Erste Hilfe nach einem Hackereinbruch

Für die erste Reaktion auf einen Cyberangriff gibt es keinen einfachen Fahrplan. Bevor man mit der Behandlung einer Notfallsituation durch einen Angriff auf die eigene IT-Infrastruktur beginnt, muss man sie erst einmal als solche erkennen. Bei einer Ransomware mit Erpressungsbrief kommt diese Erkenntnis vergleichsweise schnell, obwohl das Ausmaß nicht immer sofort sichtbar ist. Schwieriger wird das bei einem Angriff, der nicht von selbst auf sich aufmerksam macht. Dabei gibt es verschiedene Stufen: Ein Crypto-Miner möchte zwar unentdeckt bleiben, fällt aber trotzdem irgendwann auf – sei es durch die Alerts im Monitoring über die CPU-Auslastung oder die Rechnung des Cloud-Providers. Bot­netz-­Infektionen verraten sich oft durch ihren Datenverkehr. Den gezielten Angriff durch einen qualifizierten Industriespion entdecken die Administratoren ­hingegen oft nur zufällig, genauso wie Angriffe interner Mitarbeiter oder von Partnerunternehmen.

Die Erkenntnis, dass es sich um einen schwerwiegenden Vorfall handelt, reift also mit sehr unterschiedlicher Geschwindigkeit. Bei den ersten Beobachtungen und Untersuchungen ist noch unklar, welches Ausmaß er hat und ob überhaupt ein Schaden eingetreten ist. Ist der Verdacht, dass ein schwerer Vorfall vorliegt, erst einmal erhärtet, wird es oft hektisch – jetzt gilt es, viele Schritte unter hohem Zeitdruck parallel durchzuführen.