Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Software & Infrastruktur

So verhindern Unternehmen den Ernstfall: 10 Tipps gegen Hacker

    So verhindern Unternehmen den Ernstfall: 10 Tipps gegen Hacker

Worstcase-Szenario Hacker-Angriff. #FLICKR#

Schon mal Opfer eines Hacks geworden? Der ehemalige „Security Information Officer“ bei CHIP, Frederic Mohr, plaudert über seine persönlichen Erfahrungen mit dem Worstcase-Szenario – und wie bei CHIP gegen den Hack vorgegangen wurde.

Vor ungefähr einem Jahr hatte ich meinen ersten richtigen Sicherheitszwischenfall. Das Firmenforum war verseucht und es war mein Job, die Reaktionen auf diesen Vorfall zu überwachen und zu koordinieren. Für mein Team und mich war das ein ziemlicher Sprung ins kalte Wasser, da wir nie zuvor einen Angriff dieser Größe erlebt hatten.

Eine Vorbemerkung

Das ist eine Niederschrift der Vorkommnisse – aus meiner Perspektive und wie ich sie erlebt habe. Vielleicht hast du ja mitbekommen, dass das Forum auf Chip.de gehackt wurde. Chip ist ein Technikmagazin, das sich an Endkunden wendet, und hat um die 2,4 Millionen registrierte Nutzer. Nicht alle von ihnen sind aktiv, manche von ihnen haben bisher noch nicht mal ihren Account aktiviert, aber es sind immer noch eine ganze Menge Nutzer. Unglücklicherweise macht es das um so schwerer, wenn es eine Sicherheitslücke gibt.

Was ist passiert?

Das offizielle Statement kann man hier nachlesen. Zusammenfassend sagt es, dass sich am Montag, den 24. März 2014, jemand unerlaubten Zugang zu unserem Forum verschafft hat. Bisher wissen wir noch nicht, wie sie das geschafft haben, aber der in Frage kommende missbrauchte Account hatte zumindest einige höhere Zugriffsrechte, die es dem Angreifer erlaubten, weitere Mitarbeiter-Accounts zu missbrauchen.

„Ja, wir haben Fehler gemacht!“

Sobald wir merkten, dass etwas Verdächtiges im Gange war, nahmen wir das System vom Netz und benachrichtigen unsere Nutzer, dass es Wartungsarbeiten am Forum gab. Wir engagierten externe Forensik-Experten, um Beweise für die Sicherheitslücke zu sichern und das System zu analysieren, sodass wir herausfinden konnten, was passiert war und wie es passiert war. Als wir davon erfuhren, dass möglicherweise Benutzerdaten betroffen sein könnten, benachrichtigten wir alle Adressen in der Datenbank (2,4 Millionen).

Derzeit wissen wir immer noch nicht, ob Benutzerdaten geklaut worden sind.

Aber das ist noch nicht alles!

Das oben Geschriebene sieht recht überschaubar aus. Wir wurden gehackt, wir beauftragten Forensik-Experten, wir benachrichtigten die Nutzer.

Zuerst einmal gibt es ein paar Punkte, die ich klarstellen will:

  1. Erster Kontakt: Ich habe noch nie mit Forensik-Analysten zusammengearbeitet.
  2. Wie du dir vielleicht denken kannst, ist das eine Situation, auf die man sich nur schwer vorbereiten kann.
  3. Ja, wir haben Fehler gemacht! (Wir sind nicht perfekt! Das ist meine Meinung – wie schon gesagt!)
  4. Die Zeit raste nur so in dieser Woche ...

Und jetzt lasst uns einmal einen genaueren Blick auf meine letzte Woche werfen ...

Montag

Hier muss ich meinen ersten Fehler eingestehen – ich habe meine Mails nicht gecheckt. Ich kam von der Arbeit nach Hause und habe mein Handy nicht auf Nachrichten überprüft. Deshalb habe ich eine Menge Informationen verpasst. Wenn ich meine Mails gecheckt hätte, wäre ich vielleicht viel früher dazu in der Lage gewesen, eine Entscheidung zu treffen. Das hätte den Angriff nicht verhindert, aber wir hätten vielleicht die Forensiker schon am Dienstag früh bekommen können.

