Soforthilfen und Lösungen

Präventivmaßnahmen dienen natürlich vor allem dazu, Ihre eigenen Systeme, E-Mails und digitalen Infrastrukturen vor Hackangriffen zu schützen.

 

 

Die internen Präventionen befassen sich ausschließlich mit den Angriffsfeldern innerhalb ihres "realen" Unternehmens. Darunter fallen Schutzmaßnahmen durch Programme, die das Ausführen von sog. Script-Dateien untersagen und den Schutz auf Ihren Mail-Servern durch Blocken garantieren. Auch die Nutzung eines sicheren Webservers reduziert die Angriffsfläche deutlich. Zudem zählen auch gut durchkonstruierte Datensicherheitskonzepte und Backups Ihrer Daten zu Präventivmaßnahmen. Im Falle eines Angriffes kann somit die Verfügbarkeit der Daten sichergestellt werden und die gesamten Informationen lassen sich (meist mit einigem Zeitaufwand) wieder herstellen.

Eine weitere wichtige Rolle übernehmen Schulungen und Kampagnen. So kann das Bewusstsein Ihrer Mitarbeiter sensibilisiert werden, um im Falle einer Spam-Mail oder eines Social Engineer-Angriffes (zwischenmenschliche Beeinflussungen) vorbereitet zu sein. In großen Unternehmen und Behörden ist diese Praxis mittlerweile stark verbreitet.

 

 

Als "extern" definieren wir hier alle Ziele, die nicht unmittelbar in ihrem "greifbaren Eigentum" liegen: Die Internetseite, das Intranet-System und Ihr Online-Shop. Sie sollten nicht die geringen Kosten für die häufigen Sicherheitsupdates scheuen, denn innerhalb einer Nacht finden auf jede Webseite tausende anonymer Angriffe statt! Man kann sich das so vorstellen, dass eine Datei mit einem Benutzernamen und Passwort anklopft kommt und beide Komponenten mal auf einer Login-Seite – einem willkürlich festgelegten – Pfad einzugeben. Ob diese Login-Seite existiert oder nicht ist dabei unerheblich. Existiert sie aber, wertet das Script einen Erfolg und versucht mit einer Konsequenz von tausenden Benutzername/Kennwort-Varianten pro Sekunde Zugang zu Ihrer Software zu bekommen.

Solche Skripte sind sehr effektiv, wenn ein Unternehmen eine Webseite auf "Opensource-Basis" betreibt. Beliebte Managementsysteme sind hier WordPress, Typo3, Joomla, Magento, VirtualMart, etc. Da die Grundpfade bei jeder dieser Installationen immer gleich ist, haben die Bot-Skripte entsprechend Erfolg, wenn sie mit Ihren Kenntwort-Attacken beginnen. Der Schutz meiner Webseite sollte also in gar keinem Fall unterschätzt werden, da nahezu 86% der Unternehmen zu Opensouce-Lösungen Webseite greifen.

Natürlich gibt es für Interne als auch externe Angriffe nciht nur die "Bots"; Hacker, die sich den Zugang zu ihren Systemen verschaffen wollen, gehen da individueller, logischer und cleverer vor, als die automatisierten Programme. nicht selten erhalten sie Ihre Zugangsinformationen von Mitarbeitern oder aufgeschriebenen Passwörtern, die unachtsam am Arbeitsplatz liegen gelassen werden. 

 

Und was tun, falls es doch zu einem Angriff gekommen ist?

Wenn ein Hacker oder Bot sämtliche Ihrer Präventivmaßnahmen umgehen konnte, sollte schnellstens gehandelt werden:

  • Den eingetretenen Schaden reparieren >> rufen Sie uns schnellstens an!
  • Die Isolation der Infrastrukturen und Systeme zu garantieren >> rufen Sie uns schnellstens an!
  • Den Normalbetrieb wiederherzustellen und zu sichern. >> rufen Sie uns schnellstens an!

Dabei ist festzuhalten, dass eine Kombination aus präventiven und reaktiven Maßnahmen dafür sorgen, dass Ihre angegriffenen Systeme standhalten.

