17.07.2013 17:00

Special Report: "Hacktivism" - Vorbereitung auf den Ernstfall

29. März 2012

Die Sicherheitslage in Österreich kann aktuell als angespannt bezeichnet werden. AnonAustria hat angekündigt gegen die Einführung Vorratsdatenspeicherung mittels Netz-Aktivismus vorzugehen. Hierbei ist dezidiert mit Hackingangriffen unterschiedlicher Ausprägungen zu rechnen.

CERT.at bietet hiermit eine Zusammenstellung einiger nützlicher Tipps zur kurzfristigen Vorbereitung sowie Reaktion für alle potentiell gefährdeten und betroffenen Organisationen. Diese Liste erhebt keinerlei Anspruch auf Vollständigkeit.

Wichtig: Dieser Leitfaden enthält primär Empfehlungen hinsichtlich der Reaktion auf Angriffe die mediale Breitenwirksamkeit und demonstrative Absichten als Hintergrund haben. Solch geartete Angriffe sind auch unter den Begriffen "Netz-Aktivismus" und "Hacktivism" bekannt.


Know your enemy!

Erst wenn eine Organisation verstanden hat, aus welchen Motiven heraus sie Opfer werden könnte oder bereits geworden ist, kann sie sich entsprechend richtig vorbereiten und/oder im Ernstfall korrekt reagieren.

Was ist das Ziel von "Netz-Aktivismus"?

Netz-Aktivismus ist eine moderne Form der Demonstration. Vermeintlich ungehörte Meinungen sollen durch Erregung von öffentlicher Aufmerksamkeit mit entsprechendem Nachdruck kundgetan werden.

Dabei zeigt die Vergangenheit, dass nahezu jedes Mittel recht scheint - zumindest, solange sich ein Bezug zur eigentlichen Botschaft herstellen lässt.

Der wichtigste Aspekt hinter derartigen Angriffen ist demnach die öffentliche Wirkung. Dieses Bewusstsein ist für die richtige Bewältigung solcher Vorfälle maßgeblich entscheidend: der Schwerpunkt liegt auf der Öffentlichkeitsarbeit.

Neben den ebenso wichtigen technischen Agenden entscheiden die öffentlichen Statements über die für die betroffene Organisation positive oder negative Bewältigung eines etwaigen Angriffs.


Ich bin gefährdet. Was kann ich tun? Wie kann ich mich vorbereiten?

Eine erfolgreiche Bewältigung eines bereits eingetretenen Ernstfalles steht und fällt mit den entsprechend getroffenen Vorkehrungen. Hierzu sei erwähnt, dass dieser Leitfaden nicht mehr nur von einer fiktiven Bedrohung ausgeht, sondern von dem Szenario, dass ein Angriff gerade bevorsteht. Etwaige langfristige technische Sicherheitsvorkehrungen sind somit nicht mehr umsetzbar.

"Hau-Ruck"-Aktionen

Kurzschlussreaktionen sind fehl am Platz. Ungetestete Maßnahmen zum Beheben bereits bekannter Schwachstellen stellen dann eventuell erst recht die Ursache für Systemprobleme dar. Sämtliche Maßnahmen müssen auch in diesem Fall durchdacht, getestet und geprüft werden.

Erreichbarkeit

Ein Ernstfall - "ich wurde gehackt!" - ist für die meisten Betroffenen ein Schockerlebnis. Es ist essentiell zu wissen, WER für WAS zuständig ist und WIE und WO handlungsfähige Personen erreicht werden können.

Dies betrifft in erster Linie folgende Aufgabenbereiche:

  • Treffen unternehmensrelevanter Entscheidungen
  • Kontakt zu Kollateral-Geschädigten (Kunden, Geschäftspartner)
  • Kontakt zur Presse
  • Prüfung auf rechtliche Konsequenzen und Pflichten
  • Technische Schadensbegrenzung
Organisationen mit einem existierenden Krisenmanagement sollten dies hinsichtlich der Brauchbarkeit bei IT-Sicherheitsvorfällen überprüfen und gegebenenfalls adaptieren.

