Hackerangriff: So retten Spezialisten wertvolle Daten

So wie die Firma Digital Recovery. Das Unternehmen mit Sitz in Schwelm (NRW) ist in sechs Ländern vertreten und kann nicht nur Daten retten, sondern auch gehackte Systeme wieder zum Laufen bringen. Aber was genau tun die Spezialisten, wenn sich Firmen, Behörden oder andere Institutionen an sie wenden? „Im Falle eines Cyberangriffs liegt unser Hauptaugenmerk auf der Wiederherstellung und Entschlüsselung der kompromittierten Daten“, erklärt Digital-Recovery-Geschäftsführer Christoph Demiriz im Gespräch mit COMPUTER BILD. „Zunächst isolieren wir das betroffene System, um eine sichere Umgebung für die Datenrettung zu schaffen. In dieser Phase ist es unsere oberste Priorität, den Zustand direkt nach dem Angriff zu konservieren, um die besten Chancen für eine erfolgreiche Datenwiederherstellung zu gewährleisten. Die nächste Phase ist die Tiefenanalyse und beinhaltet die Anwendung von professioneller Forensik-Software und eigenentwickelten Algorithmen und Entschlüsselungstechniken, die wir TRACER Technologies nennen.“ So werden die Daten nach und nach wiederhergestellt und die Systeme wieder zum Laufen gebracht.

Damit die Kunden für die Zukunft besser gerüstet sind und die Wahrscheinlichkeit weiterer Vorfälle reduziert wird, empfiehlt Demiriz, immer alles von Grund auf neu zu installieren und nur den „User-generated Content“ (also zum Beispiel Office-Dokumente, Datenbanken, Fotos) aus der Wiederherstellung zu importieren. Denn in den meisten Fällen erfolge ein Cyberangriff über Wochen, sodass auch ältere Backups bereits infiziert seien, warnt der IT-Experte. Und genau hier machten viele Admins einen entscheidenden Fehler, sagt Christoph Demiriz: Um Aufwand zu sparen, setzten sie einfach ein älteres, ungeprüftes Backup ein. Folge: Die Angreifer nutzen diese Schwachstelle erneut aus, dringen wieder virtuell in das Unternehmen ein und verschlüsseln zum zweiten Mal sämtliche Server und Daten.

Aber warum dauert es unter Umständen Wochen oder gar Monate, bis ein gehacktes Unternehmen wieder normal arbeiten kann? Christoph Demiriz erklärt es an folgendem Beispiel: „Stellen Sie sich vor, Ihr privater PC ist wie ein kleines Dorf, in dem alles schnell wiederaufgebaut werden kann, nachdem ein Unwetter durchgezogen ist. Sie kennen jede Straße und jedes Haus und können schnell feststellen, was repariert werden muss. Wenn der PC eines Einzelnen abstürzt, ist es oft so, als würde man einfach die Hauptstraße des Dorfes aufräumen und die paar umgestürzten Bäume wegräumen. Man installiert das Betriebssystem neu und spielt das letzte Backup ein – und das Dorf ist wieder lebendig“, erklärt Demiriz. „Ein großes Unternehmen hingegen gleicht einer Metropole mit unzähligen Straßen, Brücken und Gebäuden. Wenn hier zum Beispiel eine Sturmflut wütet, also ein System ausfällt, ist das Chaos viel größer. Die Herausforderung besteht darin, dass es nicht nur viel mehr zu reparieren gibt, sondern die Schäden auch komplexer sind. Jede Straße (Datenweg) und jedes Gebäude (Server oder Datenbank) haben eine spezielle Funktion und sind mit vielen anderen vernetzt. Es dauert daher viel länger, die Metropole wieder funktionsfähig zu machen, weil man nicht nur die Schäden beseitigen, sondern auch das komplexe Netzwerk der Infrastruktur wiederherstellen muss.“

Dazu kämen weitere Faktoren: Es fehle oft an Fachkräften und an technischen Ressourcen, um alle Reparaturen gleichzeitig vorzunehmen. So könne es passieren, dass das Wiederhochfahren Wochen oder gar Monate dauere. Eine weitere Herausforderung: Unternehmen müssen nicht nur den durch einen Hackerangriff entstandenen Schaden beheben, sondern auch Vorsichtsmaßnahmen für die Zukunft ergreifen. Dazu gehören etwa die Einführung besserer Cybersicherheitssoftware oder Firewalls, unter Umständen die Erweiterung des IT-Sicherheitsteams oder gar die Änderung, meist Verschärfung, von Arbeitsvorschriften. Diese Schritte seien oft notwendig, damit die alten Schwachstellen nicht wieder aufträten. Das bedeute aber auch, dass der Prozess der Wiederherstellung viel mehr Zeit und Ressourcen in Anspruch nehme.

Viele Hacker haben es nicht nur auf die Daten abgesehen, sondern verlangen Lösegeld, damit das Unternehmen wieder auf seine Daten zugreifen kann. Sollte man aus der Not heraus hier nachgeben und erst einmal zahlen? „Eine zentrale Frage ist die nach der Zuverlässigkeit und der Vertrauenswürdigkeit der Angreifer“, gibt Demiriz zu bedenken. „Kann man darauf vertrauen, dass die Cyberkriminellen nach Erhalt des Lösegelds tatsächlich die Entschlüsselungscodes liefern und diese auch funktionieren? Historisch gesehen gibt es keine Garantie dafür, und es existieren zahlreiche Fälle, in denen die Daten trotz Zahlung nicht wiederhergestellt wurden. Des Weiteren stellt sich die Frage der Nachhaltigkeit: Führt die Zahlung von Lösegeld nicht zur Ermutigung der Angreifer, ihre kriminellen Aktivitäten fortzusetzen und möglicherweise weitere Forderungen zu stellen? Solche Zahlungen können eine Endlosschleife von Erpressungen nach sich ziehen“, gibt der Experte zu bedenken. Auch aus sicherheitstechnischer und betriebswirtschaftlicher Sicht sei ein Nachgeben problematisch: Die Zahlung von Lösegeldern könne ein Signal an andere potenzielle Angreifer senden, dass das Unternehmen bereit ist zu zahlen, was es zu einem attraktiven Ziel machen könnte. Stattdessen könnten die finanziellen Mittel, die für die Zahlung des Lösegelds aufgebracht werden würden, besser in die Verbesserung der eigenen Sicherheitsmaßnahmen investiert werden. Anstatt in Panik zu verfallen, ist es nach Auffassung von Christoph Demiriz daher ratsam, sich an Experten zu wenden, die Erfahrung im Umgang mit solchen Situationen haben und die besten nächsten Schritte empfehlen können, und nicht vorschnell riskante Zugeständnisse zu machen.