 

Es gibt also keine “entweder/oder-Entscheidung” - sondern erst durch die Kombination mehrerer Maßnahmen entsteht ein hohes Sicherheitslevel innerhalb Ihres Unternehmens!


Ist solch ein Fall eingetreten, muss der Profi ran: Die Attacke muss in jedem Fall bereinigt und die Sicherheitslücken geschlossen werden!

hacking soforthilfeUnsere Soforthilfe bieten wir Ihnen dazu gern an schnell und effizient:

02241 1651-777

Der Begriff „Phishing“ ist ein englisches Kunstwort, das sich aus password harvesting (Passwörter sammeln) und fishing (Angeln, Fischen) zusammensetzt und bildlich das Angeln nach Passwörtern mit Ködern verdeutlicht.

Unter dem Begriff versteht man Versuche, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internet-Benutzers zu gelangen und damit Identitätsdiebstahl zu begehen.

Ziel des Betrugs ist es, mit den erhaltenen Daten beispielsweise Kontoplünderung zu begehen und den entsprechenden Personen zu schaden. Es handelt sich dabei um eine Form des Social Engineering (zwischenmenschliche Beeinflussung), bei dem die Gutgläubigkeit des Opfers ausgenutzt wird.

 

Dies sind einige Möglichkeiten Phishing-Mails oder -Webseiten zu erkennen:

  1. Persönlich gehaltene, offiziell anmutende E-Mails oder Massenversand von E-Mails
  2. Empfänger wird mit „Sehr geehrter Kunde“ angesprochen – obwohl der dem Absender bekannt ist
  3. Der Empfänger soll eine betrügerische Webseite besuchen, die mehr oder weniger täuschend echt aussieht
  4. Gefälschte Webseiten sind in aller Regel schon allein aus ungeschickten Formulierungen der Rechtschreibung und Grammatikfehlern zu erkennen (meist Computerübersetzung)
  5. Aufforderung zur Formulareingabe seiner Zugangsdaten
  6. Manchmal sind Mails mit gefälschten Absendern an der falschen Sprache erkennbar – Grußworte wie „Yours truly“ oder andere nicht authentische Formulierungen
  7. Versender verwendet eine falsche Kodierung: Sonderzeichen westlicher Sprache – deutsche Umlaute oder Buchstaben mit französischen/ italienischen Akzenten oder kyrillische Buchstaben
  8. Meistens wird das Opfer zusätzlich in falscher Sicherheit gewiegt, indem im Text das Problem des Datendiebstahls thematisiert wird und behauptet wird, dass das Ausfüllen des Formulars nötig sei, damit ein „neuartiges Sicherheitskonzept“ wirksam werden könne

 

Folgt er dieser Aufforderung, gelangen seine Zugangsdaten in die Hände der Urheber der Phishing-Attacke. Meist folgt eine kurze Bestätigung oder eine falsche Fehlermeldung, um das Misstrauen des Opfers zu zerstreuen.

 

Website-Phishing

Die gefälschten Zielseiten haben meistens gefälschte Namen, Bezeichnungen, Aussehen oder Formulare, die ähnlich klingen oder gestaltet sind wie die Originalseiten. Hierbei ist es möglich, dass auch eine seriöse Internetseite ohne Kenntnis des Betreibers infiziert wurde. In diesem Fall ist das Versenden einer E-Mail nicht mehr notwendig. Sie sind also nur sehr schwer als Fälschungen identifizierbar.

Beispielsweise könnte eine Originaladresse lauten: http://www.oe-bank.example.com/

Fälschung: http://www.ö-bank.example.com/

 

Die beiden Namen sind sachlich identisch, allerdings technisch unterschiedlich, denn sie werden im Hintergrund zu unterschiedlichen Adressen aufgelöst und können zu völlig unterschiedlichen Webseiten führen.

 

Noch schwerer zu erkennen ist die Verwendung von ähnlich aussehenden Buchstaben aus anderen Alphabeten.

So unterscheidet sich z.B. das kyrillische „а“ bei den üblicherweise verwendeten Schriftarten optisch in keiner Weise vom lateinischen „a“.

