Suchen

Kaum ein Begriff ist derart präsent in den Nachrichten, löst derart viel Unbehagen aus und stößt dennoch kaum geeignete Reaktionen an. Hacking und gehackt zu sein, das klingt gefährlich, aber mir wird es wohl nicht passieren. Denn Hacking, was auch immer es eigentlich ist, passiert doch nur denen, bei denen es sich lohnt, zum Beispiel Parteien oder Politikern eben. Und wahrscheinlich kann man da tatsächlich nicht viel machen, wenn diese digitalen Angriffe plötzlich, aus dem Ausland gesteuert auf einen hereinbrechen.

Es ist Zeit, mit den Mythen rund ums Hacking aufzuräumen und einen klaren Fahrplan zu schmieden. Ob Individuen, Unternehmen oder Behörden, es ist gefährlich, in der digitalen Welt die Tür weit offen stehen zu lassen, wenn man das Haus verlässt.

1. Wie erkenne ich, dass mein Server gehackt wurde?

Jede angemessene Reaktion oder Prävention setzt in einem ersten Schritt die Kenntnis des Vorfalles voraus. Für das Bemerken eines Hackerangriffes ist es wichtig, anzuerkennen, dass dieser  angesichts der Komplexität des Hacking-Begriffes nicht immer unmittelbar und eindeutig erkannt werden kann, es vielmehr einer Sensibilität gegenüber Warnsignalen bedarf.

1.1 Zunächst zum Grundverständnis

Seit den 70er Jahren wird der Begriff Hacken als Überwinden von Sicherheitsbarrieren verstanden, zunehmend mit dem Ziel in fremde digitale Systeme einzudringen. Diese Tätigkeit wurde dabei nicht nur im negativen Sinn, sondern durchaus auch positiv mit dem Ziel gedacht, Sicherheitslücken aufzuspüren, nicht zuletzt auch bereits seit 1981 durch die Gründung des Chaos Computer Clubs. Hacken impliziert also keine bestimmte, als feindlich oder auch freundlich zu bewertende Intention. Es werden auch keine bestimmten Methoden vorausgesetzt, sodass die bisher bekannten Mittel bereits jetzt unzählbar sind (z.B. Cross-site scripting oder SQL-Injection). Schließlich sind auch die Konsequenzen mannigfaltig. Es sind zum Beispiel sowohl Daten, Software, Accounts als auch ganze IT-Systeme betroffen, die auf unterschiedlichste Art und Weise beeinträchtigt sein können. Die Komplexität und gesellschaftliche Bedeutung lassen sich in Bezug auf die Cybersicherheit schließlich am besten durch Verweise auf den BSI-Lagebericht, die Bitkom-Presseinformationen oder das Allianz Risk Barometer verdeutlichen.

1. 2 Warnsignale für einen gehackten Server

Es ist also höchste Wachsamkeit und Vorsicht geboten. Jeder Verdacht und jede Unregelmäßigkeit sollte überprüft werden. Schnelles Handeln ist geboten. Folgende Auffälligkeiten sollten zum Beispiel als Warnsignale für einen gehackten Server gelten:

  • Ungewöhnlicher Server-Traffic
  • Ungewöhnliche Login-Versuche und Anmelde-Aktivitäten
  • Ungewöhnliche Systemleistung und langsame Reaktionszeiten
  • Veränderte oder unbekannte Dateien auf dem Server
  • Ungewöhnliche Änderungen an Datenbanken oder anderen gespeicherten Daten
  • Meldungen oder Benachrichtigungen von Dritten

Jedes dieser Warnsignale kann zur Erkennung und Aufklärung möglicher Vorfälle mit eigenen Methoden überprüft werden (zu vorbeugenden Maßnahmen siehe Ziffer 4). Jedenfalls innerhalb größerer Organisationen sollten diese Methoden in Verbindung mit den jeweiligen Prozessen in einem Notfallplan vorbereitet werden. Dieser Notfallplan sollte regelmäßig überarbeitet und aktualisiert werden. Insbesondere bedarf es konkreter Ansprechpartner, um die Handlungsfähigkeit bereits zu gewährleisten, wenn nur einzelne Individuen ein „ungutes“ Gefühl haben.

2. Wie reagiere ich, wenn mein Server gehackt wurde?

Wenn Ihr Server gehackt wurde, gilt es zwar umso mehr, schnell und überlegt zu reagieren, dennoch ist es entscheidend, dass Sie die Ruhe bewahren und die Situation analysieren. Ob und welche Schäden entstehen, hängt maßgeblich von der Angemessenheit und Geschwindigkeit Ihrer Reaktion ab. Sie sollten daher bereits mit dem nachfolgenden Maßnahmenkatalog beginnen, bevor letzte Zweifel darüber beseitigt wurden, dass Ihr Server gehackt wurde. Parallel sind rechtliche (Melde-)Pflichten zu beachten, denen teilweise innerhalb von wenigen Tagen nachgekommen werden muss, und es ist eine unmittelbare und transparente Außenkommunikation ratsam.

