Angreifer gewähren lassen??

Was tun Sie, wenn Ihr Unternehmen gehackt wurde? Sofort alle Stecker ziehen, die gesamte IT stilllegen? Diese Maßnahme ist so radikal, dass es so gut wie nie gemacht wird. Die Schäden, die dabei entstehen, sind zu groß.

Können Sie sich Ihr Unternehmen „unplugged“ vorstellen? Steckerziehen ist nur sinnvoll, wenn der Angriff ohnehin dabei ist, alles lahmzulegen. Bei dem gigantischen Angriff auf den Ölkonzern Aramco war das der Fall.  Sind die Angreifer jedoch auf Spionage aus und nicht auf Zerstörung, sieht die Sache anders aus. Wie wehrt man einen konkreten Spionage-Angriff am besten ab? Sofort alles dichtmachen, die gehackten Zugänge schließen? Auch das könnte der falsche Weg sein. Es kann dabei nämlich leicht passieren, dass man etwas übersieht.

Vielleicht haben die Angreifer mehr Zugänge und Backdoors angelegt, als zunächst ersichtlich ist. Übereilte Reaktionen spielen dann den Angreifern in die Hände. Viele Unternehmensnetze sind zudem viel zu groß. Es ist gar nicht möglich, sämtliche Standorte und IT-Systeme gleichzeitig abzudichten. Wird aber zu langsam gesichert, warnt man damit die Angreifer. Diese können dann ihrerseits Gegenmaßnahmen gegen die Abwehr ergreifen. Sie können schlummernde Skripte getarnt als Zeitbomben ablegen oder PCs, die bereits als „bereinigt“ gelten, aus dem Inneren des Netzwerks erneut infizieren. Es ist daher bei solchen Angriffen am besten, die Hacker zunächst gewähren zu lassen und sie genau zu beobachten.

Die Cyber-Abwehr des Stahlkonzerns ThyssenKrupp ist exakt so vorgegangen, als das Unternehmen im Laufe des Jahres 2016 von Industriespionen angegriffen wurde. Die Aktivitäten der Angreifer im Netzwerk wurden monatelang heimlich observiert. Parallel dazu entwickelte man ein Bündel von Gegenmaßnahmen. Dieses wurde später an nur einem Wochenende ausgerollt, um damit die gesamte IT des Unternehmens wieder zu sichern.

Wie sieht es in Ihrem Unternehmen aus? Wäre Ihre IT-Abteilung in der Lage, einen Angriff so besonnen und effektiv abzuwehren?