Falls das „a“ in „http://www.bank.example.com/“ kyrillisch dargestellt wird, ist die Adresse unterschiedlich und somit falsch. Allerdings zeigt die Adresszeile des Browsers keinen sichtbaren Unterschied zur Original-Bankadresse.


Ist solch ein Fall eingetreten, muss der Profi ran: Die Attacke muss in jedem Fall bereinigt und die Sicherheitslücken geschlossen werden!

hacking soforthilfeUnsere Soforthilfe bieten wir Ihnen dazu gern an schnell und effizient:

02241 1651-777

Sichere Zeichen, dass eine Webseite kompromittiert wurde

Die erschreckende Realität ist: Wenn eine Webseite von einem vorsichtigen, talentierten und gut ausgestatteten Hacker kompromittiert wurde, wird wahrscheinlich nie jemand merken, dass sie gehackt worden ist!

Allerdings sind die meisten Angreifer nicht gut ausgestattet, zumindest nicht in unserem Sinne. Sie nutzen vorgefertigte, bezahlte Exploit-Packs, die dafür entwickelt wurden, dass sie jeder, unabhängig von seinem technologischen Talent, nutzen kann – und wie jeder andere Nutzer, machen auch die Angreifer Fehler. Vor diesen Angreifern müssen wir uns dennoch schützen.

Hier eine Liste der Anzeichen, auf die Sie aufpassen sollten:

  1. Browser-Warnungen: - sind der erste Hinweis darauf, dass eine Webseite kompromittiert worden sein könnte.
  2. Anti-Viren-Lösungen: - besitzen eingebaute Webseitenprüfungen
  3. Nach öffnen einer Webseite startet automatisch ein Sofortdownload - dann können Sie ziemlich sicher sein, dass hier etwas Unsauberes vor sich geht
  4. Wenn Sie eine Webseite öffnen, die Sie sehr gut kennen, und auf einmal sehr werbliche oder zufällig wirkende Inhalte und Links, zu themenfremde Seiten führen, wurde die Seite vermutlich gehackt
  5. Sie suchen eine Seite in einer Suchmaschine und die Ergebnisse alle möglichen seltsamen Werbebotschaften für billige Designeruhren oder Medikamente bringen, die aber dennoch zu der von Ihnen eingegebenen Seite führen, wurde diese wahrscheinlich kompromittiert

 

Google ist sehr aktiv darin, das Netz nach sicheren Seiten zu durchforsten und setzt gefährliche, gehackte und kompromittierte Seiten auf die Blacklist. (s. Beitrag Blacklisting)

Hin und wieder sehen Sie dann eine Warnung wie „Achtung: Der Besuch dieser Seite könnte Ihrem Computer schaden“, wenn Sie eine Seite öffnen möchten. Laut Google ist die False-Positive-Rate dieser Warnungen wahnsinnig gering, deshalb ist so eine Warnung ein recht sicheres Anzeichen dafür, dass mit der Seite, die Sie gerade aufrufen, etwas nicht stimmt.


Ist solch ein Fall eingetreten, muss der Profi ran: Die Attacke muss in jedem Fall bereinigt und die Sicherheitslücken geschlossen werden!

hacking soforthilfeUnsere Soforthilfe bieten wir Ihnen dazu gern an schnell und effizient:

02241 1651-777

Ich wurde gehackt - Was soll ich tun?

Nun sollten Sie sich beeilen, denn eins dürfte klar sein: Unbedingt Schäden vermeiden!

Es reicht nicht aus, Ihre Webseite im Backendbereich des Content Management einfach in den Wartungsmodus zu versetzen.

Nein, denn dazu gibt es einige Punkte, die Sie beachten sollten:

