SubSeven den Port 1234. Für die
Netbus Pro lautet die Voreinstellung Port 20034. Zahlreiche Internet-Seiten
listen bekannte Trojaner und deren Port-Belegung auf. Angesichts variabler
Tarnprogramme und stündlich neuer Exemplare sind diese Listen aber nie aktuell
und meist mit der Erstellung schon veraltet. Hier eine Auswahl der momentan am
häufigsten vorkommenden Trojaner-Typen:
Unter
Man in the Middle ist zu verstehen, dass die Kommunikation zwischen zwei
Verbindungspartnern transparent über einen dritten Host läuft. Transparent heißt
in diesem Zusammenhang, dass weder der Absender noch der Empfänger bemerken,
dass sie eigentlich nicht direkt miteinander verbunden sind, sondern über einen
dritten Host, der ähnlich wie ein Gateway die Informationen weiterleitet.
Realisiert wird das auf verschiedene Weisen, abhängig davon, welche Verbindung
betroffen ist. Befinden sich beide Hosts im gleichen Subnetz, versendet der
Angreifer seine eigene MAC-Adresse an beide Hosts mit der IP-Adresse des jeweils
anderen. Sowohl Rechner A als auch Rechner B verbinden sich mit Rechner C in dem
Glauben, miteinander verbunden zu sein. 
Das Telekommunikationsgesetz lässt jedoch nicht zu, dass
Privatpersonen Zugriff auf die Daten der Provider-Logfiles nehmen können. Dies
darf nur der ermittelnde Staatsanwalt, der durch eine Strafanzeige seine Arbeit
aufnimmt. So ist der erste Schritt also die Beautragung eines Rechtsbeistands,
der dann eine entsprechenden Melödungen und die Strafanzeige stellt. Für eine erfolgreiche
Strafanzeige benötigen die Ermittler sämtliche von Ihnen gesammelte Daten. 
