Die Gefahren von Drive-by-Downloads sind mittlerweile vielen bekannt. Dass die Infektion auch von der eigenen Website oder dem eigenen Blog ausgehen kann, erwartet jedoch kaum jemand.

Unerwartet und ohne vorherige Anzeichen kann es auch den eigenen Auftritt im World Wide Web treffen: Gerade kleinere Websites oder Blogs mit weit verbreiteten CMS-Systemen wie WordPress sind beliebte Angriffsziele. Konfrontiert die eigene Firmenwebsite potenzielle Kunden plötzlich mit Schadsoftware, sind guter Rat und schnelle Hilfe gefragt.

Strukturierte Vorgehensweise nach dem SANS Incident Response Framework

Das SANS Incident Response Framework beschreibt Vorkehrungen und konkret festgelegte Maßnahmen, die im Falle eines Security Vorfalles verwendet werden können. Der methodische Ansatz wurde als Best-Practice vom SANS Institut entwickelt und von uns mit praxisbezogenen Hinweisen ergänzt. Die fünf Schritte sind:

• Erkennen, dass die Website/das System angegriffen und kompromittiert wurde
• Feststellen der genauen Auswirkung und Risikoeinschätzung
• Bewältigung der Bedrohung und Setzen erster Gegenmaßnahmen
• Wiederherstellung des Sollzustands
• Nach- und Vorbereitungen, um für die Zukunft besser gewappnet zu sein

Wie sind die einzelnen Punkte in die Praxis umzusetzen? Wir machen die Maßnahmen anhand kurzer Beispiele transparent und geben Tipps zur Umsetzung.

1. Erkennen, dass ein Schadensfall stattgefunden hat

Dieser erste Schritt dauert oft am längsten. Im einfachsten Fall ist die Website „defaced“: Der Inhalt ist eindeutig verändert und der Angriff leicht feststellbar. In anderen, schwieriger zu entdeckenden Fällen verbreitet die Website Schadsoftware, leitet die Besucher*innen auf andere Seiten weiter, versendet Spam-Mails oder leitet Dateneingaben um. Je nach Angriff wird auch Mühe in die Tarnung investiert, um möglichst lange unentdeckt operieren zu können.

Verfolgen Sie daher auch kleinere Abweichungen aufmerksam. Auffälligkeiten im Nutzerfluss, Veränderungen in der Besucherstatistik, Auslastung oder Veränderungen der Inhalte sind erste Anhaltspunkte. Schlagen Antiviren-Maßnahmen beim Besuch der Website an oder taucht die Seite auf Blacklists auf, können auch Benachrichtigungen von Website-User*innen kommen. Bitte alle Hinweise erst nehmen und verfolgen!

Unser Tipp: VirusTotal ist ein kostenloser Dienst, über den nicht nur URLs, sondern auch verdächtige Dateien kostenlos gescannt und ausgewertet werden können – mit der Threat Intelligence von mehr als 70 Antiviren-Scannern und URL Blacklisting-Services. Scannen Sie außerdem alle Rechner, über die auf Ihrer Website gearbeitet wird, mit einem professionellen Antivirenprogramm, um zu verhindern, dass darüber Passwörter ausgespäht werden.

2. Zwischenfall eingrenzen und Ausmaß feststellen

Im besten Fall ist er Sollzustand der Website oder des Systems genau bekannt und es kann überprüft werden, ob sich der Verdacht bestätigt. Über Logdaten, Statistiken und Website-Inhalte lassen sich Veränderungen feststellen und nachvollziehen.

Nächster Schritt ist herauszufinden, welche Art von Angriff vorliegt, um wesentliche Informationen zu Aus- und Wechselwirkungen von Gegenmaßnahmen zu erhalten. Wurde beispielsweise ein Administrations-Account missbraucht, der auch für andere Dienste genutzt wurde, müssen diese ebenfalls auf Spuren kontrolliert werden. Die gesammelten Informationen dienen dazu, den Schaden abzuwägen und das Risiko einzuschätzen.

