Page 39 - 2021_01_DIEMACHER_web
P. 39
Wir machen regelmäßig
die Erfahrung, dass
Angriffe mehrere Monate
gar nicht auffallen.
Ullrich Fleck
Geschäftsführer, SEC Consult
artige Dateien erst gar nicht den Weg zum Emp-
fänger finden. Hier wird dann oftmals veraltete
Software ausgenutzt, um sich Zugang zu verschaf-
fen. Aber natürlich spielt dabei auch wieder der
Faktor Mensch eine große Rolle, der die Datei
letztendlich öffnet.
Ist der Mensch die größere Schwachstelle
als die technische Komponente?
PRINZ_Es ist die Kombination. Menschen wer-
den immer Fehler machen – egal wie gut sie
informiert sind. Im Idealfall wird daher der An-
griffsversuch bereits durch technische Gegen-
maßnahmen abgewehrt, wie Antivirensoftware,
Endpoint-Protections und Anomalie-Erkennun- PRINZ_Man muss also immer das Dreigespann
gen im System. Wenn man wirklich ganz gezielt „People, Process und Technology“ im Blick haben.
in das Visier von hochprofessionellen Hackern Ein Unternehmen muss die technischen Vorkeh-
gerät, werden aber wahrscheinlich auch die bes- rungen getroffen haben, um nachvollziehen zu
ten Schutzmechanismen nicht greifen. Man darf können, was genau passiert ist: Ist nur ein Rech-
nicht vergessen: Als Verteidiger muss man alle ner betroffen oder das gesamte Unternehmen?
möglichen Sicherheitslücken im Blick haben und Wurden Daten gestohlen? Wurde etwas manipu-
kontrollieren können, während die Angreifer nur liert? Und neben diesen technischen Aspekten ist
einen einzigen Weg hinein finden müssen. Dieses es dann ganz wichtig, einen Krisenmanagement-
Ungleichgewicht macht es für die Angreifer na- plan zu haben. Bei größeren Unternehmen kann
türlich wesentlich einfacher. Aber vielschichtige so ein Schaden in die Millionenhöhe gehen. Die
Vorkehrungsmaßnahmen sorgen dafür, dass zu- Organisation muss wissen: Wen rufe ich jetzt an?
mindest eine überwältigende Mehrzahl der An- Wie soll ich mich verhalten, um den Schaden
griffe abgewehrt werden kann. zu begrenzen? Und was darf ich auf keinen Fall
mehr machen? Da braucht man dann unbedingt
Was sind die wichtigsten Schritte, die eine Expertentruppe parat, die möglichst schnell
sofort eingeleitet werden müssen, wenn den Normalzustand wiederherstellen kann. Wenn
man Opfer eines Cyberangriffs wurde? man sich erst Gedanken über die Lösung macht,
Wie sehen die konkreten Erstmaßnahmen nachdem man bereits gehackt wurde, verliert man
aus? wertvolle Zeit.
FLECK_Zuerst muss man den Angriff überhaupt Ein gutes Drittel der österreichischen
einmal bemerken. Neben den offensichtlichen Unternehmen kann den finanziellen
Methoden wie der Ransomware, mit der Hacker Schaden nach einem Cyberangriff nicht
die Systeme verschlüsseln und darauf abzielen, beziffern. Wie erklären Sie sich das?
dass der Gehackte den Angriff mitbekommt,
um Lösegeld zu verlangen, gibt es auch die PRINZ_Weil es enorm schwierig ist, den Finger
Kategorie der Advanced-Persistant-Threats. Die auf eine konkrete Zahl zu legen. So ein Angriff
APTs wollen ganz bewusst nicht auffallen. Sie zieht einen enormen Rattenschwanz nach sich.
finden extrem langsam und über einen längeren Eine Zeit lang muss man interne und wahrschein-
Zeitraum statt, um sukzessive Daten abzugreifen. lich auch externe Mitarbeiter auf den Vorfall ab-
Dabei versuchen die Hacker auch, ihre Spuren stellen und kann dadurch dem Tagesgeschäft nur
aktiv zu verwischen. In der Praxis machen wir eingeschränkt nachgehen. Wenn man beispiels-
regelmäßig die Erfahrung, dass solche Angriffe weise als Aktiengesellschaft seine Zahlen nicht
mehrere Monate gar nicht auffallen. Es gibt Stu- rechtzeitig ausschicken kann, weil die Daten ver-
dien, die sogar von bis zu 226 Tagen im Schnitt schlüsselt sind, hat das einen großen Einfluss auf
sprechen. Und dann wird die Ursachenforschung den Unternehmenswert. Das lässt sich nicht so
selbst für den IT-Forensiker schwierig. einfach beziffern.
39
