{"id":74485,"date":"2024-06-24T16:46:48","date_gmt":"2024-06-24T14:46:48","guid":{"rendered":"https:\/\/www.skaylink.com\/?p=74485"},"modified":"2025-04-04T14:39:52","modified_gmt":"2025-04-04T12:39:52","slug":"you-have-been-hacked-und-jetzt","status":"publish","type":"post","link":"https:\/\/www.skaylink.com\/de\/insights\/blog\/you-have-been-hacked-und-jetzt\/","title":{"rendered":"\u201cYou\u2019ve been hacked\u201d \u2013 und jetzt?"},"content":{"rendered":"\t\t
\n\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t

Home<\/a><\/span><\/span><\/p>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t

\n\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\"\"\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Blog<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t

Cyberattacke \u201cYou\u2019ve been hacked\u201d \u2013 und jetzt?<\/h1>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\tCompromise Recovery \u2013 der schnellste & effektivste Weg, bei Angriffen wieder Herr \u00fcber die eigene Infrastruktur zu werden \t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t
\n\t\t\t\t\t
\n\t\t
\n\t\t\t\t\t
\n\t\t
\n\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t24. Juni 2024\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t
\n\t\t\t\t\t
\n\t\t
\n\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t
\n\t\t\t\n\t\t\t
\n\t\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\n\t\t\t\t\t\t\tAlexander Bogocz\t\t\t\t\t\t<\/span>\n\t\t\t\t\t<\/div>\n\t\t\t\t\n\t\t\t\t\n\t\t\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t
\n\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t
\n\t\t\t\n\t\t\t
\n\t\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\n\t\t\t\t\t\t\tSascha Habegger\t\t\t\t\t\t<\/span>\n\t\t\t\t\t<\/div>\n\t\t\t\t\n\t\t\t\t\n\t\t\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t
\n\t\t\t\t\t
\n\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Und pl\u00f6tzlich geht nichts mehr! Eine Cyberattacke hat die Systeme des eigenen Unternehmens lahmgelegt. Dabei ist es egal, ob die Daten verschl\u00fcsselt, exfiltriert oder Sicherungskopien unbrauchbar gemacht wurden: Der Schaden ist gro\u00df, der damit verbundene \u00c4rger kann sich lange hinziehen. Ein Angriff kann dabei manchmal \u00fcber Monate unbemerkt vorbereitet worden sein, bevor die eigentliche Attacke startet. Das hei\u00dft, die Angreifer*innen sitzen schon seit l\u00e4ngerem verborgen im eigenen System und haben Einsicht sowie Kontrolle \u00fcber viele Tools, Apps und Konten. Nun gilt es, schnell und strategisch vorzugehen, um nicht die gesamte Infrastruktur zu verlieren. Der Weg hei\u00dft Compromise Recovery:<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t

Kontrolle zur\u00fcckgewinnen \u2013 und langfristig behalten!<\/h2>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Compromise Recovery<\/a> bedeutet, einer Organisation nach einer Infiltrierung ihrer Systeme die Kontrolle \u00fcber ihre Umgebung so zur\u00fcckzugeben, dass sie sie dauerhaft beh\u00e4lt. Dies wird in der Regel dadurch erreicht, dass etliche Sicherheitseinstellungen, Arbeitsabl\u00e4ufe und Nutzungsgewohnheiten ge\u00e4ndert werden. Innerhalb k\u00fcrzester Zeit muss dabei oft nachgeholt werden, was zuvor lange Zeit vers\u00e4umt wurde. Eine Herausforderung, auch f\u00fcr die Administrator*innen der betroffenen Organisation. Sie m\u00fcssen meist ihre Arbeitsweise umstellen und besser verstehen, wo es im System besonders gef\u00e4hrdete Bruchstellen gibt.<\/p>

Bei Compromise Recovery ist der wichtigste erste Schritt immer, die Authentifizierung-Services wiederherzustellen und die Auswirkungen von z. B. Ransomware zu begrenzen. So gehen unsere Expert*innen in der Regel vor:<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\"\"\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t\t\t\t
So sieht ein Compromise Recovery nach Empfehlung von Microsoft aus. <\/figcaption>\n\t\t\t\t\t\t\t\t\t\t<\/figure>\n\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t
\n\t\t\t\t\t
\n\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t

Strategie gewinnt: Angreifer*innen \u00fcberwachen & rasch entfernen<\/h2>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Sind Angreifer*innen bereits im System, ist es zun\u00e4chst wichtig, von ihnen unbemerkt zu verstehen, wie sie hereinkamen, wo sie bereits sitzen und was genau sie tun. Erst dann k\u00f6nnen sie in einer raschen Aktion entfernt und dauerhaft ausgesperrt werden. Erfolgreiches Compromise Recovery basiert daher auf vier S\u00e4ulen:<\/p>

  1. Umfang der Kompromittierung erfassen, etwa indem Reaktionen auf Vorf\u00e4lle und Risikoindikatoren erfasst und ausgewertet werden<\/li>
  2. Angreifer*innen mithilfe passender Threat-Protection-Produkte taktisch \u00fcberwachen<\/li>
  3. Systeme durch geeignete Kontrollen abh\u00e4rten, um die Angriffsfl\u00e4che von User*innen mit hochprivilegierten Zugriffen zu verringern und so zu verhindern, dass die Angreifer*innen erneut die Kontrolle \u00fcbernehmen<\/li>
  4. Angreifer*innen aus den Systemen schnell vertreiben bei zeitgleicher Bereitstellung neu aufgebauter Systeme<\/li><\/ol>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t

    Das Segmentieren der Systeme ist dabei essenziell. Die Priorisierung ist einfacher und neue Systeme k\u00f6nnen passgenau vorbereitet werden. Die Administration mit ihren Prozessen und Abl\u00e4ufen hat dabei stets Priorit\u00e4t 1: Hier wollen Angreifer*innen unbedingt hineingelangen, um m\u00f6glichst umf\u00e4ngliche Kontrolle zu haben. Und bei einer erfolgreichen Attacke ist die Administration in der Regel bereits infiltriert.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t

    Um zuk\u00fcnftige Angriffe zu verhindern, ist es wichtig, geeignete Monitoring-Tools einzuf\u00fchren und entsprechend zu schulen. Nur so k\u00f6nnen die Verantwortlichen im Unternehmen Risiken erkennen und lernen, worauf sie achten m\u00fcssen. Dies kann im Compromise Recovery mit einer Analyse des Angriffs und der taktischen \u00dcberwachung der Angreifer*innen verbunden sein. So lernen Administrator*innen direkt, weshalb die Attacke erfolgreich war \u2013 und wie man in Zukunft f\u00fcr Angreifer*innen m\u00f6glichst unattraktiv wird, z. B. durch Multifaktor-Authentifizierung.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\"\"\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t\t\t\t
    Die wichtigsten Handlungsschritte nach einer Cyberattacke<\/figcaption>\n\t\t\t\t\t\t\t\t\t\t<\/figure>\n\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t
    \n\t\t\t\t\t
    \n\t\t
    \n\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t

    Hilfe im Worst Case mit nachhaltigem Effekt<\/h2>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t

    Durch professionelles Compromise Recovery muss nicht die gesamte Infrastruktur neu aufgesetzt werden. Das macht Unternehmen nach Angriffen schneller wieder einsatzf\u00e4hig. Eine deutlich verbesserte Admin-Umgebung und neue Sicherheitsprozesse sorgen zudem nachhaltig f\u00fcr mehr Sicherheit. Die Vorteile:\u00a0<\/p>