Was tun bei Hacker-Angriffen auf Websites?

Leitfaden für CSOs und IT-Verantwortliche

(28.02.06) - Seit der Veröffentlichung der Karikaturen des Propheten Mohammed ist die Zahl der Hacker-Angriffe deutlich gestiegen. Bestimmte Einzelpersonen und Organisationen scheinen Hacker-Angriffe als die optimale Methode zu erachten, um ihre Meinung kundzutun. Von den Hacker-Angriffen auf Websites und der Verunstaltung von Web-Seiten ist vor allem Dänemark betroffen, das Land, in dem die Karikaturen erstmals veröffentlicht wurden. Es ist davon auszugehen, dass solche zerstörerischen Angriffe in Zukunft noch häufiger als Protestaktionen gegen Organisationen eingesetzt werden. Für den Fall, dass auch Ihre Organisation einem derartigen Angriff ausgesetzt ist, ist es wichtig, dass bereits vorab einige vorbereitende Maßnahmen getroffen wurden.

Jede Organisation sollte über eine Strategie zur Vorgehensweise bei Sicherheitsvorfällen - einen sog. Incident-Response-Plan - verfügen, um für zerstörerische Internet-Angriffe gewappnet zu sein. Dadurch kann das Bewusstsein für die allgegenwärtige Gefahr von Hacker-Angriffen geschärft werden, und es können im Incident-Response-Plan genaue Abhilfemaßnahmen festgelegt werden, falls wirklich einmal ein Sicherheitsvorfall eintreten sollte. Wenn ihr Unternehmen einem Hacker-Angriff zum Opfer fällt, bleibt oft keine Zeit mehr, um einen Incident-Response-Plan zu erstellen, da es so viel anderes zu tun und zu erledigen gibt.

In einem Incident-Response-Plan sollten die folgenden Themen behandelt werden:

1. Welche Abhilfemaßnahme würden Sie als erstes ergreifen?

Dies ist die wahrscheinlich wichtigste Frage, die es zu klären gilt. Die normale Reaktion wäre, den manipulierten Computer sofort vom Internet zu trennen und nicht mehr zu verwenden. Stattdessen sollten Sie vielmehr die gesamten Daten des Computers unverändert auf einen anderen PC kopieren, auf dem Sie untersuchen können, wie der Hacker-Angriff zustande kommen konnte, wann und von wem er durchgeführt wurde usw. Der Computer, auf dem der Angriff stattfand, ist ein wichtiges Beweisstück und sollte in keiner Weise verändert werden.

Im Optimalfall haben sie bereits einen anderen Computer vorkonfiguriert, durch den Sie den manipulierten Computer ersetzen können, um Ihre Website schnellstmöglich wieder funktionsfähig zu machen. Unter Umständen kann es sogar von Vorteil sein, den manipulierten Computer als Köder online geschaltet zu lassen, falls Sie einen erneuten Hacker-Angriff auf den Computer erwarten. Dies kommt jedoch nur in den seltensten Fällen vor.

2. Wie kam es zu dem Angriff?

Um sich vor wiederholten zerstörerischen Angriffen auf Websites zu schützen, ist es von äußerster Wichtigkeit, herauszufinden, wie der Angriff zustande kam. War die Ursache ein unsicheres Kennwort oder die Ausnutzung von nicht behobenen Sicherheitslücken in einem Softwarepro-gramm? Hätten Sie den Angriff verhindern können, z. B. durch strengere Richtlinien für die Bereitstellung von Programm-Patches? Könnte ein solcher Sicherheitsvorfall durch In-Kraft-Setzen einer Unternehmensrichtlinie vermieden werden, oder wurde in diesem Fall eine vorhandene Sicherheitsrichtlinie umgangen oder übersehen?

3. Wer steckt hinter dem Angriff?

Die Antwort auf diese Frage kann entscheidend sein.

Wurde der Angriff von einem Insider ausgeführt, müssen Sie unbedingt herausfinden, um wen es sich handelt, um umgehend entsprechende Maßnahmen ergreifen zu können. Wenn es sich bei dem Angreifer nicht um einen Mitarbeiter handelt und er auch nicht der zuständigen Gerichtsbarkeit untersteht, wird die Angelegenheit sehr komplex, insbesondere dann, wenn der Angriff von einem anderen Land ausging. Die Rechtsprechung zur Computerkriminalität ist von Land zu Land verschieden.

4. Sind Sie von Gesetzes wegen oder aufgrund von anderen Regelungen verpflichtet, den Sicherheitsvorfall zu melden?

Es gibt verschiedene Regelungen in verschiedenen Ländern, nach denen Sie verpflichtet sind, Sicherheitsvorfälle wie den hier beschriebenen zu melden. Sie sollten herausfinden, was die Rechtsprechung in Ihrem Land vorsieht.

5. Haben Sie vor, Anzeige gegen den Täter zu erstatten?

Laut der US-amerikanischen Studie der CSI und des FBIs zur Computerkriminalität erstatteten nur 34 Prozent der Befragten Anzeige wegen Hacker-Angriffen. Viele Organisationen möchten solche Angriffe aufgrund möglicher negativer Publicity nicht melden. Sie sollten sich über diesen Punkt klar werden, bevor ein Angriff auf Ihre Organisation ausgeübt wird.

6. Was ist das Fazit aus dem Sicherheitsvorfall?

Hoffentlich werden Sie nie mit einem zerstörerischen Angriff auf Ihren Web-Server konfrontiert. Sollte es jedoch trotzdem dazu kommen, sollten Sie sich nach der Behebung des Sicherheits-vorfalls die nötige Zeit nehmen, um diesen genau zu analysieren und herauszufinden, wie es überhaupt dazu kommen konnte. Außerdem sollten Sie entsprechende Maßnahmen ergreifen, damit solche Vorfälle zukünftig vermieden werden können. Dies beinhaltet auch, die Mitarbeiter in neuen und überarbeiteten Verfahren zu schulen. (Norman: ra)