Prä­vention bei Angriffen auf die Infrastruktur

Schlechtes erkennen

Wenn man nicht gerade arbeits­tech­nisch tief in der IT ver­graben ist, sind Com­puter, Web­seiten und Software benö­tigte Werk­zeuge, die einfach funk­tio­nieren müssen. Meistens tun sie das ja auch. Was aber, wenn sich unbe­merkt Angreifer in Ihre Infra­struktur ein­ge­schlichen haben und sie für kri­mi­nelle Zwecke missbrauchen?

Im prä­his­to­ri­schen Internet, also ungefähr vor etwa 10 bis 15 Jahren, haben Angreifer Seiten „defaced“, wenn sie den Server erfolg­reich knacken konnten. Defacing war nichts Anderes als digi­tales Graffiti. Die meist sta­tische Ori­gi­nal­web­seite wurde durch eine ebenso sta­tische Seite mit Bot­schaften der Angreifer ersetzt – etwa durch simple Nach­richten wie „XXX woz here — Sys­Admin, fix ur server“. Damit war allen Betei­ligten –Kunden, Ser­ver­be­treiber, Partnern – sofort klar, dass etwas pas­siert war und drin­gender Hand­lungs­bedarf besteht. Als sich dann der kri­mi­nelle Unter­grund besser digi­ta­li­siert hatte, wurden diese Defa­ce­ments schnell weniger; denn damit ist einfach kein Geld zu machen. Statt­dessen lautet seither die Stra­tegie nach einem erfolg­reichen Web­­server-Ein­­bruch, ver­trau­liche Infor­ma­tionen abzu­ziehen und/oder die ange­griffene Web­seite um eigene, bös­artige Skripts zu erweitern. Ver­trau­ens­verlust durch uner­kannt plat­zierte Malware.
Diese kurzen Schnipsel (meist in mög­lichst unle­ser­lichem Java­Script) sorgen dafür, dass Besucher der Web­seite Dinge her­un­ter­laden, die sie nicht wollen: Schadcode in der einen oder anderen Form, und das meist völlig unbe­merkt von einer Web­seite, der sie ver­trauen. Das macht die Situation für Web­sei­ten­be­treiber doppelt gefährlich: Einer­seits fun­giert ihr Web­auf­tritt als Malware-Lie­­ferant, und ande­rer­seits kann dies auch zu einem mas­siven Ver­trau­ens­verlust bei Kunden und Partnern führen.

Was kann man tun, um nicht selbst in eine solche Situation zu geraten?

Für ent­spre­chende Ana­lysen ist das benö­tigte Tie­fen­wissen häufig nicht vor­handen und sie kosten Zeit, die man lieber für den eigent­lichen Geschäfts­zweck ver­wenden möchte.
DATEV kann seine Mit­glieder hierbei unter­stützen. Mit Hilfe unserer Partner können wir auto­ma­tisch erkennen, wenn der Web­auf­tritt einer Kanzlei kom­pro­mit­tiert wurde und Malware aus­ge­liefert wird. Selbst Defa­ce­ments oder andere Pro­bleme, zum Bei­spiel mit der Ver­schlüs­selung von Daten beim Transport, werden hier zyklisch auf­ge­deckt und gemeldet. Übli­cher­weise können die bös­ar­tigen Arte­fakte sofort iden­ti­fi­ziert werden und der Kanzlei klare Infor­ma­tionen für deren IT-Diens­t­­leister mit­ge­geben werden.

Unab­hängig davon ist es aber in jedem Fall für jedes Büro und jedes Geschäft ein echter Vorteil, sich vor so einem Fall – der hof­fentlich nicht ein­treten wird – mit den wich­tigsten Pro­zessen ver­traut zu machen. Notieren Sie sich am besten, wen Sie bei Kennt­nis­nahme eines solchen Falles für die Behebung ansprechen müssen:

• Wie ist die Support-Ruf­­nummer Ihrer Webagentur?
• Wann sind deren Servicezeiten?
• Wen können Sie bei Ihrem Pro­vider im Notfall kon­tak­tieren, um die Seite viel­leicht offline zu nehmen?

Wenn Sie diese Infor­ma­tionen im Fall des Falles zur Hand haben, sparen Sie wert­volle Zeit für die Behebung des Problems.