Was haben Coronavirus und Hackerangriffe gemeinsam?
Kleiner Disclaimer: Beitrag wurde am Anfang der Corona-Pandemie verfasst. Aussagen hinsichtlich des Coronavirus könnten schon lange überholt sein. Der Vergleich dient lediglich Anschauungszwecken.
In den letzten Tagen gibt es kaum mehr Nachrichten ohne Meldungen über das in China ausgebrochene Coronavirus. Also machte ich mir natürlich auch Gedanken darüber und kam auf interessante Parallelen zwischen Malware bzw. Hackingangriffe auf Unternehmen und dieses „neuartigen“ Virus. Diese Gedanken wollte ich dir nicht vorenthalten, weshalb ich diesen Artikel veröffentliche.
Das erste Detail was mir beim Coronavirus auffiel war die Zeit, die vergeht, bis die erste Symptome aufkommen. Laut Internet sollten die ersten 5-10 Tagen (Zahlen schanken stark), in denen ein Mensch durchaus schon ansteckend ist und den Erreger in sich trägt, ohne Symptome ablaufen. Nach dieser Zeit treten dann die ersten „grippeähnlichen“ Symptome, wie Husten, Fieber usw., auf. Betrachtet man parallel hierzu Hackingangriffe auf Unternehmen vergehen häufig auch viele Tage (häufig leider auch mehrere Monate) bis sie durch Betroffene bemerkt werden. Dies liegt auch daran, dass Hacker sehr gezielt und konspirativ vorgehen, um möglichst lange im Netzwerk des Unternehmens zu bleiben und um möglichst viele wertvolle Daten exfiltrieren zu können. Wenn sie geschickt vorgehen können Hacker durch geeignete Anti-Forensik-Maßnahmen ihre Spuren verwischen und Backdoors installieren und bleiben so sehr lange unentdeckt. Leider wurde in Bezug auf den Coronavirus auch schon von verstorbenen Personen berichtet. Nach Aussagen von Experten betrifft dies überwiegend kranke und gebrechliche Menschen. Wirtschaftlich angeschlagene Unternehmen, die aufgrund von Sparzwängen ihre IT-Sicherheit vernachlässigt haben, sind analog gesehen natürlich leichte Opfer für Hacker. Veraltete Systeme und lückenhafte Schutzmaßnahmen führen letztendlich zu einem erhöhten Risiko. Durch erfolgreiche IT-Angriffe können hohe Kosten für Unternehmen entstehen, weshalb finanziell angeschlagene Unternehmen dadurch in existenzielle Schwierigkeiten geraten können. Durch Zugang zum Unternehmensnetzwerk erbeuten Hacker häufig wertvolle geheime Daten, wie Kundendaten oder Patente. Außerdem müssen sehr häufig infizierte Server und Clients ausgetauscht werden, was ebenfalls zu erhöhten finanziellen Aufwendungen führt. Experten sind sich darin einig, dass es sog. „Coronaviren“ schon lange gab. Das jetzt aufgetretene Virus sei eine Abwandlung, die bislang nicht vorkam. Genau so verhält es sich auch mit Malware und Hackingangriffen. Das Vorgehen von Hackern oder grundlegende Typen von Malware sind uns natürlich bekannt. Allerdings sind Hacker daran interessiert die Schutzmaßnahmen der Unternehmen zu umgehen und entwickeln daher neue Malware. Häufig wird Malware schon so programmiert, dass sie sich selbst verändert, um „unter dem Radar“ zu arbeiten, was dann als meta- oder polymorphe Malware bezeichnet wird. Da der Coronavirus in dieser Art noch nie aufgetreten ist, gibt es natürlich bislang keine erprobten Gegenmittel. Viele Antivirenprogramme agieren auf Basis bekannter Signaturen. Bei neuartiger oder sich verändernder Malware ist eine Erkennung natürlich kaum möglich. Daher gibt es auch hier häufig in der ersten Phase kein „Gegenmittel“, da dieses erst durch Analyse der neuen Malware in Form von Signaturen oder Tools „entwickelt“ werden muss. Bei all den Parallelen fällt aber eine besonders ins Gewicht: Man sollte nicht in Panik geraten. Wie kann ich einen Angriff auf mein Unternehmen also möglichst verhindern? Und wie vermeide ich die Panik? Darauf möchte ich im Folgenden noch stichpunktartig eingehen.
- Eines sei gesagt: „Geiz ist geil“ gilt bei der IT-Sicherheit nicht!
- Umsetzung des BSI-Grundschutzes
- Erarbeiten eines mehrstufigen Sicherheitkonzepts
- Regelmäßige Awareness-Trainings für Mitarbeiter
- Perimeterschutz an den relevanten Netzwerkübergängen
- Einsatz von IT-Security-Software (z.B. Intrusion Prevention-/Intrusion Detection-Systeme)
- Regelmäßig Aktualisierung der eingesetzten Software (sowohl operative Software, als auch Virenschutzsoftware)
- Regelmäßige Sicherheitsüberprüfungen (Penetration-Test, Vulnerability Scanning usw.)
- Restriktive Rechtekonzepte
- Einsatz eines mehrstufigen Backup-Konzepts!!
- Ausführliches zentrales Logging hilft bei der schnellen Aufarbeitung des Vorfalls!
Wie vermeide ich nun die Panik?
Dazu eignet sich sehr häufig die Ausarbeitung eines Prozesses für die sog. „Incident Response“. Also: Was passiert, wenn ein Angriff registriert wurde?
Im Rahmen der Erarbeitung des Prozesses kann man sich unter anderem die folgenden Fragen stellen:
- Wer sind die zuständige Personen (IT-Verantwortliche, Geschäftsführung, Systemadministratoren usw.)?
- Wie sind die Meldeabläufe? Wer sind meine externe Ansprechpartner (Forensiker, Behördern usw.)?
- Wie verhindere ich eine Ausbreitung (Ähnlich wie beim Coronavirus: Isolation des infizierten Patienten/Rechners)?
- Wie kann ich zur Aufklärung beitragen? (Logs und auffällige Dateien sichern?)
Hier gäbe es noch sehr viele weitere Tipps, auf die ich in diesem Artikel jedoch nicht abschließend eingehen kann. Gerne können wir uns näher über die IT-Sicherheit unterhalten. Zum Kontaktformular!