Hackerangriff – was tun?

„Hackerangriff – was tun?“ – eine Frage die sich nicht nur Großkonzerne, sondern zunehmend auch kleine und mittelständische Betriebe stellen. Die Angriffe kommen meist überraschend und bleiben oftmals lange im Vorborgenen. Umso wichtiger ist es vorbereitet zu sein, um schnell und gezielt handeln zu können. 

Die Entwicklung von Hackerangriffen

Die Anzahl digitaler Attacken steigt – und mit ihr auch der verursachte Schaden. Laut der aktuellen Bitkom Studie zum Thema Wirtschaftsschutz waren im Jahr 2024 ganze 74% der Firmen innerhalb Deutschlands bereits von Datendiebstahl betroffen. Der Schaden durch solche Cyberangriffe liegt bei 178,6 Milliarden Euro. 

Während vor einigen Jahren noch s.g. „Script-Kiddies“ die Hacker-Szene dominierten sind es heute hochprofessionelle Angreifer-Gruppen, die strukturiert vorgehen – mit Erfolg. Oftmals herrscht eine Art Arbeitsteilung: Einige sind darauf spezialisiert, kontinuierlich nach Sicherheitslücken in den Anwendungen, Betriebssystemen und Protokollen zu suchen, andere schreiben entsprechende Exploits, um diese Lücken für ihre kriminellen Zwecke auszunutzen. Dabei handeln die Angreifer entweder aus eigenem Interesse oder sie werden von Wettbewerbern bzw. Staaten beauftragt.

Auch die Dauer der Angriffe hat sich signifikant verändert. Noch vor einigen Jahren lagen zwischen Erstzugriff und Verschlüsselung des Unternehmens noch mehrere Monate heute sind es wenige Tage oder Stunden. Experten wie Wolfgang Straßer, vermuten, dass einige Szenarien bereits durch KI beschleunigt werden.

Typische Schwachstellen im Unternehmen

Viele Cyberangriffe beginnen mit einem ganz normalen Arbeitsalltag. Ein Klick auf einen falschen Link oder ein nicht abgesichertes Endgerät reichen oft schon aus. Ob Mensch, Technologie oder fehlende Prozesse: Wer seine IT schützen will, muss die Schwachstellen kennen und gezielt minimieren. 

Viele Unternehmen setzen bereits auf regelmäßige Awareness-Schulungen, um Mitarbeiter zum Thema Cybersicherheit zu sensibilisieren. Doch trotz dieser Bemühungen bleibt der Mitarbeiter im teils stressigen Arbeitsalltag ein Risikofaktor. Umso wichtiger ist es, in die IT-Sicherheit der Systeme und Netzwerkumgebungen zu investieren.

Typische Szenarien, die Angreifer ausnutzen, sind:

• Unzureichender Schutz von Endgeräten
• Zu hohe Administrationsrechte für einzelne User
• Schlechte Implementierung von Lösungen
• Fehlende regemäßige Wartung der eingesetzten Anwendungen
• Unzureichendes Patch-Management

Oftmals ist es bereits die IT-Infrastruktur, die es den Angreifern besonders leicht macht. Unzureichender Schutz und fehlende Netzwerksegmentierung ermöglichen einen einfachen Zugriff auf sensible Bereiche. Eine umfassende IT-Infrastrukturberatung sorgt für eine optimale und sichere Konzeption.

Viele Unternehmen nutzen VPN-Lösungen, um ihren Datenverkehr zu verschlüsseln und die IP-Adressen zu verbergen. Doch falsch eingerichtet bietet auch diese vermeintlich sichere Lösung ein Einfallstor für Cybercrime-Aktivitäten. 

Weitere Schwachstellen sind die Arbeitsplätze der User, die in vielen Fällen über zu viele Rechte verfügen. Besitzt ein User beispielsweise Admin-Rechte und wird das Endgerät erfolgreich über eine Phishing-Attacke angegriffen, ist es für professionelle Hacker kein großer Aufwand, über diesen Weg in das gesamte Firmennetzwerk zu gelangen. 

