Deshalb ist es besonders wichtig, Daten abzusichern. Traditionelle Antivirenprogramme können hier jedoch keinen Schutz bieten, da in der Regel keine Schadsoftware benutzt wird. Doch auch Insider hinterlassen Spuren und eben diese gilt es aufzuspüren – wie im Fall einer Berufsschule für angehende Informatiker in Österreich. Gerufen wegen einer unerklärlichen Störung, deckte die Firma EDV-Notruf live einen Angriff auf die Schulserver auf und konnte den Aufenthaltsort des Angreifers straßengenau bestimmen.
Das Praxisbeispiel in einer Berufsschule
Die Berufsschule ist IT-seitig gut aufgestellt. Die 300 Computer und mobilen Geräte im Netzwerk sind über mehrere Firewalls geschützt. Doch den IT-Verantwortlichen ist aufgefallen, dass diverse DNS-Auflösungen (Domain Name System) innerhalb des Schulnetzwerkes nicht mehr zugelassen wurden. Sie engagierten einen externen Notfall-Service, der noch am selben Abend mit der Analyse begann. Normalerweise sollte zu der Zeit kein Rechner mehr aktiv sein.
Die Experten spielten ein Sicherheitssuite auf einen Administrationsrechner, um einen Überblick über ungewöhnliche Verhaltensmuster zu erhalten. So konnte eine Echtzeitüberwachung und Klassifizierung aller Prozesse von allen Endpoints ermöglicht werden und Angriffe und ungewöhnliche Aktivitäten erkannt werden. Nach nur 15 Minuten hatte das Team über die Analyse von Log-Files feststellen können, dass ein Server permanent mit einem Schülerübungs-PC im Labor kommuniziert. Offensichtlich hatte der Hacker umfassenden und vollständigen Zugriff auf das gesamte Netzwerk, selbst dann, wenn Passwörter geändert werden. Viele IT-Security-Lösungen sind in so einem Fall machtlos, da der Angriff nicht als solcher erkannt wird. Das „Advanced Reporting Tool“ hingegen wertet alle Prozessdaten aus, also nicht nur als böswillig kategorisierte Angriffe, sondern auch Whitelisted-Vorgänge, die den ausschlaggebenden Hinweis auf illegale Vorgänge geben können.
Letztlich konnte das EDV-Notruf-Team live beobachten, wie der Angreifer auf das Schulsystem zugreift. Da auf Wunsch alle Prozessaktivitäten und die Kommunikation von Endpoints untereinander auf einer Karte angezeigt werden, konnte das Team schnell den Server ausfindig machen, der auf das Schulnetzwerk Zugriff hat und ihn straßengenau ausfindig machen. Bei der Überprüfung der Adresse wurde dann schnell klar: Es handelt sich um einen Schüler, der Prüfungsunterlagen von den Servern kopiert und Noten verbessert hat. In diesem Fall hat die Schule von einer Anzeige abgesehen, um dem Schüler die Möglichkeit zu geben, sich mit seinem Können für die „gute“ Seite einzusetzen und nicht als Hacker einen illegalen Weg einzuschlagen.
Mehr Schutz gegen Hackerangriffe notwendig
Dieses Beispiel zeigt, dass die Zeiten, in denen allein eine fortschrittliche Antiviren-Software ausreicht, vorbei sind. Gerade in Organisationen, in denen viele Mitarbeiter Zugang zu persönlichen und sensiblen Daten haben, muss die Bekämpfung von Bedrohungen durch Insider in die IT-Sicherheitsstrategie implementiert sein.
Weitere Informationen
Hier geht es zur kompletten Meldung
Weitere Infos zum Thema Business Sicherheit
Weitere Infos zu Schutzprogammen
