17/6/2021

Der Ablauf eines Sicherheitsvorfalls: Eine Geschichte

Ein Sicherheitsvorfall kann sehr verwirrend und aufwendig sein. Mit einer Geschichte möchten wir den Ablauf greifbarer machen.
Von
Mandy Hülse
Marketing Specialist
und

Heutzutage stellt sich nicht mehr die Frage „ob“ ein Unternehmen zum Opfer eines Security Incidents wird, sondern „wann“ es soweit ist. Betriebe die bereits Opfer wurden, sind davon leider nicht unbedingt ausgenommen. Cybervorfälle sind nach wie vor am zunehmen und es zeichnet sich bisher kein Trend ab, der eine baldige Abnahme vermuten ließe.

Wir wissen, dass ein Sicherheitsvorfall nervenaufreibend und überfordernd sein kann. Darum möchten wir Ihnen helfen bestmöglich auf den Ernstfall vorbereitet zu sein. Anhand einer fiktiven Geschichte veranschaulichen wir, welche Prozesse unter anderem auftreten werden und welche man bereits im Vorfeld vorbereiten kann.

Die Geschichte: Wer hat die Frucht gehackt?

Als Freddy Fritte eines morgens glücklich sein Bistro betritt, um mit der Arbeit zu beginnen, traut er seinen Augen kaum. Seine kostbare Frucht, die er extra für sein heutiges Special-Gericht besorgt hatte, liegt zerstört auf seiner Arbeitsplatte.

Ihm ist sofort klar – Er wurde Opfer eines Hacker-Angriffs. Und als sei das noch nicht schlimm genug, wurde dazu auch sein Geheimrezept gestohlen. Freddy weiß nicht mehr weiter und beschließt sich Hilfe zu holen. Er ruft umgehend im Büro von Ivo Inspector und Annelise Annelizer an. Wenn jemand weiß, wie man Hacker aufspüren und sich vor ihnen schützen kann, dann sind es die Beiden!

Nach dem Anruf treffen sie umgehend im Freddy´s ein. Vorsichtig betreten sie die Küche, also den Tatort, um alle wichtigen Spuren auf den Hacker-Angriff zu sichern. Sie hatten Freddy bereits am Telefon darauf hingewiesen, dass er ja nichts mehr anfassen oder verändern solle. Damit steige die Gefahr, dass er den Tatort verunreinigen könnte und sie so weniger Chancen hätten, den Fall aufzuklären. Jede gute Detektivarbeit beginnt mit der Sicherung des Tatorts. Jetzt stehen die beiden hier in Freddys Küche und tragen dieselben Schuhe und Handschuhe wie bei jedem Fall, den sie betreuen. So stellen sie sicher, dass ihre eigenen Spuren vom Tatbestand ausgeschlossen werden können. Denn “Nichts ist so wichtig für die erfolgreiche Aufklärung eines Vorfalls, wie die Spuren, die ein jeder Hacker hinterlässt” betont Annelise. Ivo nickt und beugt sich über die gehackte Frucht: “Annelise sieh dir das mal an…“. Hat Ivo hier gerade einen wichtigen Hinweis gefunden?

Solange Ivo und Annelise mit der Spurensicherung und Aufklärung des Hacker-Angriffs beschäftigt sind, ist es Freddy nicht möglich sein Restaurant weiterhin zu betreiben. Doch das bedeutet nicht, dass Freddy dadurch weniger zu tun hätte. Nun muss er sich um die externe Kommunikation zu verschiedenen Personenkreisen kümmern. Dazu gehört zu aller erst natürlich seine Kundschaft, der er traurig mitteilen muss, dass sein Restaurant vorübergehend leider geschlossen bleiben muss. Auch seine Lieferanten muss er über einen Lieferstopp in Kenntnis setzen. Da ihm durch den Diebstahl leider auch wichtige Daten seines geliebten Rezeptes abhandengekommen sind, ist er außerdem dazu verpflichtet die gesetzlich vorgeschriebenen Meldepflichten einzuhalten und die “Geheimrezepte Kammer” über den Datenverlust zu informieren. Das bedeutet für Freddy insgesamt nicht nur finanzielle Verluste, sondern auch, dass sein Ruf unter dem Vorfall leidet.

