Die richtigen Präventionsmassnahmen können das Risiko von Cyber-Angriffen reduzieren. Doch was können Sie tun, nachdem Ihr Treuhandunternehmen Opfer von Datendiebstahl, einer DDoS-Attacke oder Ransomware wurde? Lesen Sie in diesem Blogbeitrag, welche Schritte Sie nach einem Cyber-Angriff tätigen sollten.
Cyber-Angreifende gehen immer gewiefter vor. Statt mit Mails von angeblichen Prinzen warten sie jetzt mit täuschend echt aussehenden Phishing-Fallen, raffinierten Schadprogrammen und perfiden Erpressungsversuchen auf. Da Cyber-Kriminelle ihre Angriffsstrategien ständig weiterentwickeln, müssen Treuhandunternehmen ihre Security-Massnahmen ebenfalls verstärken. Die Basisversion von standardisierter Antivirus-Software reicht oftmals nicht mehr aus, um die Cyber-Bedrohungen von heute abzuwehren. Schützen Sie sämtliche Workloads, Daten und Anwendungen Ihres Treuhandunternehmens über mehrere Domänen hinweg. Nicht minder wichtig ist, dass Sie Ihre Mitarbeitenden für das Thema Cyber-Security sensibilisieren.
Lesetipp: In Teil 1 unserer Cyber-Security-Serie erfahren Sie, welche Cyber-Bedrohungen aktuell lauern und in Teil 2 erhalten Sie praktische Tipps, wie Sie das Risiko von Hackerangriffen auf Ihr Treuhandunternehmen senken können.
Mit den passenden Security-Vorkehrungen sinkt das Risiko eines erfolgreichen Cyber-Angriffes. Doch was können Sie tun, wenn Ihr Treuhandunternehmen Opfer von Cyber-Kriminellen wurde? Was müssen Sie beachten, wenn es zu Datenverlusten, einer DDoS-Attacke oder einem Ransomware-Befall kommt? In den nächsten Abschnitten erfahren Sie mehr über die häufigsten Cyber-Angriffsszenarien und wie Sie darauf reagieren können.
Datenabflüsse nach einem Hackerangriff: So können Sie den Schaden minimieren
Daten werden vielfach als wichtigste Währung der digitalen Welt bezeichnet. Cyber-Angriffe und damit verbundene Datenverluste verursachen weltweit jedes Jahr Kosten in Milliardenhöhe. Gelangen Daten Ihrer Kund:innen – ob absichtlich oder versehentlich – in falsche Hände, drohen ein dauerhafter Vertrauensverlust, Bussen und Sanktionen. Verschaffen Sie sich nach einem Datenabfluss als erstes einen Überblick über das Ausmass der kompromittierten Daten und das damit verbundene Risiko. Identifizieren Sie die Sicherheitslücke und schliessen Sie diese. Sind personenbezogene Daten betroffen, sollten Sie dies dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten melden. Informieren Sie anschliessend Ihre Kund:innen über den Datendiebstahl. Entschuldigen Sie sich aufrichtig und kommunizieren Sie, dass Ihr Treuhandunternehmen alles daransetzt, den Schaden zu begrenzen und Datenabflüsse in Zukunft zu verhindern. Überarbeiten Sie anschliessend Ihr Datenschutzkonzept grundlegend.
Treuhandunternehmen sind momentan besonders gefährdet, bei Hackerangriffen wertvolle Daten zu verlieren. Softwarebrüche, bloss teilweise digitalisierte Prozesse und lokal gespeicherte Dateien machen es nämlich wahrscheinlicher, dass bei einem Hackerangriff Daten kompromittiert werden. Smarte Treuhandsoftware kann die Datenaufbewahrung und Datensicherung in Ihrem Treuhandunternehmen signifikant vereinfachen. Es werden alle relevanten Daten auf einer sicheren Plattform aufbewahrt, auf die nur Sie und autorisierte Mitarbeitende Zugriff haben. Sie definieren die Zugriffsrechte, sodass Sie stets die Kontrolle haben, wer Daten einsehen und bearbeiten kann. Der Plattform-Provider trifft im Normalfall alle grundlegenden Security-Massnahmen, kümmert sich um die Backups Ihrer Daten und erstellt einen IT-Notfallplan (Disaster Recovery), sodass selbst bei perfiden Hacker-Angriffen oder Naturkatastrophen keine Kundendaten verloren gehen.
Das sollten Sie im Falle einer DDoS-Attacke tun
DDoS steht für Distributed Denial of Service und DDoS-Attacken sorgen dafür, dass Ihre Systeme oder Ihre Website entweder nur noch eingeschränkt oder gar nicht mehr abrufbar sind. «Bei einem DDoS-Angriff geht es primär darum, den Angreifenden zu signalisieren, dass sie ihr Ziel nicht erreichen. Halten Sie genügend lange durch, werden sich die Angreifenden typischerweise von Ihnen abwenden», schreibt das Nationale Zentrum für Cybersicherheit (NCSC). Protokollieren Sie zunächst den Angriff, indem Sie Netflows und Server-Logs festhalten. Löschen Sie E-Mails der Erpresser:innen nicht. Halten Sie ausgewählte Kommunikationskanäle offen und informieren Sie Ihre Kund:innen beispielsweise via statischem Webauftritt über die Attacke. Bieten Sie alternative Kontaktmöglichkeiten wie E-Mail, Telefon oder SMS an.