Dienstag

Ich rief meine Mails während des Frühstücks ab, da überrollten mich die Nachrichten wie eine große Welle, die über mir zusammenschlug. Ab diesem Zeitpunkt hatte ich für lange Zeit keine richtige Pause mehr (und ich war nicht der Einzige!). Also flitzte ich zur Arbeit und versuchte herauszubekommen, was genau passiert war, wer Informationen hatte und ob irgendjemand schon eine Art Plan hatte.

Bevor ich fortfahre, möchte ich all meinen Mitarbeitern danken, die einen wirklich tollen Job gemacht haben. (Glaub nicht, dass ich das alles allein gemacht habe – ich hatte gut zu tun, aber es gab noch eine Menge Leute, die alles gegeben haben).

Kurz bevor das Meeting zusammengetrommelt wurde, schaffte ich es, eine Forensik-Firma zu kontaktieren und zu fragen, ob sie sofort jemanden schicken könnten. Sie wollten nachgucken – was hieß, dass ich mich gedulden musste. Das war nicht schlimm, denn ich hatte gerade genug Zeit, um zu meinem Meeting zu rennen, das soeben begann. Warum eigentlich ein Meeting, in so einer Situation? Naja, die Meetings erwiesen sich im Nachhinein als sehr wichtig (obwohl sie anstrengend waren), weil sie uns dabei halfen, uns auf die wichtigen Dinge zu konzentrieren und auf diese Weise unseren Informationsstand abzugleichen. Das erste Meeting war ein bisschen chaotisch, weil so ziemlich alle Kollegen der Technik dazukamen und wir herausfinden mussten, was wir bisher wussten und wie wir vorgehen würden, das zu reparieren. Aber es war ein guter Weg zu klären, wer welchem Team beitritt und wer das nötige Know-how besaß, um welcher Gruppe zu helfen.

Insgesamt gab es vier Haupt-Teams. (Es tut mir leid, falls ich jemanden übersehen habe. Das sind nicht alle Leute, die mitgeholfen haben, nur ein grober Überblick auf die Haupt-Gruppen).

Das Forensik-Team

IT-Sicherheit
Experten versuchten den Vorgang des Hacks aufzuklären. (Foto: © Steven Jamroofer – Fotolia.com)

Beauftragt mit der Analyse des Systems, bestand dieses „Team“ aus einem meiner Mitarbeiter, mir selbst und natürlich den Forensik-Experten. Wir hatten einen Analysten vor Ort, und es war unsere Aufgabe, ihn zu unterstützen (von hier an werde ich ihn „Mr. M.“ nennen), indem wir ihm Logfiles und Datenbank-Dumps zur Verfügung stellten, ihm die physischen Adressen der Server mitteilten und all seine Fragen beantworteten.

Das „Wiederbelebungs“-Team

Ich nenne es so, weil „Wiederbelebung“ das Wort auf ihrem Whiteboard ist, das mir in Erinnerung geblieben ist. Diese Leute waren die ganze Zeit damit beschäftigt, das Forum auf sichere Weise wieder online zu stellen, damit Nutzer sich wieder einloggen und interagieren konnten. Ihr erstes Ziel war, das Forum am Dienstag im Read-Only-Modus online zu stellen. Das System wurde auf „Read-only“ gesetzt, sodass die Inhalte wieder zugänglich waren (natürlich auf neuen Servern!), aber nicht mehr verändert werden konnten – für den Fall, dass der Angreifer zurückkehren sollte.

Das zweite Ziel war, das gesamte Forum wieder aufzustellen, mit höheren Sicherheitsvorkehrungen und auf neuer Hardware, weil die alte nicht benutzt werden konnte. Du denkst vielleicht, dass ein Forum aufzusetzen eine einfache Sache ist, aber dieses System ist sehr komplex und sie mussten einige Hürden überwinden, um das hinzukriegen. Das war viel mehr, als nur ein Backup wieder einzuspielen. Wir wussten ja noch nicht mal, ob wir den Backups vertrauen konnten! – Das ist alles, was ich über dieses Team sagen kann, da ich nicht dabei war. Aber für mich war dies ein Beispiel, welches ihre unglaublichen Fähigkeiten unter Beweis stellte und ich bin froh, mit so tollen Leuten zusammenzuarbeiten.

