Was tun mit gehackten Websites?
Im Bereich „Finden“ wurde dieses Mal das Thema "Hackings mit japanischen Schriftzeichen" von Joachim Feist von der mindup Web & Intelligence GmbH vorgestellt. Diese Art des Hackings fand sich unter anderem bei einem Fall des Fotomuseums in Winterthur. Hierzu kamen auch zwei Vertreter vom Nationalen Zentrum für Cybersicherherheit (NCSC) in der Schweiz zu Wort: Sie stellten den Fall sowie ihre Ansätze im Bereich Finden und Behandeln gehackter Websites detaillierter vor. So betreibt das NCSC ein Meldeformular, mit dem Bürgerinnen und Bürger sowie Unternehmen Verdachtsfälle melden können und überprüfen können, ob sie betroffen sind.
Ein ähnliches Vorgehen hat auch IONOS implementiert, wie Winfried Kania berichtete. Dort können Kundinnen und Kunden über ein Portal E-Mails hochladen, die vermeintlich von IONOS geschickt wurden. Das System überprüft anschließend, ob es sich bei der E-Mail um eine Phishing-Nachricht handelt. Ist dies der Fall, wird automatisiert ein Prozess eingeleitet, in dem die Nachricht analysiert wird und bei Bedarf Maßnahmen eingeleitet werden, um Kundinnen und Kunden zu warnen oder gefälschte Login-Seiten zu sperren.
Themenvorträge auch von BDO
Im Bereich "Behandeln“ stellte dann Stephan Halder von BDO Germany neuste Erkenntnisse aus der Analyse von gehackten CMS (Content Management Systemen) der Betroffenen vor. Dabei zeigte er auf, wie Hacker Websites nach Schwachstellen scannen – und wie systematisch Angreifer dabei vorgehen. Die Analyse zeigte auch, dass Hacker durch bekannte Schwachstellen oder auch durch manipulierte und frei verfügbare Plugins oder Themes, bei denen Backdoors in Form von Webshells direkt implementiert wurden, ins CMS System gelangen. Dort ändern sie dann oftmals Zugriffsberechtigungen oder legen neue Administratoraccounts an. Dies erlaubt den Angreifern nicht nur einen Zugriff auf das gehackte System, sondern erschwert auch die Entfernung der Malware, da Schadcode gegen die Erkennung angepasst und automatisiert aus dem Internet nachgeladen wird.
Dies zeigte noch einmal eindrücklich, wie tief Angreifer in das System der Betroffenen eindringen können. „Es ist daher in den wenigsten Fällen damit getan, einfach nur ein Backup der Website einzuspielen“, erklärte Stephen Halder, „es muss auch sichergestellt werden, dass alle schadhaften Dateien und Webshells aus dem System entfernt werden. Betroffene verfügen häufig nicht über die Möglichkeit ein kompromittiertes System wieder zu bereinigen.“ Hier sollten sich Betroffene Unterstützung für eine Analyse des Vorfalls suchen, um sicherzugehen, dass alle schadhaften Dateien entfernt sind und ein „sauberes“ System online geht.
Neue Materialien: Videos und Foliensatz
Nach Stephan Halder stellte Anne Hennig von der Forschungsgruppe SECUSO vorläufige Ergebnisse des Benachrichtigungsexperiments vor und präsentierte die Hintergründe zur Entwicklung und Evaluation eines ersten Awareness-Videos. Im Rahmen des Experiments werden aktuell Betroffene von fünf verschiedenen Absendern angeschrieben und jeweils mit einem einheitlichen E-Mail Anschreiben über das Hacking der Website informiert. Nach ersten Auswertungen zeigt sich, dass bei allen Absendern eine Behebungsrate von 30 bis 40% erzielt wurde, wobei das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit knapp 46% die höchsten Behebungsraten verzeichnet.
Dazu gab es noch einen kurzen Überblick darüber, was aktuell im INSPECTION Projekt geschieht: Im Bereich „Verhindern“ werden Awareness-Materialien auf Grundlage der im Projekt gewonnenen Erkenntnisse entwickelt. Mit einem ersten fertiggestellten Awareness-Video, soll auf das Problem der Fake-Shops aufmerksam gemacht werden. Das Video wurde mit Expertinnen und Experten aus dem Projektkontext evaluiert und wird nach Einarbeitung der Anpassungen zum Ende des Projekts veröffentlicht. Ein zweites Video ist in Planung, ebenso wie ein Foliensatz für einen Vortrag.