2.1 Interne Maßnahmen

Der nachfolgende Maßnahmenkatalog stellt eine allgemeine Auflistung wichtiger Schritte vor, die je nach Art des Hackings variieren können. Ziel ist es, den exakten Umfang eines Hacks zu identifizieren, dem Hacker den Zugriff zu entziehen und die Konsequenzen des Hackings rückgängig zu machen. Entscheidend ist insofern, dass Sie Ihre Reaktion in Hinblick auf den spezifischen Hack anpassen und die Reaktionen möglicherweise priorisieren. Hierfür ist die Unterstützung durch eine IT-Expertin / einen IT-Experten zwingend erforderlich. Es sollten Ansprechpartner und unmittelbare Kommunikationswege im Vorwege definiert sein.

Mit diesen Maßnahmen können Sie den Zugriff des Hackers auf Ihren Server beenden:

  1. Trennen Sie in einem ersten Schritt den Server vom Netzwerk (Trennen der Netzwerkkabel oder Deaktivieren der Netzwerkverbindungen), um zu verhindern, dass der Hacker weiterhin Zugriff auf den Server hat oder Schaden anrichten kann.
  2. Setzen Sie die Passwörter, die Mehrfaktorauthentifizierung sowie die hierfür zugelassenen Endgeräte und Applikationen vollständig zurück.

Mit diesen Maßnahmen können Sie die Folgen des Hacks beseitigen:

  1. Überprüfen Sie die Zugriffs- und Fehlerprotokolle, um Auskunft über die IP-Adressen, von denen aus auf den Server zugegriffen wurde, und über durchgeführte Aktionen zu erhalten.
  2. Verwenden Sie zuverlässige Tools, um den Server auf Malware oder andere schadhafte Software zu überprüfen. Mit einer manuellen Untersuchung können Backdoor-Programme identifiziert werden, die nicht ohne weiteres identifizierbar sind.
  3. Führen Sie eine detaillierte forensische Untersuchung durch, um zu verstehen, wie der Hacker in das System eindringen konnte und welche Systeme und Daten möglicherweise wie beeinträchtigt wurden.
  4. Setzen Sie den Server ggf. vollständig neu auf, um sicherzustellen, dass keine Backdoor-Programme oder anderer schadhafter Code zurückbleiben. Dabei können Sie optimalerweise auf ein sauberes, nicht kompromittiertes Back-Up zurückgreifen, um insbesondere Ihre Daten wiederherzustellen.

2.2 Externe Pflichten

Neben der internen Bewältigung unterliegen Sie unter Umständen rechtlichen (Melde-)Pflichten. Die nachfolgenden Pflichten sind nur beispielhaft und abstrakt aufgelistet. Die konkreten Pflichten können nur durch eine Prüfung im Einzelfall bestimmt werden. Hierfür ist Unterstützung durch eine interne Rechtsabteilung oder externe Rechtsberatung zwingend erforderlich.

  • Datenschutzverletzung: Nach Artikel 33 DSGVO sind Sie im Falle einer Betroffenheit personenbezogener Daten, sei es durch Löschen, Verändern oder Übertragen, grundsätzlich verpflichtet, den Vorgang, auch hinsichtlich der Auswirkungen und der ergriffenen Abhilfemaßnahmen, zu dokumentieren und binnen 72 Stunden an die zuständige Aufsichtsbehörde zu melden. Die Meldepflicht entfällt nur, wenn kein Risiko für die Rechte und Freiheiten natürlicher Personen besteht, wobei die Risikobewertung zum Beispiel in den Leitlinien des European Data Protection Board näher erläutert wird.
  • Kritische Infrastruktur: Nach § 8b Abs. 4 BSIG (in der noch aktuellen Fassung) müssen Sie als Betreiber einer kritischen Infrastruktur außerdem bereits eingetretene sowie bevorstehende erhebliche Störungen von informationstechnischen Systemen mit Auswirkung auf die Funktionsfähigkeit der kritischen Infrastruktur unverzüglich an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden.
  • Digitale Dienste: Nach § 8c Abs. 3 BSIG (in der noch aktuellen Fassung) müssen Sie als Anbieter eines digitalen Dienstes jeden Sicherheitsvorfall mit erheblichen Auswirkungen an das Bundesamt für Sicherheit in der Informationstechnik melden. In den FAQ des BSI zur Regulierung von Anbietern digitaler Dienste wird diese Meldepflicht näher erläutert.
  • Zahlungsdiensteanbieter: Nach § 53 Absatz 2 ZAG müssen Sie als Zahlungsdienstleister einmal jährlich eine aktuelle und umfassende Bewertung der operationellen und sicherheitsrelevanten Risiken im Zusammenhang mit den von Ihnen erbrachten Zahlungsdiensten übermitteln, wobei die BaFin hierfür mittels eines Rundschreibens ein Formular bereitgestellt hat.