Das Kommunikationsteam

Das Kommunikationsteam war ein wenig vage definiert, weil eine Menge Leute an irgendeinem Punkt dort mitwirkten, aber das Herzstück bestand natürlich aus unserem PR-Manager, dem oberen Management, einem Teil des Presse-Teams und mir (vor allem für technische Fragen). Dieses Team wurde nach dem Meeting zusammengestellt und bekam die Aufgabe, unsere Nutzer zu informieren und die Kommunikation in unserer Firma und mit unserem Datensicherheitsbeauftragten, Anwälten und so weiter zu übernehmen. Sie mussten alle Informationen sammeln und zur Verfügung stellen, sie sortieren und auf dieser Grundlage Entscheidungen fällen – und sie haben das meiner Meinung nach richtig gemacht.

Das Community-Team

Das ist das einzige richtige Team. Das Community-Team moderiert normalerweise unser Forum, aber auch die Social-Media-Kanäle wie Twitter, YouTube und so weiter. Abgesehen von ihrer Rolle im Kommunikations-Team mussten sie alle hereinkommenden Fragen beantworten – manche von ihnen mussten vorher von den Forensikern geprüft werden, um zu vermeiden, dass Gerüchte aufkommen oder dass Statements nach außen gehen, die nicht wahr sind (oder noch nicht von Mr. M. als Fakt bestätigt wurden).

Wie man sieht, musste eine ganze Menge Leute sicherstellen, dass jedermann auf dem letzten Stand der Informationen war, was viel Arbeit war, die nebenbei anfiel. Nach dem Meeting rief ich unseren Forensik-Kontakt an, und er sagte mir, dass einer seiner Analysten (Mr. M.) in ungefähr zwei Stunden bei uns sein könnte. Sobald Mr. M. eintraf, mussten wir ihn über den Angriff unterrichten, und er erklärte uns kurz die nächsten Schritte. Als Allererstes mussten wir einen kompletten Dump der Festplatte des betroffenen Servers machen, denn das kostet sehr viel Zeit. Falls du dich fragst – nein, du kannst dafür keine Standard-Backup-Software verwenden. Er brauchte kein Backup der Daten auf der Platte, sondern ein komplettes Image. Wir gaben Mr. M. unsere Webserver-Logfiles und fertigten ein komplettes Datenbank-Dump an, so dass er es analysieren konnte. Den Rest des Tages verbrachten wir damit, Zeile für Zeile durch die Log-Einträge zu gehen und herauszufinden, welche IPs dem Angreifer gehörten und welche Aktionen durchgeführt worden waren. Mr. M. nahm die Daten mit in sein Labor, wo er daran bis spät in die Nacht weiterarbeitete.

Mittwoch

Mittwoch früh fuhren wir zurück zum Datenzentrum, um das Festplatten-Image zu holen. Unglücklicherweise hatte ich einen Fehler gemacht, als ich die ungefähre Zeit berechnet hatte, die der Dump-Prozess dauern würde – darum war das Image noch nicht fertig. Erstens hatte ich die Datenmenge angesetzt, die auf den Platten gespeichert war, und hatte sie mit der Daten-Transfer-Rate verglichen, was falsch war, denn die Größe eines kompletten Image ist offensichtlich nicht die Größe der gespeicherten Daten, sondern die des kompletten Festplatten-Arrays. Der zweite Fehler war, dass ich mich auf meine eigenen Berechnungen verließ. Ich hätte von meinem Arbeitsplatz aus kontrollieren können, ob der Kopiervorgang beendet war – wir haben deshalb wertvolle Zeit verloren.