Danach geht es darum, die DDoS-Attacke zu analysieren und eine Abwehrstrategie zu definieren. Ist der Ursprung der Attacke eine beschränkte Anzahl von IP-Adressen, genügt unter Umständen das Filtern dieser Adressen an Ihrem Router oder Ihrer Firewall. Übersteigt das Datenvolumen die Ihnen zur Verfügung stehende Bandbreite, muss Ihr Internet-Provider dies übernehmen. Bei IP-basierten Angriffen können Sie Ihr angegriffenes System in ein anderes Subnetz verschieben. Handelt es sich um eine Attacke mit gefälschten Source-IP-Adressen, macht das Filtern der IP-Adressen keinen Sinn und kann sogar legitime Benutzer aussperren. Wenden Sie sich an Ihren Internet-Provider, der diesen Verkehr umlenken und ausfiltern kann. Dazu sollten Sie wissen, welche Protokolle in Ihrem Treuhandunternehmen eingesetzt werden und welche schadlos ausgefiltert werden können. DDoS-Attacken auf Applikationen erfolgen vielfach in Form einer grossen Anzahl von komplexen Anfragen, welche die Applikation lahmlegen. Dem NCSC zufolge ist die Adresse der Absender:innen dieser Anfragen nur schwer fälschbar und Sie können sie daher filtern. Bei Attacken auf das SSL-/TLS-Protokoll kann das Terminieren der SSL-Verbindung bei einem Cloud-Dienst, der die gefilterte Verbindung danach an Ihre Systeme weiterreicht, hilfreich sein.
Seien Sie darauf vorbereitet, dass die Angreifer:innen bei einer DDoS-Attacke versuchen werden, sich auf Ihre Abwehrmassnahmen einzustellen und die Taktik anzupassen. Analysieren Sie in einem solchen Fall die DDoS-Attacke erneut und wenden Sie entsprechende Gegenmassnahmen an.
Die wichtigsten Schritte, wenn Ihr Treuhandunternehmen von Ransomware infiziert ist
Ransomware ist ein Schadprogramm, das den Zugriff auf Daten und Systeme einschränkt oder unterbindet. Für die Freigabe stellen die Angreifenden in der Regel eine Lösegeldforderung. Laut dem NCSC sollten Sie bei einem Ransomware-Befall die infizierten Systeme umgehend vom Netz nehmen. Dazu trennen Sie das Netzwerkkabel vom Computer und schalten allenfalls vorhandene WLAN-Adapter ab. Nach der Schadensbegrenzung sollten Sie die infizierten Systeme identifizieren. Dabei können «Logdateien» helfen, anhand derer Sie Zugriffe auf Netzwerklaufwerke erkennen. Auch die Metadaten der verschlüsselten Dateien können Hinweise auf infizierte Systeme liefern. So erfahren Sie beispielsweise, welche Benutzerkonten die Dateien erzeugt haben. Sichern Sie diese Logdateien. Anhand der Logs von E-Mail-Server, Proxyserver und Firewall sowie anhand allfälliger weiterer Sicherheitssoftware lässt sich dem NCSC zufolge das Ausmass der Infektion feststellen und die URL und IP-Adressen der Angreifenden lassen sich detektieren. Blockieren Sie diese URL und IP-Adressen auf dem internen Proxyserver beziehungsweise auf der Firewall. Damit verhindern Sie eine ungewollte Verbindung zur Infrastruktur der Cyber-Angreifer:innen. Bei einer Infektion per E-Mail können Sie unter Umständen die URL und IP-Adresse direkt in der E-Mail via Hyperlink oder in einem entsprechenden Anhang auslesen.
Sichern Sie danach Zwischenspeicher und Festplatten. Falls die Ransomware Ihre lokalen Backups ebenfalls verschlüsselt hat, sollten Sie sämtliche Daten behalten. «In einigen Fällen konnten Sicherheits- und Strafverfolgungsbehörden im Zuge ihrer Ermittlungen Zugang zu Schlüsseln oder Entschlüsselungsmethoden finden», so das NCSC. Danach steht die Neuinstallation der von der Cyber-Attacke betroffenen Systeme an. Achten Sie dabei unbedingt darauf, dass das verwendete Betriebssystem von einem vertrauenswürdigen Datenträger stammt.
Lösegeldzahlungen an Cyber-Kriminelle sorgen für mehr Angriffe
Nach einem Cyber-Angriff jeglicher Art sollten Sie abklären, wie die Angreifenden in Ihre Systeme eindringen konnten und was sie dort machten. Nur so können Sie sichergehen, dass es keine Hintertür gibt, über welche die Cyber-Kriminellen weitere Angriffe durchführen können. Das NCSC rät zudem zu einer Strafanzeige bei der Kantonspolizei an Ihrem Geschäftssitz. Sollen Treuhandunternehmen bei einer Cyber-Erpressung Lösegeld bezahlen? Für das NCSC ist die Antwort ein klares Nein: «Es gibt keine Garantie, dass die Verbrecher:innen nach der Bezahlung des Lösegelds die Daten nicht doch veröffentlichen oder anderen Profit daraus machen. Zudem motiviert jede erfolgreiche Erpressung die Angreifer zum Weitermachen, finanziert die Weiterentwicklung der Angriffe und fördert deren Verbreitung.»
