Incident Response - Teil 1

Was bei einem Hackerangriff alles schiefgehen kann

Bei einem Hackerangriff schaltet jedes Unternehmen auf Notfallmodus. Die Mitarbeiter setzen Maßnahmen um, an die sie im Vorhinein nie gedacht hätten. Deshalb ist es wichtig, aus den Fehlern von anderen zu lernen. In diesem Teil meiner Blog-Serie zu Sicherheitsvorfällen zeige ich ein fiktives - aber 1000-fach aufgetretenes Szenario - auf, bei dem Fehler gemacht wurden, die man durch gute Vorbereitung hätte verhindern können.


Aus Fehlern lernt man. Um dennoch direkt zu den Learnings zu kommen, könnt ihr gleich zu Teil 2 springen.


Ein Unternehmen wurde gehacked. Der Angreifer konnte sich als Domain-Admin Zugriff auf das Windows Active Directory verschaffen und das Passwort des "krbtgt"-Benutzers auslesen. Mit diesem Benutzer kontrolliert der Angreifer nicht nur das Active Directory vollständig, sondern kann sich auch mittels eines "Golden Tickets" auf sämtlichen Windows-Servern und -Clients als beliebiger Benutzer authentifizieren.

Headless Chicken spielt Whac-A-Mole

Die IT-Abteilung versucht den Angriff einzudämmen. Kaum konnte er aus einem System herausgedrängt werden, taucht er im nächsten Moment auf dem nächsten System wieder auf; auch genannt: das Whac-A-Mole-Syndrom. Das Management ist außer sich. Geld spielt keine Rolle. Sieben Beratungsunternehmen werden gleichzeitig engagiert. Man vergisst, dass man auch eine eigene IT-Abteilung - ja vielleicht sogar eine eigene Security-Abteilung - hat; auch genannt: das Headless-Chicken-Syndrom.

Alle unternehmenskritischen Systeme sollen jetzt vom Client-Netz abgeschottet werden. Nur: Welche Systeme sind denn eigentlich kritisch? Und wird noch alles funktionieren, wenn die Any-Any-Regel der Firewall deaktiviert ist? Und wozu sind die anderen 2.319 Firewall-Regeln da?

"Drei Angebote!"

Zur gleichen Zeit im Legal-Team: Was ist eigentlich dieses "Golden Ticket"? Sind denn schon personenbezogene Daten abgeflossen? Wenn ja, an wen müssen wir das melden? Datenschutzbehörde? NIS-Meldestelle? Den Kunden?

Die Jagd auf den Angreifer ist voll im Gange: Wohin hat er sich ausgebreitet und was stellt er an? Um dem Angreifer auf den Fersen bleiben zu können, braucht das Team weitere Tools. "Advanced Threat Protection" (ATP) Tools heißen sie zumeist. Doch welches soll man kaufen? Zeit für Evaluierungen bleibt nicht.

"Drei Angebote!", heißt es seitens der Einkäufer. Die Freigabe unterliegt außerdem einem längeren Prozess. Dieser muss über das Purchasing-Tool eingeleitet werden.

Kein Anschluss unter dieser Nummer

Nach der Generalfreigabe des Managements können nun auch Einkäufe auf kurzem Weg getätigt werden. Das Security-Team beschafft eine Lizenz für ein Ende-zu-Ende-verschlüsseltes Kommunikations- und Filesharing-Tool. Das intern betriebene VoIP-Tool ist nicht mehr vertrauenswürdig und könnte durch den Angreifer abgehört werden. Die Netzwerker möchten Daten mit dem Security-Team teilen, doch dieses lehnt Kommunikation über das interne Netzwerk ab. Also muss das Netzwerk-Team zwei Tools parallel nutzen.

Die Mitarbeiter zweifeln auch an der Vertrauenswürdigkeit der eigenen Client-Geräte. Sobald sie sich im internen Netzwerk befinden, kann der Angreifer auch darauf zugreifen.

Der Leak

Supergau: Medien haben von den internen Aktivitäten erfahren und berichten öffentlich darüber. Die Public-Relations-Abteilung war bisher nicht eingebunden (Need-to-Know-Prinzip) und sollen innerhalb einer Stunde eine Stellungnahme abgeben. Es ist weiterhin unklar, welche Ziele der Angreifer verfolgt. Will er den Betrieb bewusst stören? Oder spioniert er nach Geschäftsgeheimnissen?

Ein solches Szenario - zwar fiktiv, jedoch 1000-fach aufgetreten - lässt sich ideal als Leitfaden für die Vorbereitung auf einen solchen Sicherheitsvorfall nutzen.


Unseren Leitfaden für die Vorbereitung auf den Ernstfall findet ihr in Teil 2 dieser Blog-Serie.


Gerne höre ich euer Feedback und eure Inputs auf meine Vorschläge. Ich werde den Artikel auch regelmäßig durch neue Vorschläge und Erfahrungen ergänzen. Bitte schreibt an aron@offensity.com!