  1. Die Webseite muss sofort Offline gesetzt werden
  2. In Backend- Bereich: Unbekannte Admin-User entfernen. Die bekannten Admin-User auffordern, ihre Rechner zu durchsuchen und zu bereinigen
  3. Den Hoster informieren und gegebenenfalls um Hilfe bitten
  4. Den eigenen Rechner auf Malware/Viren/Trojaner checken
  5. Alle Zugriffsdaten ändern (Ftp/Sftp, SSH, Datenbanken, E-Mails, Backend soweit möglich usw.)
  6. Feststellen, wo das Leck ist, durch das der Hack stattfinden konnte
  7. Wenn keine Sicherung vorhanden ist, Beiträge und anderes per Drag & Drop aus dem Backend oder der Datenbank in einen Editor wie zum Beispiel Notepad++ sichern. Dabei darauf achten, dass eventueller Schadcode im Editor entfernt wird. Nicht einfach eine ungeprüfte Datenbank wiederverwenden
  8. Den Webspace komplett bereinigen (auch die Datenbank/en)!!!
  9. Und nun würde ich persönlich Schritt 3 und 4 noch einmal ausführen
  10. Saubere Datensicherung (Backup) einspielen alles aktualisieren und die Lücke absichern. Ist keine Datensicherung (Backup) vorhanden, eine neue Webseite erstellen und die im Editor gesicherten Daten wieder eingeben
  11. Wird die Registrierung neuer User nicht benötigt, sollte sie auch nicht aktiviert sein. Damit ist nicht das Login Modul gemeint, sondern die Registration in Joomla.

 

Die Sicherheitslücke zu finden ist wichtig, um vor zukünftigen Angriffen aus derselben Richtung geschützt zu sein.


Ist solch ein Fall eingetreten, muss der Profi ran: Die Attacke muss in jedem Fall bereinigt und die Sicherheitslücken geschlossen werden!

hacking soforthilfeUnsere Soforthilfe bieten wir Ihnen dazu gern an schnell und effizient:

02241 1651-777

Eine Blacklist (schwarze Liste) wird im Allgemeinen dazu verwendet, um unterschiedliche Dinge zu sammeln, die gegen bestimmte Regeln verstoßen – sei es in der gleichnamingen TV-Serie oder in der digitalen Welt.

In Bezug auf Ihre Internetpräsenz umfasst die Sammlung IP-Adressen, Domains und E-Mails, denen Spam (teils nachweislich) unterstellt wird. Eine IP-Adresse, die einmal als Spamquelle zu einer Blacklist hinzugefügt wurde, wird blockiert – alle E-Mails, die von dieser Adresse versendet werden, werden abgefangen. Grob definiert ist eine Blacklist ein Gefängnis für E-Mails, IP-Adressen und Domains. Für Ihr Unternehmen bedeutet dies, dass Sie weder E-Mails an Ihre Empfänger senden können. Zwar verlassen die Nachrichten Ihren Server; sie werden aber alsbald von dem nächsten Server geblockt und nicht an den Empfänger weiter geschickt. Andersherum (und das ist für Ihr Unternehmen sehr unangenehm!) schicken Ihnen Ihre Kunden eine E-Mail und diese erhalten umgehend eine Fehlermeldung zurück, dass der Empfänger mit seiner Domain und dem Account auf einer Blcklist stehen und kein weitere Versand möglich ist.

 

Blacklists in der Praxis 

Der Suchmaschinenkonzern „Google“ führt eine schwarze Liste für Webseiten und IP-Adressen, die aus Ihrer Sicht gegen die Richtlinien der Suchmaschine verstoßen, intensives Spamming betreiben oder gegen das Urheberrecht und andere relevante gesetzliche Bestimmungen verstoßen.

 

Wie gelangt eine Webseite auf die schwarze Liste von Google?

Webseiten werden von Google auf die schwarze Liste gesetzt, wenn Unregelmäßigkeiten entdeckt werden, die darauf hinweisen, dass es sich um Schadprogramme handelt, oder wenn Verstöße gegen gesetzliche Bestimmungen, wie das Urheberrecht oder die Richtlinien der Suchmaschine vorliegen. In einem solchen Fall wird die betroffene Seite aus dem Index der Suchmaschine entfernt und kann nicht mehr gefunden werden! Jahrelange Arbeit geht damit verloren und der finanzielle Schaden kann kaum geschätzt werden.


Ist solch ein Fall eingetreten, muss der Profi ran: Die Attacke muss in jedem Fall bereinigt und die Sicherheitslücken geschlossen werden!

hacking soforthilfeUnsere Soforthilfe bieten wir Ihnen dazu gern an schnell und effizient:

02241 1651-777