Backups

Immer wenn ungewollte Datenveränderungen auftreten, wird der Ruf nach Backups laut. Selbiger verstummt aber recht schnell bzw. ändert sich in einen Aufschrei der Empörung, sollten diese beispielsweise
  • veraltet
  • beschädigt
  • nicht zugreifbar
  • nicht (vollständig) vorhanden
sein.

Stellungnahme

Die vergangenen Ereignisse zeigten nachhaltig, dass Vertuschung nicht hilfreich ist. Gerade im Kontext von Netz-Aktivismus, kann der Versuch, etwas zu verschweigen, sehr rasch aus einer "kleinen Meldung" ein PR-Desaster entstehen lassen.

Eine transparente Stellungnahme, mit entsprechend realistischer und konstruktiver Betrachtungsweise, kann bereits initial die gröbsten Wogen glätten.

Tatsächlich könnte es sogar eine Überlegung wert sein, als Erster an die Öffentlichkeit zu gehen - sozusagen ein "medialer Erstschlag". Dies kann dem Angreifer weiteren Wind aus den Segeln nehmen und man hat zudem gewisse Kontrolle, auf welche Art und Weise der Vorfall in der Öffentlichkeit bekannt wird.

Falschmeldungen können in Extremfällen sogar zu weiteren Angriffen führen.

In dieser Hinsicht kann es durchaus Sinn machen, eine entsprechende Stellungnahme bereits im Vorfeld auszuarbeiten. Im Ernstfall kann man sich dann auf eine fertig vorbereitete und durchdachte Stellungnahme verlassen. Diese muss danach nur mehr adaptiert werden, was den Stressfaktor wesentlich reduziert. Somit macht es (je nach Organisation) Sinn, eine oder auch mehrere der folgenden Stellungnahmen, nach Adressaten (Stakeholdern) unterschieden, vorzubereiten:

  • Mitarbeiter
  • Presse
  • Kunden
  • Geschäftspartner
  • Datenschutzkommission
  • ...

Erhöhte Sensibilisierung

Wenn abzusehen ist, dass in naher Zukunft Angriffsversuche bevorstehen, kann es durchaus Sinn machen, entsprechende Monitoring-Systeme wie Logging, IDS, IPS, maximale Anzahl an Login-Fehlversuchen ... wo möglich temporär in einen sensibleren oder auch "gesprächigeren" Modus zu versetzen. Insbesondere letzteres kann eine eventuell angestrebte Beweissicherung deutlich unterstützen und aufwerten.

Rechtliche Folgen

Sollte es bei einer eventuellen Attacke nicht "bloß" bei einem der "Klassiker", wie die Veränderung der Website (Defacement) oder einem Denial of Service (DOS) bleiben, sondern auch sensible Daten abhanden gekommen sein, so kann das durchaus rechtliche Konsequenzen haben. Laut österreichischem Datenschutzgesetz besteht eine Informationspflicht der betroffenen Personen bei Verlust der Vertraulichkeit. Entsprechende Abklärung bereits im Vorfeld, wie hier die rechtlichen Verpflichtungen aussehen erleichtert es im Ernstfall die hierfür vorgegebenen Prozesse einzuhalten.

Ich bin Opfer. Was kann ich tun? Wie soll ich mich verhalten?

Keep cool!

  • Von Anfang an Marketing/PR und Technik einbinden
  • Problem nicht gleich zu Beginn herunterspielen
    • Nichts ist peinlicher, als Zug um Zug in der Presse immer größere Probleme eingestehen zu müssen
  • Keine Zahlen nennen, die nicht gesichert sind
    • Wenn überhaupt
  • Bestehen eines Problems nicht verleugnen
  • Keine Zeitspannen nennen, die nicht gesichert sind

Auf gar keinen Fall sollten Sie sich zu aus dem ersten Schock resultierenden Kurzschlusshandlungen hinreißen lassen.

Dazu gehören zum Beispiel folgende:

  • Server vom Stromnetz nehmen
  • Ad-hoc-Presseaussagen
  • Presseaussagen mit unklaren Daten
Solche überhasteten Aktionen können sehr rasch zum Verlust von Beweisen wie auch zu eventuell noch viel größeren Kollateralschäden führen.