Unser Tipp: „So weit als möglich sollen alle Logdaten aufgezeichnet werden. Mit der Hilfe von Protokoll- und Analysetools wie z.B. dem einfachere „Graylog“ oder dem aufwendigeren „Elastic Stack“ können diese regelmässig oder auch bei Verdacht ausgewertet. Somit ist im Nachhinein zumindest eine Beweissicherung und Ursachenforschung möglich. (https://www.graylog.org/products/opensource, https://www.elastic.co/products).

3. Gegenmaßnahmen einleiten und Krisenmanagement umsetzen

Ist der Schaden erkannt, geht es an die Schadensbegrenzung. Nach Möglichkeit bitte noch Beweise wie eine Sicherheitskopie oder Screenshots für eine spätere Untersuchung anfertigen und exportieren! Die Website sollte danach komplett deaktiviert werden, um eine weitere Ausbreitungen zu unterbinden. Weiterführende Benutzer-Accounts müssen überprüft und alle in Frage kommenden Zugänge gesperrt bzw. neu gesetzt werden. Genaue Analysen helfen, effiziente Gegenmaßnahmen zu setzen.

Unser Tipp: Evaluieren Sie, ob Nutzerdaten betroffen sein könnten. Die DSGVO sieht für den Fall einer Datenschutzverletzung Melde- und Benachrichtigungspflichten an die zuständige Aufsichtsbehörde vor, wenn voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht, sowie die Benachrichtigung der betroffenen Person, wenn es voraussichtlich zu einem hohen Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen kommt. Wir empfehlen, betroffene Kund*innen und Nutzer*innen in jedem Fall aktiv zu informieren und durch Transparenz Vertrauen zu schaffen bzw. zu erhalten.

4. Daten wiederherstellen

Im besten Fall ist eine Sicherheitskopie vorhanden, die vertrauenswürdig und vor dem Angriff datiert ist. Das betroffene System sollte vorher vollständig zurückgesetzt werden, um mögliche tiefergehende Infektionen so weit als möglich auszuschließen. Ändern Sie außerdem alle Zugänge und Passwörter, die direkt oder indirekt betroffen sein könnten! Sollte kein Backup vorhanden sein, kann vielleicht eine ältere Version der Website oder zumindest ein Platzhalter mit einer ersten Information eingespielt werden. Nach der Wiederherstellung sollte der Webauftritt erneut mit einer Sicherheitssoftware überprüft und sorgfältig beobachtet werden, um sicherzugehen, dass nichts übersehen wurde und sich nicht doch etwas der Rücksetzung entziehen konnte.

Unser Tipp: Finden Sie mit unseren Tipps eine zuverlässige Backup-Routine für all Ihre Daten und Geräte, die Sie gegen Blitzschlag genauso wie gegen Malware sichert.

5. Nach- bzw. Vorbereitung

Jeder Schadensfall kann als Chance gesehen werden, Schutzmaßnahmen und Abwehrstrategien weiterzuentwickeln. Die Analyse eines Schadenfalls zeigt Verbesserungspotentiale auf und kann zu weiteren Optimierungen anregen:

• Waren z.B. nicht die letzten Updates installiert?
• Waren die Passwörter zur Administration zu einfach oder waren sie auf mehreren Plattformen in Verwendung und wurden anderweitig kompromittiert?
• Hat es ausreichende Sicherheitskopien gegeben und waren die nötigen Informationen für den Prozess gut auffindbar?

Jeder Fehler birgt die Chance, daraus zu lernen und sich für die Zukunft besser aufzustellen. Durch die steigende Komplexität und enormen Abhängigkeiten müssen Schadensfälle inzwischen eingeplant werden – es ist nicht mehr fraglich, ob ein Angriff stattfindet, sondern nur mehr, wann es (wieder) soweit sein wird.

Unser Tipp: IT-Security-Strategien müssen fixer Bestandteil aller IT-Aktivitäten werden – ähnlich wie auch Feuerpolizeiliche Vorschriften fixer Bestandteil der Bauordnung sind. Im Fall des Falles ist nur mehr ausschlaggeben, wie gut die nötige Vorbereitung stattgefunden hat.

Linktipp: Sichern Sie Schwachstellen in Ihren Online-Services effektiv und kostengünstig ab