In diesem Artikel erfahren Sie, wie Sie sich als Firma, Kommune oder Behörde gegen Hackerangriffe auf die Informationssicherheit sprich die Vertraulichkeit, die Integrität und die Verfügbarkeit Ihrer Daten schützen können.
Welche Branchen sind besonders interessant für Hacker?
In den Medien wird oft von angegriffenen Krankenhäusern und Gesundheitsdaten gesprochen.
Für Hacker sind jedoch alle Daten interessant, die ein gewisses Schutzniveau genießen. In der Informationssicherheit werden die Daten klassifiziert in
- Offen – kein Schutzniveau
- Intern – niedriges Schutzniveau
- Vertraulich – hohes Schutzniveau
- Geheim – sehr hohes Schutzniveau
Je höher das Schutzniveau der Daten ist wie z.B. bei Strategieplanungen von Automobilherstellern, Gesundheits- oder Lohndaten und nicht zuletzt von Zugangsdaten, umso höher ist später auch das zu erwartende Lösegeld der Hacker oder die Summen beim Verkauf dieser Daten im Darknet.
Monatlich werden viele verschiedene Einrichtungen und Branchen in Deutschland mit kleinen bis großen Auswirkungen angegriffen.
Wie gehen Hacker vor?
Hacker nutzen Schwachstellen im Unternehmen, der Kommune oder der Behörde aus, um sich über dieses Einfallstor Zugang auf weitere Teile der IT-Infrastruktur zu verschaffen.
Beispiel: Hackerangriff der FH Münster 06.2022
Die FH Münster geht sehr offensiv mit Ihrem Vorfall um. Sie informierte in einer Präsentation am 10.10.2022 über die Vorgehensweise beim Hackerangriff in 2022.
Die Hacker nutzten laut FH Münster eine organisatorische Schwachstelle bei der Nutzung von Benutzeraccounts aus.
Studenten war es bis dato nicht ausdrücklich untersagt, das Passwort für den Zugriff auf die Dienste der Uni im Homeoffice auch für andere private Accounts zu verwenden.
Es wird davon ausgegangen, dass Studenten Ihr Passwort auch auf weniger gut geschützten Portalen mehrfach verwendet haben und es dadurch zur Offenlegung von Benutzeraccounts der FH Münster kam.
Mit diesen gehackten Benutzeraccounts scannten die Hacker das Netzwerk der FH. Die Hacker lasen den Arbeitsspeicher des Servers aus und speicherten die Daten in eine Datei. In dieser Datei befanden sich Benutzeraccounts, welche jedoch verschlüsselt abgelegt waren. Zum Verhängnis wurde der FH Münster die Darstellung eines Administratorenkennworts in Klartext. Die Server wurden nun mit Windows Boardmitteln gezielt infiltriert und Hintertüren eingebaut. Ziel war es mit einem Knopfdruck alle Server gleichzeitig zu verschlüsseln.
Im Falle der FH Münster wurde das auffällige Nutzerverhalten jedoch bemerkt und es kam nicht zur Verschlüsselung der Server.
Wie können Sie sich nun vor einem Hackerangriffen schützen?
- Wie bereits beschrieben, benötigen Hacker interessante Daten. Diese sind vielen Firmen, Kommunen oder Behörden nicht bewusst.
- Hacker benötigen eine Schwachstelle. Das Auffinden von Schwachstellen können Sie Hackern gezielt erschweren.
Welche Schwachstellen gibt es?
Typische Schwachstellen sind
- Bekannte Softwarefehler (Sicherheitslücken)
- Ungeschützte Passworttabellen
- Unzureichende Authentifizierungsmechanismen
- Falsche Vergabe von Zugriffsrechten
- Ungeschultes Personal
- Fehlende Anweisungen
Die Liste lässt sich natürlich noch in alle Richtungen erweitern. Es besteht oft die Auffassung, dass die IT für die Informationssicherheit zuständig ist. Es wird zwischen IT-Sicherheit, Informationssicherheit und Datenschutz untecshieden. Aus unserer Erfahrung macht die IT des Unternehmens, der Kommune oder Behörde auch immer einen sehr guten Job. Um jedoch alle Schwachstellen der Organisation zu kennen und nach Priorität schließen zu können, sollte ein Prozess eingeführt werden.
Die organisatorischen Schwachstellen gestalten sich, wie am Beispiel des Hackerangriffs der FH Münster zu sehen ist, recht vielschichtig. Es empfiehlt sich fachkundige Beratung in Anspruch zu nehmen.
Diese ist förderbar über den Zuschuss des Förderprogrammes der SAB für Sachsen oder der Aufbau eines ISMS in Bayern.
Schadensbegrenzung nach einem Hackerangriff
Am Beispiel der FH Münster wurden nach dem Angriff folgende Maßnahmen der Informationssicherheit umgesetzt.
- VPN-Zugriff mit 2 Faktor Authentifizierung
- Aufbau eines Notfallmanagements
- Administratoren arbeiten im operativen Tagesgeschäft mit Standardrechten
Wenn Sie Beratung zum Aufbau eines Sicherheitskonzeptes benötigen z.B. nach
Stehen wir Ihnen gern zur Verfügung. Wir betreuen Sie auch als externer Datenschutzbeauftragter oder externer Informationssicherheitsbeauftragter.
