Fünf Tipps für den Umgang mit Schadsoftware im Firmennetz Keine Angst vor Schadsoftware
16. April 2015Daten und IT-Systeme gegen Cyber-Angriffe und den Befall mit Schadsoftware abzusichern, hat im digitalen Zeitalter für Unternehmen und öffentliche Einrichtungen höchste Priorität. Aber trotz aller Schutzmaßnahmen und Umsicht der Mitarbeiter kann es vorkommen, dass Malware auf Rechner und Mobilgeräte im Firmennetzwerk gelangt. Doch dann ist guter Rat teuer – außer wenn man die fünf Tipps beherzigt, die der Sicherheitsexperte ESET den Anwendern mit auf den Weg gibt.
Cyber-Kreativität
Cyber-Kriminelle haben eine bemerkenswerte Kreativität entwickelt, um Trojaner, Viren, Spyware und andere Schädlinge auf IT-Systemen einzuschleusen – etwa mittels Phishing-E-Mails mit manipulierten Datei-Anhängen oder gehackten Web-Sites, die sie mit Schadsoftware hinterlegen. Daher kann es trotz aller Schutzmaßnahmen und Umsicht der Mitarbeiter vorkommen, dass Malware auf Rechner und Mobilgeräte im Firmennetzwerk gelangt. Wenn eine IT-Sicherheitssoftware Alarm schlägt, gilt es in erster Linie, einen kühlen Kopf zu bewahren. ESET, ein Hersteller von Security-Software, hat für betroffene Unternehmen fünf Tipps parat, mit deren Hilfe sie die Folgen einer Malware-Attacke auf ein Minimum reduzieren können.
Das Ausmaß der Infektion ermitteln: Viele IT-Abteilungen von Unternehmen, die Opfer einer Malware-Attacke werden, vertrauen auf ihre Intuition statt auf gründliche Analysen, um die Folgen solcher Angriffe zu ermitteln. Natürlich ist es wichtig, umgehend auf eine Cyber-Attacke zu reagieren – aber nicht auf Basis von Vermutungen. Verfügt ein Unternehmen über ein funktionierendes IT-Notfallmanagement, kann die IT-Abteilung schnell die richtigen Antworten auf zentrale Fragen finden, etwa welche Systeme infiziert wurden, auf welche Weise dies geschah, ob unternehmenskritische Daten abhandenkamen und ob die Infektion nur einzelne Systeme oder ein ganzes Subnetzwerk betrifft. Geklärt werden muss zudem, ob Kundeninformationen und Mitarbeiter-Daten in die Hände der Angreifer fielen.
Den IT-Betrieb sicherstellen: Sind Unbefugten interne Informationen in die Hände gefallen, müssen zunächst die betroffenen Mitarbeiter und Kunden informiert werden. Werden IT-Systeme in starkem Maße von einem Angriff beeinträchtigt, sollten Reserve-Systeme und redundante Netzwerkverbindungen aktiviert werden. Denn der Geschäftsbetrieb darf nicht unter einem Cyber-Angriff leiden. Um das sicherzustellen, ist zudem ein Notfallplan erforderlich, der die Reaktionszeiten verkürzt.
Kampf gegen Infektion
Die Infektion eindämmen: Anschließend gilt es, die infizierten IT-Systeme zu isolieren. Um die Ausbreitung der Infektion im Firmennetz zu verhindern, kann die IT-Abteilung die Netzwerksegmente abkoppeln, in denen sich die befallenen Rechner befinden. Dadurch haben Angreifer keinen Zugang mehr zu diesen Systemen und können keine verwertbaren Daten "absaugen".
In jedem Fall sollte die IT-Abteilung versuchen, den verschlüsselten Datenverkehr zwischen den infizierten IT-Systemen im eigenen Netzwerk und den Rechnern der Angreifer zu decodieren. Auf diese Weise lässt sich feststellen, ob weitere Rechner im Netzwerk verseucht wurden und welche Firewall-Regeln erforderlich sind, um nicht autorisierte Zugriffe zu unterbinden. Solche Gegenmaßnahmen lassen sich erheblich schneller und effizienter umsetzen, wenn ein Unternehmen eine IT-Sicherheitslösung einsetzt.
Die Infektion eliminieren und weitere Attacken verhindern: Zu den anspruchsvollsten Aufgaben zählt, die befallenen IT-Systeme von Schadsoftware zu säubern und weiteren Attacken über denselben Weg einen Riegel vorzuschieben. Ein bewährtes Mittel ist der Einsatz einer Anti-Viren- beziehungsweise Anti-Malware-Software, die IT-Systeme automatisch reinigt.
Um weitere Angriffe derselben Art zu unterbinden, sollten die Sicherheitslöcher beseitigt werden, die diese Aktivitäten ermöglicht haben. Um ganz sicher zu gehen, empfiehlt es sich, die Datenpakete zu analysieren, die über das Netzwerk transportiert werden. Der Traffic sollte insbesondere auf Verkehrsmuster und Befehle hin untersucht werden, welche die Angreifer zuvor verwendet haben.
Firewall
Weitere Sicherheitsvorkehrungen sind die Überprüfung der Firewall-Regeln und die Änderung der Passwörter, mit denen sich Mitarbeiter am Firmennetzwerk anmelden. Eine Überlegung wert ist, ob eine tiefer greifende Analyse des Cyber-Angriffs erfolgen soll. Denn in vielen Fällen sind einzelne Angriffe ein Bestandteil von „Persistent Targeted Attacks“. Dies sind fortlaufende, komplexe und zielgerichtete Cyber-Attacken auf einzelne Unternehmen oder Mitarbeiter von Firmen. Dahinter können Kriminelle stecken, aber auch Mitbewerber. Wurde ein Unternehmen Ziel solcher Persistent Targeted Attacks, ist davon auszugehen, dass weitere Angriffe folgen werden.
Aus Cyber-Angriffen und Fehlern lernen: Wichtig ist, dass Unternehmen aus der Analyse von Angriffen die richtigen Schlüsse ziehen und entsprechende Vorkehrungen treffen. Jede Schwachstelle, die zuvor nicht bekannt war und beseitigt wurde, bietet letztlich die Chance, die Abwehrmaßnahmen am Rand (Perimeter) des Unternehmensnetzes zu verbessern und potenzielle Einfallstore zu schließen. (rhh)