Sie können darüber hinaus Strafanzeige erstatten und dadurch auch eine strafrechtliche Aufklärung anstoßen. Die Zentralen Ansprechstellen Cybercrime unterstützen Sie dabei.

2.3 Weitere Außenkommunikation

Schließlich ist eine angemessene Außenkommunikation auch unabhängig von rechtlichen Verpflichtungen ratsam. Insbesondere, wenn Accounts oder Daten von Kunden oder sonstigen Geschäftspartnern unmittelbar betroffen sind, und sich die Betroffenheit ggfs. auch bemerkbar gemacht hat, stärkt eine schnelle und transparente Information das Vertrauen in Ihre Organisation. Denn gemäß der dargestellten Omnipräsenz von Hacker-Angriffen beeinflusst nicht der Umstand eines Hacker-Angriffes als solcher, sondern vielmehr die Art und Weise des Umgangs und der Kommunikation mit diesem, wie Sie und Ihre IT-Sicherheit nach Außen wahrgenommen werden. Es bedarf einer klaren und bewussten Kommunikationsstrategie.

3. Exkurs: Besonderheiten bei einem gehackten Account

Es bleibt zu beachten, dass die bisherigen Darstellungen sich auf einen gehackten Server beziehen. Die Warnsignale und Reaktionsschritte variieren, wenn sich der Hackerangriff zum Beispiel auf einen persönlichen Account, wie den E-Mail Account, gerichtet hat, ohne dass ein gesamtes IT-System betroffen ist. Warnsignale für einen gehackten Account können sein, dass Anmeldungen an fremden Geräten verzeichnet wurden, sich die Zugangsdaten geändert haben oder fremde Aktivitäten innerhalb des Accounts stattfanden, zum Beispiel E-Mails versendet wurden. Für eine angemessene Reaktion stellt sich die entscheidende Frage, ob Sie weiterhin auf Ihren Account zugreifen können. Sofern ein Zugriff weiterhin möglich ist, gilt es insbesondere, die Passwörter zurückzusetzen. Für weitere Reaktionen wird auf die Veröffentlichung des Bundesamtes für Sicherheit in der Informationstechnik verwiesen.

4. Wie verhindere ich, dass mein Server gehackt wird?

Einen absoluten Schutz vor Hacker-Angriffen gibt es nicht. Um deren Erfolgschancen jedoch zu minimieren, sollten Sie nicht nur die Warnsignale beachten und im Falle eines Angriffes angemessen reagieren, sondern auch regelmäßige Maßnahmen durchführen. Wichtig ist, dass Sie die nachfolgenden Vorschläge auf Ihre spezifische Situation anpassen und eine eigene Infrastruktur entwerfen.

  • Setzen Sie robuste Sicherheitslösungen wie Firewalls und Intrusion Detection Systems ein, um unbefugte Zugriffe frühzeitig zu erkennen und zu blockieren.
  • Führen Sie regelmäßige Software-Updates durch, um bekannte Sicherheitslücken zu schließen.
  • Führen Sie regelmäßige Sicherheitsüberprüfungen und Penetrationstests durch, um potenzielle Schwachstellen in Ihrem System zu identifizieren, bevor ein Hacker sie ausnutzen kann.
  • Führen Sie Schulungen durch, sodass Ihre Mitarbeiter in der Lage sind, die Warnsignale zu erkennen und angemessene Reaktionen einzuleiten.
  • Richten Sie automatische Sicherheitshinweise ein, um die Sicherheitskompetenz und das Sicherheitsbewusstsein an entscheidender Stelle zu fördern.
  • Gewähren Sie nur erforderlichen Nutzern und Prozessen Zugriff auf den Server.
  • Führen Sie regelmäßige Back-Ups durch, um eine möglichst hohe Datensicherheit zu gewährleisten.

Auch hinsichtlich der Prävention von Hacker-Angriffen auf Accounts gelten Besonderheiten, für die auf die Veröffentlichung des Bundesamtes für Sicherheit in der Informationstechnik verwiesen wird.

lasse kamin planit legal

Lasse Kamin

Associate

E-Mail: lasse.kamin@planit.legal
Telefon: +49 (0) 40 609 44 190

Suche

Kategorien

Schlagwörter

Abmahngate Abmahnung Abnahme agile Projektentwicklung Auftragsverarbeitung B2C BDSG Bitcoin Bussgeld Cloud Computing Cookies Corona Datenhehlerei Datenschutz Datensicherheit DiGA Dokumentation DSGVO E-Commerce E-Mail ePrivacy-Richtlinie EuGH Facebook Gesundheitsanwendungen Influencer internationaler Datentransfer IT-Sicherheitsgesetz Kopieren Marketing PAuswG Personalausweis Privacy Shield Safe-Harbor Scannen Scrum Telemediengesetz TMG Tracking Transparenz Verschlüsselung Videoüberwachung Vorratsdatenspeicherung Werkvertrag Wildkamera WordPress

Autoren