Während Freddy seinem Kommunikationsmanagement nachkommt und sich durch seine Dokumente klickt, findet er plötzlich eine merkwürdige E-Mail. Als er sie öffnet traut er seinen Augen kaum – es ist eine Nachricht des Hackers in welcher er Lösegeld verlangt. Andernfalls würde er noch mehr von Freddys Früchten zerstören. Das kann er nicht zulassen! Doch, was wenn der Hacker trotz Zahlung nicht aufhören würde? Freddy weiß nicht mehr weiter und ruft umgehend Ivo und Annelise an. Mit beruhigender Stimme erklärt ihm Annelise “Lösegeldforderungen sind bei solchen Vorfällen ganz normal. Wichtig ist, dass du Ruhe bewahrst und keines Falls auf die Forderung eingehst! Auf diese Weise würdest du ihm nur geben was er möchte und könntest nicht sicher sein, ob er wirklich weg ist und auch zu seinem Wort steht.” Aus dem Hintergrund konnte Freddy Ivo siegessicher rufen hören “Wir kümmern uns darum! Der sieht keinen Cent von dir!”.

Um den Fall schnellstmöglich zu lösen, macht sich Ivo direkt weiter an die Arbeit. Er nimmt alle Indizien, die er am Tatort gefunden hat, genauer unter die Lupe: Als erstes untersucht Ivo das Hackmuster der Aubergine. Er vergleicht die Schnitttechnik mit ihm bisher bekannten Techniken und versucht Gemeinsamkeiten und Differenzen zu finden. Doch die Art des Angriffs des Hackers ist ihm bisher gänzlich unbekannt. Das Schnittmuster taucht noch in keiner Datenbank auf. Abschließend betrachtet er die Dienstpläne der Mitarbeitenden. Laut Putzplan in der Küche beendet die Putzfrau normalerweise um 20 Uhr ihren Dienst und verlässt die Küche. Am Abend des Vorfalls wurde sie jedoch spontan krank, sodass Freddy als letztes das Restaurant gegen 20:30 Uhr verließ. Das war das letzte Mal, dass jemand der Mitarbeitenden im Restaurant war. Oder?

Auch Annelise Analizer untersucht den Tathergang und ist dem Täter auf der Spur. Sie wühlt sich durch die gesicherten Spuren und analysiert diese ganz genau. Die gefundenen Fingerabdrücke ergaben leider keine Übereinstimmung und auch die Nachricht der Lösegeldforderung konnte sie nicht nachverfolgen. Hier war ein echter Profi am Werk. Als nächstes sichtet Annelise alle Aufnahmen der Überwachungskameras der letzten Wochen. Die Aufnahmen vom Abend des Hackangriffs sind allerdings verschlüsselt, sodass sie den Täter nicht direkt identifizieren kann. Doch Annelise ist etwas anderes verdächtiges aufgefallen: Sie stellt fest, dass der Gemüselieferant in der letzten Woche vor dem Tatabend jeden Tag bei der Lieferung die Toilette im Freddy´s aufsucht. Das hat er die Wochen davor nicht ein einziges Mal gemacht. Zufall oder hat Annelise gerade den Täter identifiziert?

Nach insgesamt 2 Wochen unermüdlichen Einsatzes sind sich Annelise Anelizer und Ivo Inspector sicher den Fall geknackt zu haben und bitten Freddy in ihr Büro, um ihn über die neuesten Ermittlungsergebnisse in Kenntnis zu setzen.

Zunächst erklären sie ihm, dass der Angreifer über die Fenster der Mitarbeitertoilette hineingekommen sein musste. Verdächtige Fußspuren und Überwachungsaufnahmen umliegender Geschäfte bestätigen diese Vermutung. Am Tag des Vorfalls meldete sich die Putzfrau, welche normalerweise abends die Fenster schließt, kurzfristig krank und Freddy hatte das Fenster scheinbar vergessen.

Daraufhin lösen sie das Angriffsmuster auf. Ivo entdeckte bei seiner Analyse der Schnitttechnik des Angreifers, dass es sich bei dem Angriff sowohl um ein spezielles Messer als auch eine eigene Technik handeln muss. Das Messer und die Vorgehensweise, welche für den Hackangriff genutzt wurde, kommt in der Gegend selten in Küchen zum Einsatz. Es handelt sich dabei um ein ganz spezielles Messer, welches von Gemüsebauern bei der Feldarbeit genutzt wird.

Freddy schaut beide mit erwartungsvollen Augen an. Wer war es nun? Durch ihre gute Detektivarbeit und das richtige Verhalten von Freddy konnten Ivo und Annelise schließlich genügend Spuren sichern und Beweise sammeln, um den Täter zu überführen.

Die Fußspuren am Tatort, die Nutzung des besonderen Messers und die ungewöhnlichen Toilettengänge, über die das Toilettenfenster geöffnet wurde, lassen keine Zweifel zu. Bei dem gesuchten Hacker handelt es sich um Hank Hacker. Nach erfolgreicher Festnahme knickt Hank schließlich ein und gesteht. Er selbst träumt schon seit seiner Kindheit von seinem eigenen Restaurant in seiner geliebten Heimatstadt, doch hätte er nie eine Chance gehabt, solange das erfolgreiche Freddys ebenfalls geöffnet hat. Durch den Angriff erhoffte er sich die Schließung des Lokals. Doch dieser Traum hat sich wohl ausgeträumt. Hank wird verhaftet und landet hinter Gittern.

