Land

Hacking: Prävention und Handling

Es erfordert eine Menge Know-how und Ressourcen, um sich erfolgreich gegen gezielte und hochqualifizierte Attacken zu wehren – und selbst dann ist immer noch mit einem verbleibenden Restrisiko zu rechnen. 

Ebenso ist jeder Angriff ist einer gewissen Ökonomie unterworfen, und praktisch wird ein Angreifer nicht unbegrenzt Zeit und Ressourcen in die Schlacht werfen. Entscheidend für eine mögliche Zielselektion ist vor allem auch das Motiv der Angreifer. Staatliche Hacker, egal ob Nachrichtendienste, Militärs oder „digital blackwater“, also „private Hacker im staatlichen Auftrag“, verfolgen im Regelfall andere Ziele als Hacker, die ihren Antrieb aus „hacktivsm“ (http://de.wikipedia.org/wiki/Hacktivist) oder anderen Motiven schöpfen. 

Unsere Hinweise und Tipps mögen als Hilfestellung für Interessierte bzw. Betroffene dienen – erheben aber keinesfalls Anspruch auf Vollständigkeit und ersetzen ebenso wenig weitere bzw. umfassenderer Sicherheitsmaßnahmen.

Das „Opferbild“

Grundsätzlich ist jede Person oder Organisation, die über einen Internetauftritt verfügt, ein potenzielles Opfer. Politisch motivierte Hackernetzwerke greifen zwar primär z.B. Parteien oder Interessensvertretungen an. Steht man jedoch z.B. in einer  geschäftlichen Beziehung zu einer als ‚feindlich‘ eingestuften Organisation kann man ebenfalls ins Fadenkreuz geraten. 

Cyberkriminelle, die aus finanziellem Interesse handeln, bedrohen tatsächlich jeden, da es darum geht, Daten des Opfers zu Geld zu machen. Dies können gestohlene E-Mails für SPAM-Kampagnen oder z.B. Finanzdaten sein. Oft werden Sicherheitslücken in Web Content Management Systemen (CMS) für einen Angriff ausgenutzt. Attacken beschränken sich jedoch keineswegs ausschließlich nur auf CMS.

Prävention: Welche Maßnahmen ergreifen?

Erstellen Sie ein Lastenheft, das die Sicherheitsanforderungen an CMS und Applikationen definiert und einen Security Management Prozesses festlegt.

Sichern Sie Webserver und die Datenbank-Kommunikation ab:

  • Festlegen von Richtlinien zur Patch-Policiy: Security-Updates sind vor allem bei extern verfügbaren Systemen so gut wie möglich auf dem neuen Stand zu halten – dies gilt für Applikationen und die eingesetzten Betriebssysteme.
  • Der Datenbankzugriff durch Web-Applikationen soll möglichst restriktiv sein – so können HTTP-Requests z.B. über Apache oder eine Application-Firewall so eingeschränkt werden, dass   nur „POST“- oder „GET“-Anfragen erlaubt sind.
  • Ein zweistufiges Konzept mit eigener Webservice-Schnittstelle für die Datenbank erhöht die Sicherheit.
  • Sicherheitsrichtlinien für Zugriffe auf das Webservice selbst:
  • Der Zugriff auf Administrations-Interfaces soll so eingeschränkt werden, dass es nicht aus dem ganzen Internet erreichbar ist (z.B. durch Access Control Lists)
  • Auslagerung des Administrations-Interfaces auf rein intern verfügbare Schnittstellen
  • Auditierung durch entsprechende Spezialisten
  • Eventuelle Prüfung der Webapplikation durch Code-Review

Wenn es nicht möglich ist, die Sicherheit der Applikation selbst zu erhöhen, kann man z.B. Hardware-Appliances oder Application-Firewalls einsetzen. Diese erhöhen die Sicherheit, können jedoch keine umfassenden Sicherheitsrichtlinien ersetzen. Hardware-Appliances arbeiten oft unter Beachtung der OWASP Top 10 Bedrohungen (https://www.owasp.org/). Auch eine Protokollvalidierung (HTTP) zählt mitunter zu den Features dieser Hardware-Appliances.

Wir empfehlen, kritische Systeme vor dem produktiven Einsatz einem Sicherheits-Audit durch Spezialisten unterziehen zu lassen.

