Attackierte Unternehmensserver - was tun?


Eine Reihe bekannter Hacker-Opfer

Die DSGVO (Datenschutz Grundverordnung) schreibt vor, dass Cyber-Attacken den Datenschutzbehörden gemeldet werden müssen, wenn der Schutz personenbezogener Daten verletzt wurde.

So werden mit dichter Regelmässigkeit die Meldungen grosser Unternehmen über Angriffe auf Server und Netzwerke publik. Anfangs Jahr meldete beispielsweise Airbus eine Cyberattacke. Im März wurde das Netzwerk von Citrix - dem bekannten Virtualisierungs- und Software Anbieter - gehackt. Und erst kürzlich wurde bekannt, dass die Zentrale der ÖVP (Österreichische Volkspartei) Opfer eines gross angelegten Cyber-Angriffs wurde.

Sind die Server von Kleinbetrieben sicherer?

Man möchte es meinen. Die Meldungen sind jedoch trügerisch, gaukeln sie doch vor, dass nur grosse und bekannte Unternehmen für Hacker interessant wären. Bei Attacken in grossen Unternehmen geht es effektiv oft darum an interessante Daten zu kommen. Oder die Hacker zeigen den Konzernen auf, dass ihre Server nicht so sicher sind wie ihre IT-Verantwortlichen glauben.

Viel häufiger aber geht es bei Cyberattacken um den Server im Internet als Ressource, die dann zweckentfremdet wird. Zum Beispiel für den Versand von unerwünschten E-Mails (SPAM), für Angriffsversuche auf andere Rechner oder zum Anbieten von illegalen Inhalten wie Musik, Software oder anderes urheberrechtlich geschütztes Material. In diesem Fall ist den Hackern vollkommen egal, welche Daten auf dem Server sind, hauptsache sie können den Server für ihre Zwecke nutzen.

Woran merken Sie, dass Ihr Firmen-Server gehackt wurde?

Typische Indizien sind:

  • Der Traffic auf dem Server steigt überproportional an.
  • Die Reaktionszeiten des Servers verlängern sich.
  • Der Virenscanner meldet infizierte Dateien.
  • Der Rootkit-Scanner findet Unregelmässigkeiten.
  • Sie entdecken Dateien die Ihnen unbekannt sind, häufig in Verzeichnissen, auf die der Webserver Zugriff hat.
  • Dritte beschweren sich, weil ihr Server unerwünschte Zugriffe tätigt.
  • Sie erhalten Beschwerden wegen unerwünschtem Mail-Versand.

Was Sie als Erstes tun können

Untersuchen Sie, ob es auffällige Prozesse oder Netzwerkverbindungen zu anderen Servern gibt und unterbrechen Sie diese.
Überprüfen Sie die Error Logs, dort könnten Fehlermeldungen von schadhaften Skripts und Malware auftauchen.
Prüfen Sie das Temporär-Verzeichnis. Angreifer installieren die Malware häufig dort, da das Verzeichnis allgemein schreibbar ist. Identifizieren und löschen Sie die schadhaften Dateien.
Kontrollieren Sie, ob es Domains mit unsicheren PHP-Parameter gibt. Wenn ja, schliessen Sie diese.

Vorbeugen ist besser als Schadensbegrenzung

Als Serverbetreiber übernehmen Sie die Verantwortung für den Schutz vor Cyberattacken. Um einem Angriff von aussen vorzubeugen, gibt es ein paar Grundregeln, die sich banal anhören, aber für die Server-Sicherheit elementar sind: (Wir beziehen uns hier auf Windows Server).

Regel 1: Server Betriebssystem Updates einspielen

Hacker entdecken immer neue Sicherheitslücken in den Betriebssystemen. Die Software-Hersteller schliessen diese Lücken jeweils zeitnah. Daher ist es wichtig, dass Sie Ihr Server-Betriebssystem immer auf dem neusten Stand halten und die Updates regelmässig einspielen, idealerweise mit Hilfe von automatischen Tasks.

Regel 2: Webapplikationen aktuell halten

Wenn Sie als Serverbetreiber ein Content-Management-System wie Joomla, Typo3 oder WordPress nutzen, birgt dieses dieselbe Gefahr von Sicherheitslücken. Die meisten Anbieter stellen regelmässige Updates zur Verfügung, in denen bekannte Schwachstellen geschlossen werden und sicherheitsrelevante Features enthalten sein können. Deshalb sollten Sie das CMS regelmässig auf verfügbare neuere Versionen überprüfen und die Updates zeitnah übernehmen. Halten Sie auch zusätzlich installierte Plug-Ins aktuell.

Regel 3: Ports Einstellungen ändern

Einer der einfachsten Wege für Angreifer ist es, die Standard Ports für den Remote-Zugang zum Server zu nutzen. Deshalb ist es wichtig, diese Ports zu ändern oder noch besser den Zugriff auf RDP nur von einem bestimmten Standort beziehungsweise einer bestimmten IP-Adresse zuzulassen.

Regel 4: Komplexe Zugangsdaten verwenden

Verwenden Sie möglichst komplexe Passwörter. Diese sollten Buchstaben, Zahlen und Sonderzeichen enthalten sowie mindestens acht Zeichen lang sind. Denn kurze oder zu simple Passwörter können leicht entschlüsselt werden. Ausserdem ist es ganz wichtig, dass Sie für jeden Zugang ein eigenes Passwort verwenden, ansonsten riskieren Sie einen Totalschaden, wenn ein einziges Passwort entschlüsselt wird.
Um all den komplexen Zugangsdaten Herr zu werden, empfehlen wir die Verwendung eines Passwortmanagers.

Regel 5: Unsichere php Funktionen sperren

Ein Sicherheitsrisiko sind die PHP-Funktionen, oftmals für Formulare verwendet. Viele Angriffe werden darüber ausgeführt, denn sie erlauben es Befehle direkt auf Root-Ebene des Betriebssystems auszuführen. Aus diesem Grund sollten Sie unsichere PHP-Funktionen sperren.

Nutzen Sie die Sicherheitsfeatures von Windows Server 2019

Am 14. Januar 2020 stellt Microsoft den Support für Windows Server 2008, Windows Server 2008 R2 und Small Business Server ein. Es wird keine Sicherheitsupdates und keine Unterstützung durch den Support mehr geben.

Das moderne Betriebssystem Windows Server 2019 und Hardware der neusten Generation sind ein zentraler Faktor, wenn es um die IT-Sicherheit in Unternehmen geht.
Die weiterentwickelten Sicherheitsfunktionen des Betriebssystems erkennen neue und aufkommende Bedrohungen, reagieren darauf und verhindern Angriffe. Damit wird das Risiko von Sicherheitsverletzungen verringert und die Server des Unternehmens sind deutlich besser geschützt.

In Kombination mit den individuell konfigurierbaren Servern von axxiv lassen sich zukunftssichere hybride IT-Geschäftslösung zusammenstellen.

Konfigurieren Sie Ihren Server

Vom Wissen der Spezialisten profitieren


Niemand kann in allem ein Spezialist sein. Das gilt besonders für die Informationssicherheit. Dafür gibt es allerdings Lösungen wie automatisierte Schwachstellenscanner und es gibt vor allem Spezialisten, deren Kerngeschäft die IT-Sicherheit ist. Wenn Sie nicht die Zeit haben, selbst zum IT-Sicherheits-Spezialisten zu werden, wenden Sie sich an die Profis. Eine Auswahl an IT-Spezialisten finden Sie auch unter den axxiv Business Partnern.