Nach der erfolgreichen Rekonstruierung des Falls und der Festnahme des Übeltäters, macht sich Freddy an die Wiedereröffnung seines Restaurants. Er reinigt alles extra gründlich durch, besorgt neue Früchte und bereitet alles vor. Nach den letzten anstrengenden Wochen voller Höhen und Tiefen kann er nun endlich sein Geschäft wieder öffnen und seine Kundschaft in Empfang nehmen. Aber eins weiß er ganz genau: so etwas möchte er nicht noch einmal durchmachen.

Um sicherzustellen, dass so etwas nicht noch einmal passieren könnte, erarbeitet er gemeinsam mit Ivo und Annelise ein neues Sicherheitskonzept für sein Restaurant. So werden kurzerhand die Schlösser an Fenster und Türen getauscht und neue Überwachungskameras für das gesamte Gelände integriert, welche Freddy jederzeit über eine App einsehen kann. Am meisten freut er sich jedoch über seine neue Alarmanlage, die eigenständig erkennen und melden kann, sobald es zu ungewöhnlichen Zutritten kommt. Auch wenn das neue Sicherheitskonzept zunächst einen hohen Invest gefordert hat weiß Freddy, dass es sich gelohnt hat. Nichts ist letztendlich teurer für ihn als der Verlust von wichtigen Rezepten, seinen Kunden oder schlimmsten Falls sogar seines Restaurants.

Nach erfolgreicher Inbetriebnahme der neuen Systeme und Vorkehrungen verabschieden sich Annelise, Ivo und Freddy und fahren zurück in ihr Büro, wo auch schon die nächsten Überfälle darauf warten gelöst zu werden.

THE END

Die Erklärung:

Unsere fiktive Geschichte über Freddy soll helfen, ein grobes Gefühl dafür zu bekommen, wie ein Sicherheitsvorfall innerhalb eines Unternehmens ablaufen kann und welche Prozesse dabei wichtig werden.

Auch in der realen Welt ist es sinnvoll sich bei einem Sicherheitsvorfall Experten ins Boot zu holen, die einem Helfen Spuren zu sichern und die Systeme wieder zum Laufen zu bringen. Dafür schauen sie sich vor Ort sämtliche betroffenen Umgebungen an und analysieren den Vorfall bis ins kleinste Detail. Dafür verfügen sie über verschiedene Tools, die ihnen dabei helfen. Damit keine Spuren verloren gehen und die Arbeit optimal aufgenommen werden kann, haben wir eine Hilfestellung, wie man sich am besten in solch einer Situation verhalten kann formuliert (siehe Sidebar).

Neben dem Chaos im Unternehmen darf nicht vergessen werden, verschiedene Personenkreise über den Vorfall und das weitere Vorgehen zu informieren, wie bspw. Kunden und Mitarbeiter. Darüber hinaus bestehen aber auch Meldepflichten für Vorfälle in denen zum Beispiel Daten abhandengekommen sind, sodass die entsprechenden Behörden ebenfalls informiert werden müssen. Da bei Freddy sein Geheimrezept stellvertretend für vertrauliche Daten entwendet wurde, musste auch er den Überfall bei den Behörden melden.

In den häufigsten Fällen ist die Motivation der Angreifer Geld zu erpressen, sodass eine Lösegeldforderungen selten ausbleibt. Diese wird meist als Notiz in verschiedenen Ordnerstrukturen gefunden, wo normalerweise Arbeitsdokumente abliegen. Wir empfehlen solch einer Forderung nicht nachzukommen. Die Angreifer werden sich immer eine Hintertür offenlassen und immer wieder versuchen euer Unternehmen erneut zu verschlüsseln. Unter anderem deshalb ist es auch so wichtig, nach erneuter Inbetriebnahme der Systeme, dafür zu sorgen, dass bisherige Schwachstellen korrigiert und die allgemeine Sicherheit erhöht wird. Hier können unterschiedliche Maßnahmen Sinn machen, darum bereiten unsere Experten ein individuelles Sicherheitspaket für Sie an, welches genau auf das Unternehmen zugeschnitten ist.

Schluss mit Märchen

Sicherheitsvorfälle sind sehr real und zunehmend. Wir beraten Sie und geben Ihnen erste Hilfestellungen für den Ernstfall.
Was tun im Ernstfall?

Lesen sie Weitere Artikel passend zum thema