Über die Arten und den Schutz vor Cyberangriffen wird viel geredet. Doch was, wenn es für eine Vorbeugung bereits zu spät ist? Was, wenn ein Angriff bereits stattgefunden hat? Und woher weiß man das überhaupt?
Ob ein System oder Netzwerk kompromittiert oder ein Identitätsdiebstahl stattgefunden hat, ist tatsächlich nicht immer sofort erkennbar. Erfahrenen Hackern gelingt es, einen Systemeinbruch eine Weile geheim zu halten. So nutzen sie ihr Opfer möglichst lange aus. Zudem können Cyberkriminelle Sicherheitsprogramme deaktivieren oder deinstallieren, sodass keine Warnhinweise mehr erhalten werden.
Generell gilt, je ausgeklügelter die Techniken und je erfahrender der Angreifer, desto schwieriger ist es beziehungsweise desto länger dauert es, eine Cyberattacke als solche zu identifizieren. Allerdings spielt auch die Art des Angriffs eine Rolle. Bei Ransomware-Angriffen mit Lösegeldforderungen ist es schließlich im Sinn der Angreifer, mit dem Opfer in Kontakt zu treten und über den Datendiebstahl aufzuklären.
In anderen Fällen ist es nicht so offensichtlich. Dennoch gibt es eine Reihe an Anzeichen, die darauf hindeuten, dass dein Computer mit Malware infiziert wurde und / oder dass deine persönlichen Daten in fremde Hände gelangt sind:
- Der Rechner arbeitet auf einmal nur noch langsam und reagiert verzögert
- Der Rechner läuft heiß und friert ein
- Dateien lassen sich plötzlich nicht mehr öffnen
- Anti-Virus-Software ist deaktiviert oder startet nicht
- Auftauchen von verschlüsselten bzw. nicht lesbaren Dateien
- Entdeckung von unbekannten Dateien auf dem Computer
- Änderung von Dateien
- Plötzliche Neustarts
- Änderung des Desktophintergrunds
- Aufforderung zur Installation eines Programmes
- Aufforderung zur Eingabe des Administrator-Passworts
- Personen erhalten merkwürdige E-Mails von deinem Account
- Internetsuchen werden umgeleitet
- Kein Zugriff mehr auf eigene Accounts
- Generell auffällige Account-Aktivitäten, die nicht vom User durchgeführt wurden
- Erhalt von Rechnungen über nicht erworbene Produkte, Programme etc.
- Unerwartete Verweigerung der Kreditkarte
- Posts auf Social Media Posts, die nicht vom Accountinhaber hochgeladen wurden
- Lösegeldaufforderungen
Wurde der Virenscanner oder die Firewall unangetastet gelassen und meldet verdächtige Aktivitäten wie zum Beispiel Transaktionen, sollten Sie hellhörig werden. Oftmals erhält man auch von Telekommunikationsanbietern den Hinweis, dass von der eigenen IP-Adresse Spam-E-Mails verschickt oder Hackerangriffe vorgenommen werden.
Besteht der Verdacht, gehackt worden zu sein, können Sie Ihren Rechner hinlänglich der angeführten Anzeichen kontrollieren. Auf jeden Fall sollten Sie das IT-Security-Team informieren. Liegt tatsächlich ein Angriff vor, gilt es die IT-Spezialisten evaluieren zu lassen, welche sofortigen Sicherheitsmaßnahmen vorgenommen werden müssen (etwa die Änderung von Passwörtern, Herunterfahren und Aktualisieren von Systemen...).
Des Weiteren stehen Sie in der Verpflichtung, Ihre Kunden und Geschäftspartner zu informieren. Betroffene Parteien müssen über den Vorfall und das weitere Vorgehen in Kenntnis gesetzt werden. Auch wenn dies unangenehm anmutet, erhält Offenheit und Ehrlichkeit im Gegensatz zum Verschweigen des Angriffs das gegenseitige Vertrauen.
Ein erfolgreicher Cyberangriff auf ein Unternehmen gilt als krimineller Tatbestand. Daher müssen Sie die Polizei verständigen und sowohl für die Strafverfolgungsbehörden als auch für die Versicherung alle verfügbaren Beweise sichern. Strafrechtlich relevante Cyberangriffsfälle umfassen:
- Das unbefugte Eindringen in ein Datenverarbeitungssystem
- Der Diebstahl von Logindaten
- Diebstahl, Verschlüsselung und Manipulation von Daten aller Art
- Erpressung u.Ä.
Neben der Polizei sollten Sie alle erfolgreichen und auch nicht erfolgreichen Cyberangriffe dem Nationalen Zentrum für Cybersicherheit (NCSC) melden.
Falls dies noch nicht geschehen beziehungsweise noch keiner vorhanden ist, ist es dringend ratsam, einen Notfallplan zu erstellen. Am besten besteht dieser aus einem Disaster-Recovery-Plan und einem Business-Continuity-Plan. Die beiden Konzepte beinhalten das Vorgehen im Falle eines Angriffs und stellen zum einen sicher, dass die Geschäftstätigkeit möglichst schnell fortgesetzt werden kann und zum anderen, dass alle wichtigen Schritte und Prozesse von den beteiligten Parteien eingehalten sowie korrekt umgesetzt werden. Zudem bieten solche Konzepte eine Leitlinie in Krisen und ermöglichen ein strukturiertes, wohlbedachtes Vorgehen, das die entscheidende Rettung sein kann.