Es sind drei Fragen, die sich mir und manchmal auch den Betroffenen eines Cyberangriffes aufdrängen:
- Wer war das?
- Wurden Daten gestohlen?
- Kommt der wieder?
Im Grunde sehr vernünftige Fragen. Aber meine Antwort darauf gefällt eher selten:
Wenn Sie das wissen wollen, wird es eventuell viel Geld kosten und wahrscheinlich gibt es darauf keine klare Antwort.
Nun sage ich das nicht, weil es mir gerade so in den Sinn kommt – es sind Erfahrungen.
Fangen wir damit an zu klären, wer den Angriff ausgeführt hat.
In kleinen Unternehmen oder bei Privatpersonen gibt es oft zu wenig Protokolle, die man auswerten kann.
Schaltet man z.B. den Router (z.B. die Fritzbox) aus, um weiteren Schaden zu vermeiden, so vernichtet man damit auch wertvolle Protokolle.
Nach dem Einschalten sind die meist gelöscht und es ist recht aufwändig( = teuer !), diese aus dem Gerät wieder zu extrahieren.
Wenn Sie mir helfen wollen, dann lesen Sie vielleicht einmal einen Beitrag im Internet, der erklärt, wie man die Protokolle archivieren kann. (Quelle: tecchannel.de)
Denken Sie aber daran, vor dem Ausschalten der Fritzbox noch einmal die Protokolle manuell zu übertragen oder zu sichern.
Die letzten Einträge sind besonders wertvoll.
Selbst wenn ich genug Beweise finde, so stellt sich die Frage, ob „Boris“ oder „Olga“ für die deutsche Justiz greifbar sind.
Manchmal macht es Sinn, diese Frage zu klären.
Meist jedoch sollten Sie sich damit abfinden, dass der Angreifer im Schutz der „Cloud“ unerreichbar ist.
Ebenso schwierig wird die Frage zu klären sein, ob Daten gestohlen wurden.
Während man Schreibzugriffe an Daten recht gut nachvollziehen kann, gibt es bei lesenden Zugriffen eher weniger bis keine Protokolle oder Hinweise.
Indirekt könnte man vielleicht über ein erhöhtes „Up-Load“ Volumen auf einen Datenabfluss schliessen.
Wer sich vor dem Datendiebstahl durch Mitarbeiter und Angreifer schützen möchte, der sollte sich mit dem Thema „DLP“ (Quelle: wikipedia) beschäftigen.
Es gibt einige, gute Lösungen die man aber entweder bezahlen oder zumindest einrichten muss.
Tja – da bleibt noch die Frage, ob der Angreifer zurückkommen kann.
Nicht umsonst gilt die Regel, dass ein einmal erfolgreich angegriffenes System als „nicht vertrauenswürdig“ eingestuft werden soll.
Das hören viele gar nicht gerne. So reicht es meist nicht aus, einfach die Daten neu einzuspielen.
Vielmehr sollten alles Systeme komplett neu aufgesetzt / installiert werden.
Auch das wird Geld kosten.
Selbst bei relativ einfachen Fällen werde ich nie mit Sicherheit sagen können, dass die Systeme nach einem Einsatz wieder sicher sind.
Viele Angreifer richten erst eine „Hintertür“ ein, bevor der Angriff ausgeführt wird.
Etwas mehr dazu erfahren Sie beim Thema „Cyber Kill Chain“ (Quelle: wikipedia)
Mein Fazit:
Die Folgen von Cyberangriffen gehen oft über das hinaus, was die Betroffenen im ersten Moment vermuten.
Mit viel Glück kann man einen lokal begrenzten Schaden beheben.
Um so weiter aber die Angreifer in die Systeme eingedrungen sind, um so größer ist das verbleibende Restrisiko.
Deshalb sollte das Ziel immer sein, einen Angriff zu verhindern.