Gehackt worden – und jetzt?

Cyberkriminalität ist mittlerweile allgegenwärtig. So berichteten beispielsweise in einer aktuellen Umfrage des Versicherers Hiscox ganze 58 Prozent der deutschen Unternehmen, 2023 von wenigstens einer Attacke betroffen gewesen zu sein. Das bedeutet nicht nur eine Steigerung von 12 Prozent gegenüber den beiden Vorjahren (die ihrerseits aufgrund von Corona bereits sehr „angriffsstark“ waren), sondern bringt Deutschland auf einen traurigen zweiten Rang weit vor Staaten wie den USA – nur in Irland schlugen Hacker noch häufiger zu.

Was Firmen tun können, um solche Angriffe möglichst zu unterbinden, wird an zahlreichen anderen Stellen erläutert. Dabei sei deutlich unterstrichen, wie wichtig es ist, sämtliche Digitalisierungsbestrebungen auf ein professionelles Niveau zu heben. Das ist einer der Gründe, warum das vielfältige Konzept von Everything as a Service so erfolgreich ist: Alles wird von Profis als deren Kerngeschäft betrieben, ist dadurch meist viel leistungsfähiger als das, was sich inhouse aufbauen ließe – nicht zuletzt in Sachen Cybersicherheit. Gleichsam helfen solche Dienstleistungsverträge dabei, nach einem Angriff alles Weitere in die Wege zu leiten.

Doch was ist zu tun, wenn der „Super-GAU“ geschehen ist? Wenn es einen Angriff gab, das metaphorische Kind in den Brunnen gefallen ist? Wie sollte man als Unternehmen vorgehen, nachdem eine Attacke erkannt und irgendwie beendet oder abgewehrt wurde? Wir zeigen es jetzt. Aufmerksame werden dabei erkennen, wie hilfreich es an vielen Stellen sein kann, professionelle Hilfe in Anspruch nehmen zu können.

Hinweis: Der Leserlichkeit geschuldet müssen diese Schritte hintereinander aufgelistet werden. In der Praxis wird jedoch vieles davon überschneidend oder gänzlich parallel erfolgen.

1. Die Beweise sichern

Jeder Cyberangriff, ganz egal welcher Art und wie erfolgreich oder erfolglos er war, ist eine Situation, die schlichtweg kein Übergehen zum Tagesgeschäft gestattet. Denn an der Basis ist es nötig, den gesamten Angriff aus allen Perspektiven heraus so transparent wie möglich zu machen.

Einer der wichtigsten Schritte dazu ist es, so früh wie möglich sämtliche Spuren und sonstigen Beweise zu sichern. Das erfordert es, am besten noch während eines laufenden Angriffs, alle Möglichkeiten zum Logging zu nutzen – und zwar in höchstmöglicher Detailtiefe.

Dazu ist es mitunter nicht nur wichtig, ein vollständiges Logging manuell zu aktivieren (anstelle von normalerweise weniger detaillierten Alltagsbetriebs-Logs), sondern ebenso sämtliche automatischen Überschreibungen zu deaktivieren. Ebenfalls müssen all diese Informationen bis hin zu schnell angefertigten Screenshots auf anderen Datenträgern gesichert werden. Dies dient sowohl ihrer detaillierteren Auswertung als auch der Kriminalitätsbekämpfung.

2. Offizielle Stellen informieren

Selbst ein versuchter Cyberangriff muss zur Anzeige gebracht werden. Dafür gibt es die Zentralen Ansprechstellen Cybercrime der Länderpolizeien speziell für Unternehmen. Dieses „muss“ hat mehrere Gründe:1. Es besteht zumindest die Möglichkeit, dass durch den Angriff die Meldepflicht der DSGVO greift. 2. Offizielle Stellen können sehr leistungsfähige (und über die Steuern bereits bezahlte) Schützenhilfe bei allen weiteren Schritten liefern.3. Anzeigen sind meist eine Grundvoraussetzung, um Versicherungsleistungen erhalten zu können.4. Kein Hacker wird nur dieses eine Unternehmen angreifen. Alle Angriffsinformationen können deshalb wertvolle Puzzlesteine für die Ermittler sein, die ein Gesamtbild ergeben – und vielleicht zur Ergreifung führen.