Aktualität der gefundenen Hinweise

Handelt es sich wirklich um einen aktuellen Angriff oder wurden nur Spuren einer alten Attacke aufgestöbert?

Unsere Erfahrungen zeigen, dass Systeme oftmals Spuren von bereits vor geraumer Zeit stattgefundenen Einbrüchen/Einbruchsversuchen aufweisen.

Professionelle Hilfe - CERT.at kontaktieren

Generell empfiehlt es sich, CERT.at bei IT-Sicherheitsvorfällen aller Art, vor allem im Bereich der kritischen Infrastrukturen, zu kontaktieren (bzw. GovCERT.gv.at falls der Vorfall mit einer Behörde oder Organisation der öffentlichen Hand in Verbindung steht).

CERT.at hilft bei der Bewältigung von Vorfällen im IT-Security-Bereich durch entsprechende Vermittlung an Behörden, Branchen sowie Organisationen bzw. in speziellen Fällen durch Task Forces vor-Ort weiter.

Weiters überprüft CERT.at inwiefern eventuell auch noch Dritte betroffen sein könnten und schickt in einem solchen Fall entsprechende Warnungen und weiterführende Informationen aus.

CERT.at nimmt bei größeren Ereignissen die Rolle der Informationsdrehscheibe und Koordinationsstelle war. Ziel ist die Schadensprävention bzw. Schadensminimierung und eine bestmögliche, effiziente Abwicklung.

Vertraulichkeit: CERT.at behandelt generell jegliche übermittelte Information als vertraulich, und wird diese nicht ohne Zustimmung weitergeben, ausser dies ist implizit zur Bearbeitung eines Vorfalls nötig, siehe auch http://cert.at/about/scope/scope.html.

Externe Hilfe

Betroffene Organisationen sollten sich frühzeitig an den IT-Dienstleister Ihres Vertrauens wenden. Weiters gibt es am österreichischen Markt auch eine Vielzahl an spezialisierten IT-Sicherheits-Dienstleistern, die mit ihrer Erfahrung bei der erfolgreichen und richtigen Bewältigung professionelle Unterstützung leisten können.

Mediale Stellungnahme

Jede mediale Stellungnahme - ob vorbereitet oder nicht - sollte auf jeden Fall von Marketing/PR und Technik vor Veröffentlichung geprüt werden.
Je nachdem, wie die Organisation positioniert ist, wird früher oder später eine solche auch aktiv von den Medien eingefordert werden.

Wir verweisen an dieser Stelle noch einmal explizit auf das Konzept eines "medialen Erstschlages" ... siehe oben.

Einschalten der Exekutive

Falls der Verdacht besteht, dass der Einbruch in Zusammenhang mit Anonymous/AnonAstria steht, ersucht das in diesem Zusammenhang ermittelnde BVT (Bundesamt für Verfassungsschutz und Terrorismusbekämpfung) um Meldung an post@bvt.gv.at.

Wurde in ein IT-System wie auch immer geartet eingebrochen und eventuell sogar Daten verändert und/oder gestohlen, so kann es sich hierbei durchaus um eine strafrechtlich relevante Tat handeln. Im Zweifelsfall empfehlen wir eine Abklärung mit der Exekutive - das Bundesministerium für Inneres (BMI) hat hierfür eine Erstanlaufstelle (und zwar nicht wie angegeben "nur" für Internetbetrug) eingerichtet. Nähere Informationen hierzu finden Sie unter
http://www.bmi.gv.at/cms/BK/meldestellen/internetkrimina/start.aspx.

Gerne stellen wir auch als CERT.at den Kontakt zu entsprechenden Behörden her.

Rechtliche Konsequenzen und Pflichten der betroffenen Organisation

Wie bereits bei den Vorbereitungsmaßnahmen erwähnt, können Einbrüche auch rechtliche Konsequenzen für die betroffene Institution selbst haben und mit gesetzlichen Pflichten einhergehen. Als Beispiel hierfür ist der Verlust von persönlichen Daten der Kunden und die daraus resultierende Informationspflicht zu nennen (Datenschutzgesetz).