Erhöhen Sie die Sicherheit Ihres Web Content Management Systems:

  • Unter Linux kann die Apache Web-Server Sicherheit mit mod_security erhöht werden
  • Passwörter sollen verschlüsselt in der Datenbank gespeichert werden
  • Anwendungen sollen den Benutzer dabei unterstützen, sichere Passwörter zu wählen, in dem z.B. eine Mindestanzahl der Zeichen inklusive Ziffern verlangt wird ("1234" ist kein gültiges Passwort)
  • Schon bei der Auswahl des CMS soll darauf geachtet werden, welches Sicherheitskonzept der Software zugrunde liegt (so hat z.B. "Plone" rollenbasierte Security-Mechanismen und unterstützt OpenID)
  • Berücksichtigung von Sicherheitsfragen bei der Auswahl der Datenbanktechnologie (z.B. PostgreSql ist konzeptionell weniger SQL-Injection anfällig als MySQL oder MS SQL)
  • Halten Sie Ihr CMS am aktuellen Stand!
  • Fallweise senden Hackergruppen Warnungen, bevor Angriffe durchgeführt werden. Überprüfen Sie daher regelmäßig Nachrichten, die an "öffentliche" E-Mail Adressen Ihrer Organisation geschickt werden –vermeiden Sie "unbeachtete" E-Mail-Accounts
  • Verfolgen Sie öffentliche Mitteilungen von Hacker-Gruppen, z.B. über Twitter

Schadensbegrenzung: Was tun im Angriffsfall?

Politisch motivierte Angriffe streben in der Regel nach größtmöglicher Aufmerksamkeit und sind daher leicht zu erkennen (Defacement, DoS). Schwieriger ist es, wenn der Täter sich bewusst versteckt. Da Angreifer aber bei ihrer Suche nach Sicherheitslücken spezielle Serveranfragen abschicken, die sich von regulären Serveranfragen unterscheiden, kann ein Angriffsversuch durch entsprechende Filterung der Server- und Firewall-Logdateien erkannt werden. Intrusion Detection Systeme warnen frühzeitig über einen Angriffsversuch.

Schwachstellen können dazu verwendet werden, sogenannte Exploit-Kits auf dem Server zu installieren, wodurch sich Besucher der Webseite mit Malware infizieren können. Auf der einen Seite wollen die Angreifer möglichst viele Computer infizieren, auf der anderen Seite soll das Exploit-Kit solange wie möglich unentdeckt bleiben.

Beachten Sie im Fall eines Hacks folgende Tipps sowie auch die Kommunikationskanäle, die von den Hackern selbst genutzt werden:

  • Stoppen und Abschotten eventuell infizierter Systeme, um weitere ungewünschte Datenübertragung zu verhindern. Ruhe bewahren!

  • Sicherung des vorhandenen Infektionsstatus. Dazu zählen:
  • Webinhalte
  • Logfiles von Webserver und Betriebssystem
  • Firewall-Zugriffslogs 
  • Datenbanklogs
  • Erstellen einer genauen Analyse über eventuell unrechtmäßig kopierte Daten, um einen Überblick über das Ausmaß der Attacke zu bekommen.

  • Setzen eines Maßnahmenkatalogs, um ein erneutes Auftreten einer Attacke vermeiden zu können.

  • Krisenkommunikation: Diese sollte offensiv erfolgen, vor allem wenn Kundendaten oder Daten Dritter vom Zwischenfall betroffen sind. Achten Sie dabei aber darauf, dass nur gesicherte Informationen veröffentlicht werden.

Hilfe für Betroffene:

  • http://cert.at/ 
    CERT.at ist das österreichische nationale CERT (Computer Emergency Response Team)

  • http://www.cybersecurityaustria.at
    Die Experten bei CSA können im Regelfall schnell, unkompliziert und kostenlos Tipps und Tricks für Erste Maßnahmen geben.

Hilfe für die Prävention:

  • http://www.mandl-itc.at/
    Ing. Thomas Mandl IT Security Consulting: Professionelle Sicherheits-Audits

  • http://www.coretec.at
    CoreTec ist auf IT-Security-Lösung und Audits spezialisiert

  • http://www.sec-consult.at
    SecConsult ist auf ein InformationSecurity und SecurityAudits Art spezialisiertes Unternehmen

  • http://www.isag.at/
    Arrow ECS Internet Security AG: Internet Security Lösungen

  • http://www.IKARUS.at/
    IKARUS Security Software GmbH ist ein österreichischer Entwickler Sicherheits-Software. IKARUS verfügt über ein Emergency Response Team, das in der Lage ist, rasche Vor-Ort-Hilfe zu leisten.

 

zurück zur Übersicht

© 2017 IKARUS Security Software GmbH