3 Typen von Hackern und wie Sie zusammenarbeiten

Wenn man an Hacker denkt, hat man ja oft sofort dieses Film-Bild im Kopf: dunkler Raum, Kapuze, jemand tippt wild auf einer Tastatur herum und sucht sich ganz gezielt ein Unternehmen aus.

In der Realität ist es meistens deutlich professioneller. Heute stellen wir Ihnen 3 Hacker und ihre Vorgehensweisen vor.

Der erste Typ in dieser Kette ist oft so eine Art „Finder“. Der sitzt nicht da und denkt sich: Heute nehme ich mir mal genau diese Firma vor.

Der lässt einfach vollautomatisiert, quer durchs Internet, Programme laufen. Die Programme suchen nach offenen Einfallstoren, nicht nach konkreten Firmennamen oder Branchen:

Ein bisschen wie jemand, der mit einem Netz durchs Wasser geht und einfach schaut, was drin hängen bleibt.

Der Finder ist also nicht der Angreifer. Den lernen Sie gleich noch kennen. Der Finder sammelt, listet auf, sortiert vor und verkauft seinen Fund schließlich weiter.

Ganz wichtig: Cyber-Angriff starten meistens nicht mit „Wir wurden angegriffen“, sondern mit „Wir waren von außen sichtbar, ohne dass es uns so richtig klar war.“

Nehmen wir an, der Finder hat jetzt einen offenen Zugang bei Ihnen gefunden. Jetzt kommt unser nächste Hackertyp ins Spiel: der, den man ganz gut „Veredler“ nennen kann.

Dieser Typ sucht nicht selbst, er kauft ein, was andere vorher gefunden haben. Auf Marktplätzen, in Foren, in diesen Ecken, in die man lieber gar nicht zu genau reinschaut. Für ihn ist so ein gefundener Zugang erstmal Rohmaterial.

Nachdem er nun beim Finder Ihren Zugang gekauft hat, prüft er, ob der Zugang stabil ist:

Ohne, dass sie es merken, noch gab es keine Unauffälligkeit, die Sie hätten erkennen können.

Der Veredler baut nun seinen Fund zu einem fast fertigen Produkt, den auch er weiterverkaufen wird: einen belastbaren, bewerteten Zugang, mit dem ein anderer später wirklich Schaden anrichten kann. So nüchtern läuft das.

Fast schon wie eine Lieferkette, oder nicht?

Jetzt kommt der, den Sie bemerken werden. Der Erpresser. 💀

Systeme fallen aus. Bildschirme frieren ein. Nichts geht mehr. Produktion stoppt, Dateien sind verschlüsselt, irgendwo taucht eine Nachricht auf.

Der Erpresser hat sich Ihren vorbereiteten Zugang im Darknet eingekauft und schaut sich erstmal entspannt um:

Jetzt wartet der Erpresser natürlich genau auf den Moment, der Ihnen maximalen Druck erzeugt und legt Ihre Prozesse lahm. „Wir haben Ihre Daten. Zahlen Sie. Sonst bleibt alles blockiert. Oder die Daten gehen raus.“

Geschäftlich richtig schön unangenehm, denn er will Ihnen das Gefühl geben, dass Sie sofort entscheiden müssen. Rationales denken aus, Steinzeit-Gehirn an.

Keiner von den drei Typen kennt Ihr Unternehmen persönlich. Es ist einfach ein Geschäft, leider. Jemand hat eine offene Tür gefunden, jemand anders hat sie ausgebaut, und der Dritte nutzt diese dann maximal brutal aus und jeder hat seinen Pfennig an Ihrem offenen Zugang verdient.

Schauen Sie ruhig mal aus der Perspektive des „Finders“ auf Ihre eigene IT: nicht „Warum wir?“, sondern eher „Wo steht bei uns eine Tür offen?“

Lassen Sie regelmäßig prüfen, welche Systeme und Dienste von außen überhaupt erreichbar sind. Also wirklich nüchtern draufschauen: Was ist im Internet sichtbar, was davon muss sichtbar sein, und was ist vielleicht einfach irgendwann mal offengeblieben?

Schützen Sie nicht nur den Zugang nach außen, sondern halten Sie auch Ausschau nach anormalem Verhalten: Also ungewöhnliche Anmeldungen, neue Rechte, seitliche Bewegungen im Netz, Zugriffe zu seltsamen Zeiten. Genau dort fällt dieser zweite Typ manchmal auf.

Vielleicht ist das ein guter Moment, mal intern zu fragen: Haben wir die nötigen Werkzeuge zu erkennen, wenn sich jemand mit einem gültigen Zugang still und sauber durch unsere Umgebung bewegt?

Machen Sie Immutable Backups und Notfallpläne! Und prüfen Sie Ihre Backups nicht nur darauf, ob sie existieren, sondern ob sie im Ernstfall schnell und sauber wiederherstellbar sind. Dieses Detail entscheidet im Krisenfall.

Und wenn Sie Angegriffen worden sind können Sie mit einem Security Operations Center (SOC) den Schaden schnellstmöglich abwenden.

Fragen Sie sich nicht „Warum sollten WIR angegriffen werden?“ sondern „Wo hätten wir den Ablauf früher stoppen können?“. Die schlechte Nachricht ist: Die gründlichsten präventiven Schutzmaßnahmen bieten keinen 100% Schutz vor Cyber-Angreifern. Vielleicht hat sich schon jemand vor 10 Jahren bei Ihnen unentdeckt eingeschleust.

Also, schützen Sie sich vor den Hackern indem …

… Sie möglichst alle Einfallstore schließen. (Updates, MFA, User Awareness Training etc.)

… Sie Ihre Systeme 24/7 im Blick behalten, damit sie verdächtige Aktivitäten sofort erkennen. (z.B. mit Monitoring und SOC)

… Sie für im Ernstfall nicht erpressbar sind und Ihre Systeme wieder hochfahren können (Immutable Backups …)