https://www.janotta-partner.de/2017/10/ich-wurde-gehackt-was-tun/

Der Alptraum einer jeden Firma. Der Onlineshop für 20.000 EUR Entwicklungskosten wird gehackt oder erleidet einen DDOS Angriff. Der Shop oder die Website soll Kunden generieren und damit den Innovationsprozess des Unternehmens beschleunigen. Im Geschäftsleben geht es um Ausfgallzeiten, ganz gleich wenn ein Onlineshop oder ein Magazin wie Wikileaks betroffen ist, wo ein Leser Inhalte konsumieren kann. Cyberangriffe sollte man nicht unterschätzen, genauso wenig wie den DDOS Angriff, nur kann ein Cyberangriff, enrom teuer werden. Eine Vorsorge wirkt im Verhältnis Cyberangriff und Hack dagegen günstig. Ein DDOS Angriff stellt eine kürzere Verfügbarkeitseinbuße als ein Hack, ansich selbst dar. Wird ein DDOS festgestellt kann schnell reagiert und ein Anti DDOS Schutz Installiert werden, bei einem Cyberangriff kommen Kosten auf den Betreiber zu und die Verfügbarkeit des Systems kann tagelange gestört bleiben.

Im Ernstfall kann das vom Nicht-Erreichbarkeit der eigenen Website über den Verlust von Kundendaten oder gar bis hin zu Existenz bedrohenden Ausfällen gehen. Und doch finden sich immer wieder Nachlässigkeiten, warum man geeignete Sicherungsmaßnahmen nicht vornimmt.

Im Vergleich zum großen Aufsehen, das Erpressungstrojaner in der ersten Hälfte des Jahres verursacht haben, sind DDoS-Attacken eher in den Hintergrund getreten, fanden Anfang 2017 weit mehr Distributed-Denial-of-Service-Attacken statt als im Jahr zuvor. Im Vergleich zum gleichen Zeitraum im Jahr zuvor haben DDoS-Angriffe um zwei Drittel zugenommen. Website Hacking ist jedoch weltweit stark verbeitet. Im Zeitraum von 01.01.2017 bis zum 31.10.2017 hatten wir 45 Neukunden verzeichnen können, die uns Webseite Hacking als Ursache einer Ausfallzeit meldeten. In 80 % aller Hacking Fällen, waren dabei das Backup verseucht oder schlicht keines vorhanden. Mit Forensischen Analysen und Incident-Response musste gegen den Schaden gearbeitet werden.

Was ist unter Website Hacking zu verstehen?

1. Hacking: Häufig duellieren sich Script-Kiddies. Sie versuchen, sich zu profilieren und stellen die Zahl der von ihnen gehackten Seiten öffentlich zur Schau. Das ist noch eine harmlosere Variante.

2. Phishing: Hier wird versucht, Passwörter oder Kreditkartendaten abzugreifen, dazu wird häufig eine Software installiert.

3. Spamming: Durch das Versenden von Spam-Mails wird Geld verdient. Bei mehreren Millionen Spam-Mails täglich finden sich immer wieder einige Mitmenschen, die solche Mails anklicken und der enthaltenen Nachricht auf den Leim gehen.

4. Botnetz: Es wird versucht, Ihre Website in ein Botnetz zu integrieren. Dabei handelt sich sich oft um ein weltumspannendes Netz von Rechnern, die gekapert wurden und damit ferngesteuert werden können. Es wird damit auch möglich, verteilte Denial-of-Server (DDoS)-Attacken zu fahren, also wiederum andere Rechner oder Server anzugreifen.

Findet ein Hack auf eine Website statt, muss mit einer Forensischer Analyse der Hack analysiert werden. Ist kein Backup vorhanden, was uns immer wieder gemeldet wird, oder ist das Backup infiziert kann eine Reparatur aufwendig werden. Sie müssen somit mit Ausfallzeiten von bis zu 48 Stunden rechnen. Im Fall Wikileaks scheint es ebenfalls eine größere Ausfallzeit gegeben zu haben. Wikileaks wurde am 30.08 attackiert und die Website wurde erst am 31.08 gegen 20 Uhr wieder in Betrieb genommen. Ein Ausfall von 24 Stunden und Kosten in Höhe von 4650 EUR würde auf Wikileaks zukommen, wenn ein Forensiker eine professionelle Analyse und Wiederherstellung vornehmen würde. Verantwortlich dafür war OurMine. Die Hacker-Gruppe hat zuletzt diverse Angriffe durchgeführt. Eigenen Angaben nach wollte man damit aber „nur“ für die eigenen Dienste werben, zu Datendiebstahl kam es dabei offenbar nicht.

Im Fall von Wikileaks hat OurMine einen ähnlichen Hinweis hinterlassen, zumindest beginnt die Nachricht der Hacker so: „Hi, hier ist OurMine (Security Group). Macht euch keine Sorgen, wir testen nur euren…“. Wenig später wird klar, dass der Hack nicht dem üblichen Modus Operandi der Gruppe entspricht: „Oh, wartet, das ist kein Sicherheitstest! WikiLeaks, erinnert ihr euch als ihr uns aufgefordert habt, euch zu hacken?“

Ein DDOS Angriff wäre im Verhältnis Gratis gewesen, rein auf die Kosten bezogen, die der Cyberangriff verursacht hätte. Die Ausfallzeit ist individuell zu betrachten und liegt im Geschäftsbereich des jeweiligen Betreiber.

Oft wird die Gefahr von Hackerangriffen unterschätzt. Man denkt, dass man nur eine ‘kleine’ Website betreibt und nicht so viele Besucher auf der Seite hat. Oder dass man weder über einen Online-Shop verfügt, noch Kreditkarten-Transaktionen verarbeitet und auch keine großen Kundenbestände erfasst. Und daher ist Ihre Website nicht so interessant für Hacker? Jede Website und jeder Webserver ist für Angreifer als Ziel interessant. Hacker und Spammer verwenden automatisierte Skripte, die nicht zwischen der Größe und Bedeutung einer Website zu unterscheiden wissen. Der Schaden, der mit derartigen Angriffen verbunden ist, geht weit über Ausfallzeiten von Unternehmenswebseiten hinaus“. Unsere Neukunden berichten von Komplettausfällen und dem Verlust unternehmenskritischer Informationen.

Wikileaks DNS Hacking

Mittlerweile hat sich herausgestellt, dass man hier nicht von einem Hack sprechen kann, da OurMine wohl „nur“ die DNS manipuliert bzw. gekapert hat. Die Sicherheit von WikiLeaks selbst dürfte also nicht kompromittiert worden sein, entsprechend bekommt die Hackergruppe nun auf Twitter einiges an Spott ab. Wikileaks selbst als Geschädigter musste trotzten über 24 Stunden mit Ausfallzeiten in kauf nehmen.

Incident-Response und IT-Forensik