Zudem sollten Unternehmer eines bedenken: Die Ermittler haben kein anderes Interesse als Aufklärung und Verhinderung neuer Angriffe. Es sollte ihnen daher so einfach wie möglich gemacht werden. Das bedeutet vor allem transparenten Zugang.

3. Relevante Dritte informieren

Falls der Angriff Folgen für die persönlichen Daten von Kunden oder anderen Dritten hatte, müssen diese schon aufgrund der DSGVO informiert werden. Doch selbst abgesehen von dieser Pflicht sollten Unternehmen versuchen, eine möglichst saubere interne und externeKrisenkommunikation zu betreiben. Die wichtigsten Kernfakten hierzu:• Frühzeitig, aber nicht verfrüht informieren, sondern erst dann, wenn es gesicherte Informationen zum Übermitteln gibt und nichts von Wert (mehr) an die Täter durchgestochen werden kann.• Transparent und vollständig informieren.• Nichts beschönigen/verharmlosen, aber ebenso nichts überdramatisieren.• Interne Kommunikation geht vor externer Kommunikation.• Nur den aktuellen Wissensstand kommunizieren, keine Mutmaßungen anstellen – und nichts herausgeben, was die Ermittlungen beeinträchtigen könnte.

Bitte immer bedenken: Je schwerer der Angriff und je weniger transparent und ehrlich die Kommunikation war, desto herber kann der Vertrauensverlust seitens Kunden, Partnern und Mitarbeitern sein. Dieser Schaden kann leicht denjenigen der eigentlichen Attacke übersteigen.

Naturgemäß müssen Art, Umfang und Tonalität der Krisenkommunikation zur Attacke passen. Bei einem eher harmlosen Virenangriff beispielsweise wäre es wohl überzogen, gleich umfassende Pressemeldungen herauszugeben.

4. Sichern, aufräumen und Lücken schließen

Viele Cyberangriffe lassen sich mit einem herkömmlichen Einbruch vergleichen. Insofern gibt es ebenfalls einige Parallelen zu dem, was nun ansteht:• Sichern: Selbst, wenn der Einbrecher mutmaßlich über alle Berge ist, würde keine Polizeistreife den Ort verlassen, ohne Haus und Wohnung komplett zu durchsuchen. In digitaler Hinsicht bedeutet es so viel wie sicherstellen, dass der Angriff keinerlei bislang unerkannte „trojanische Pferde“ (nicht nur im Sinne von Trojanern gesprochen) hinterlassen hat. Das bedeutet, sämtliche Systeme müssen analysiert werden.• Aufräumen: Was zuhause das durchwühlte Wohnzimmer, ist in diesem Fall alles, was die Hacker bei ihrem Tun sprichwörtlich „verwüstet“ haben. Die Arbeit umfasst also bei Dateien, Updates, Programmversionen etc. das Wiederherstellen des Zustandes vor dem Angriff.• Lücken schließen: Die Wohnung bekommt nicht nur die kaputte Tür ersetzt, sondern direkt eine, die deutlich mehr Schutz bietet. Analog dazu wird die Lücke, über die der Angriff erfolgen konnte, geschlossen. 

Letzteres müssen wir noch etwas präzisieren: Selbst eine gescheiterte Attacke sollte stets der Anlass sein, um die Gesamtsicherheit des Systems einer kritischen Evaluierung zu unterziehen. Denn nur, weil die Sicherheit diesmal ausreichte, bedeutet das nicht, es könnte nicht morgen schon völlig anders sein.

Ebenso sollte bei einem erfolgreichen Angriff niemals nur dessen Vektor besser geschützt werden. Denn die Erfahrung zeigt eines ganz deutlich: Eine Firma, die einmal ins Fadenkreuz von Cyberkriminellen geriet, wird auch künftig mit gewisser Wahrscheinlichkeit wieder attackiert werden; dann womöglich über andere Zugangswege.

Nach dem Angriff ist daher nicht nur sprichwörtlich vor dem Angriff. Und jede Attacke sollte bis aufs Letzte durchleuchtet werden, um so viele wichtige Lehren wie nur möglich für die Zukunft zu ziehen. 

Übrigens: Sofern noch nicht geschehen ist spätestens jetzt der Zeitpunkt, um sich mit einerVersicherung zusammenzusetzen. Denn hundertprozentige Sicherheit gibt es nie – und eine Cyberversicherung kann zumindest ruinöse Schäden abwehren helfen.