Phishing, Ransomware & Advanced Persistent Threat

Was tun bei einem Hackerangriff – das kommt ganz auf die Art der Cyberattacke an. Besonders häufig sind die folgenden Formen:

• Phishing-Attacken erfolgen hauptsächlich per E-Mail. Üblicherweise werden die Empfänger der kriminellen E-Mails gebeten, einen infizierten Anhang zu öffnen oder Zugangsdaten auf einer infizierten Webseite einzugeben. Die Vorgehensweise der Kriminellen ist dabei so geschickt, dass der Betrug auf den ersten Blick nicht auffällt. Auf diese Weise wird den Angreifern die Tür zum Unternehmensnetzwerk geöffnet.
• Ransomware ist eine mögliche Folge erfolgreicher Phishing-Attacken. Sie ist die häufigste und auch schwerwiegendste Form von Cybercrime. In diesem Fall werden (sensible) Daten abgegriffen und die gesamte IT so verschlüsselt, dass das Unternehmen nicht mehr arbeitsfähig ist. Die Daten werden dann zur Erpressung von Lösegeld genutzt. Die Kommunikation zwischen Hacker und Opfer erfolgt dazu über spezielle Plattformen im Darknet.
• Advances Persistent Threats (APTs) zielen hingegen auf das Know-how (Produktinformationen etc.) des Unternehmens ab. Diese Art von Cyberattacke wird oftmals erst sehr spät erkannt, da die Angreifer hier sehr vorsichtig vorgehen.

Zwar existieren mittlerweile einige Tools am Markt, die einen Hackerangriff signalisieren können, hier fehlt es allerdings an IT-Security-Experten, die in der Lage sind, die Hinweise entsprechend zu interpretieren und Maßnahmen abzuleiten.

Incident Response – Was beim Hackerangriff zu tun ist

Wird eine Cyberattacke erst einmal entdeckt, befindet sich das angegriffene Unternehmen im Ausnahmezustand. Deshalb ist es wichtig, sich bereits mit dem Gedanken auseinanderzusetzen, Opfer eines Hackerangriffs zu werden. Im Rahmen eines durchdachten Notfallplans sollten die folgenden Fragen im Vorfeld geklärt sein:

• Wer muss im Ernstfall informiert werden?
• Welche Behörden (Kriminalpolizei, LKA usw.) sind einzuschalten?
• Gibt es Partner, die die IT-Infrastruktur und Unternehmensprozesse kennen und möglichst schnell reagieren können?
• Wer muss intern involviert werden?
• Wie erreicht man die Mitarbeiter?
• Wie kommuniziert man die Krise an Kunden, Partner, Lieferanten?
• Wo kann man Rechtsberatung in Anspruch nehmen?

Unternehmen müssen sicherstellen, auch im Falle einer kompletten Verschlüsselung kommunikationsfähig zu bleiben. Hierzu gilt es zunächst die „wichtigsten“ Mitarbeiter zu identifizieren und private E-Mail-Adressen und/oder Handynummern zu sammeln und deren Pflege sicherzustellen. Abteilungs- oder Bereichsleiter und andere Führungskräfte sollten ebenfalls vorbereitet sein und ihre Teammitglieder im Notfall erreichen können.

Ebenso sollte intern klar definiert sein, wer was beim Hackerangriff zu tun hat. Eine besondere Rolle nehmen hier neben Geschäftsführung und IT-Leitern, die Sicherheits- und Datenschutzbeauftragten sowie die Bereichsleiter des Unternehmens ein. 

Bei der Kommunikation nach außen ist professionelle Unterstützung essenziell. Neben einem Anwalt für IT-Recht, ist die Zusammenarbeit mit einer spezialisierten Kommunikationsagentur empfehlenswert - schließlich kann eine Cyberattacke zu einem erheblichen Imageschaden führen. Insbesondere bei Ransomware ist zudem eine offizielle Datenschutzmeldung abzugeben. 

Fazit: Was tun bei Hackerangriff?

Eine gute Vorbereitung ist das A und O um gezielt handeln zu können. Grundsätzlich ist das Top-Management gefordert sich Gedanken darüber zu machen, wie abhängig das Unternehmen von der eigenen IT ist. Es ist zu klären, welches die wichtigsten Prozesse und Daten sind und wie diese abgesichert werden können. Abschließend kann ein umfassender Notfallplan im Falle einer Attacke die nötige Orientierung bieten und eine strukturierte Vorgehensweise sichern.