„... deshalb haben wir wertvolle Zeit verloren.“

Da wir die Festplatte nicht analysieren konnten, machten wir weiter mit den Logfiles und den Datenbank-Dumps. Es war hilfreich, dass wir die (manipulationssicheren) Webserver-Logs von Akamai hatten, um abzugleichen, ob irgendwelche unserer Logfiles manipuliert worden waren. Später am Tag fanden wir erste Anzeichen für einen möglichen Zugriff auf unsere Datenbank. An diesem Punkt war es immer noch nur eine Vermutung, aber wir hatten uns dafür entschieden, es öffentlich zu machen, falls es eine Möglichkeit gäbe, dass es Zugang zu den Benutzerdaten gegeben hatte. Das war auch der Zeitpunkt, von dem ab ich zwischen den Forensikern und dem Kommunikationsteam hin- und hersprang. Es wurde zu meiner Aufgabe, sicherzustellen, dass jede veröffentlichte Information korrekt war (vom technischen oder forensischen Aspekt). Was wir am meisten verhindern wollten, war, dass Gerüchte oder sogar falsche Informationen nach draußen gingen.

Viel später kehrten wir zurück ins Datenzentrum, um die Fesplatten-Images zu holen, die Mr. M. mit in sein Labor nahm, um sie sorgfältig zu analysieren. Ich konnte nach Hause gehen, verbrachte aber den Rest des Abends damit, alles, was ich wusste, zu dokumentieren, damit wir alle auf dem gleichen Stand waren.

Donnerstag

Am Mittwoch Abend hatten wir die Entscheidung getroffen, an die Öffentlichkeit zu gehen, und dass die Nachricht am nächsten Tag um 15 Uhr an unsere Nutzer gehen sollte. Es störte mich, dass wir so lange damit warten sollten, bis wir die Nachricht verschickten, aber wie es sich herausstellte, brauchten wir diese Zeit, und ich bin froh, dass unser Management es besser wusste als ich. Eine Nachricht gleichzeitig auf Deutsch und Englisch vorzubereiten war eine Sache, denn wir mussten die Wortwahl und was wir schreiben konnten diskutieren (wir wollten keine Gerüchte verbreiten, sondern den Leuten erzählen, was wir bisher herausgefunden hatten). Die andere Sache war, eine kurze FAQ vorzubereiten, in der stand, was die Leute tun konnten und sollten, um in der Zwischenzeit auf der sicheren Seite zu bleiben. Das größte Problem jedoch war es, mit der Anzahl der verschickten Mails umzugehen – und den erwarteten Antworten. Wir entschlossen uns dazu, unseren Newsletter-Service einzusetzen, in den wir alle Mailadressen importierten. Aber wir konnten nicht alle Mails auf einmal senden, also mussten wir sie häppchenweise verschicken. Der ganze Prozess dauerte länger, als es mir lieb war, aber wir konnten es nicht ändern. In der Zwischenzeit wurden die FAQ veröffentlicht. Weil alles schnell gehen musste, setzte unglücklicherweise jemand den Timestamp auf 1972. Damit endete der Tag und das meiste von dem, woran ich mich noch erinnere. Es hört sich nicht wie ein voller Arbeitstag an, aber es gab vor Ort so viele Dinge zu regeln und so viele Entscheidungen zu fällen, dass ich total erschöpft war, als ich nach Hause kam. Den Rest des Tages versuchten wir, das Web nach Reaktionen auf unsere versandte Nachricht zu durchsuchen. Es war viel ruhiger, als ich es erwartet hatte.

Hier sind ein paar Beispiele der Probleme, mit denen wir uns an diesem Tag herumschlagen mussten. Es ist gut, dass jeder seine eigene Meinung hat, weil das hilft, die beste Lösung zu finden, aber die Zeit war knapp und wir mussten sicherstellen, dass wir sie so effizient nutzten wie möglich.

Finde einen Job, den du liebst zum Thema Security, Tipps

1 Reaktionen
Peter
Peter

Darf man verraten, was der Forensiker nun rausgefunden hat?

Antworten

Melde dich mit deinem t3n-Account an oder fülle die unteren Felder aus.

Abbrechen