4 Anzeichen, dass Ihr Netzwerk gehackt wurde

Einigen IT-Sicherheitsexperten zufolge gibt es zwei Arten von Organisationen – diejenigen, die wissen, dass sie gehackt wurden und diejenigen, die es nicht wissen. Trotz aller Mittel, die Unternehmen in den Schutz ihrer Netzwerke investieren, wird 100-prozentige Sicherheit vor Hackern niemals realistisch sein.

Das Problem liegt darin, dass viele Unternehmen vielleicht keine Ahnung haben, dass ihre Netzwerke bereits infiziert wurden. Eine Studie von Ponemon ergab, dass Unternehmen im vergangenen Jahr durchschnittlich 206 Tage benötigten, um eine Sicherheitsverletzung zu entdecken. Das kann teuer werden, denn laut Studie verloren Unternehmen, die weniger als 100 Tage benötigten, um einen Verstoß zu entdecken, 5,99 Millionen Dollar, und bei Verstößen, deren Identifizierung länger dauerte, stiegen die Kosten auf durchschnittlich 8,70 Millionen Dollar.

Deshalb können Sie bei der Beurteilung der Sicherheitsaspekte Ihres Netzwerk-Managements nicht nur den Netzwerkperimeter betrachten. Wenn Sie sich nur darauf konzentrieren, werden Sie vielleicht feststellen, dass jemand, der durch die Eingangstür gelangt ist, dann überall in Ihrem Unternehmen freie Hand hat. Deshalb müssen Sie genau beobachten, was in Ihrem Netzwerk passiert und nach Anzeichen Ausschau halten, die auf einen Eindringling hindeuten.

Bei der Datenmenge, die jetzt in Unternehmensnetzwerken unterwegs ist, kann die Erkennung von Auffälligkeiten eine knifflige Aufgabe sein, aber es gibt einige Indikatoren für eine Kompromittierung, auf die Sie achten müssen.

Verbindung ist langsamer als erwartet

Verbindungen, die Ihnen nicht die benötigten Geschwindigkeiten oder Übertragungsraten liefern, können ein wichtiges Anzeichen sein, dass jemand anderes Daten in Ihrem Netzwerk bewegt. Systeme, die nicht die erwarteten Leistungen liefern, können ebenfalls ein Hinweis auf unbefugte Aktivitäten sein.

Das hat damit zu tun, dass Hacker beim Eindringen in ein Netzwerk häufig eine große Anzahl von Prozessen und Hintergrundaktivitäten einrichten. Die Hacker überwachen vielleicht nur Ihre Systeme und senden Berichte zurück oder benutzen Ihre Systeme aktiv für ihre Tätigkeit, beispielsweise um Spam zu senden oder DDoS-Angriffe zu starten. Wenn Sie eine ungeklärte Abnahme der Geschwindigkeit wahrnehmen, könnte es daran liegen, dass Hacker Ihre Ressourcen nutzen.

Merkwürdige Verbindungen oder Datenverkehrsmuster

Ein wichtiges Instrument, um festzustellen, ob Sie einen Eindringling haben, ist die Überprüfung Ihrer Datenverkehrsmuster auf ungewöhnliche Aktivitäten.

Beispielsweise ist eines der häufigsten Anzeichen ein ausgehender Datenverkehr von Ihrem Netzwerk, der höher als erwartet ist. Neben dem aktiven Kopieren von wichtigen Daten rufen infizierte Systeme oftmals regelmäßig „zu Hause“ bei ihren Command-Servern an. Wenn Sie also ausgehenden Datenverkehr entdecken, der sich durch normale Geschäftstätigkeiten nicht erklären lässt, kann Ihnen das helfen, einen Angriff zu entdecken und zu stoppen, bevor er Schaden anrichtet.

Andere potenziell verdächtige Anzeichen können wiederholte Zugriffsversuche auf dieselben Dateien, Server oder Berechtigungen innerhalb von Applikationen sein. Das kann ein Hinweis auf eine Art Brute-Force-Angriff sein, bei dem Hacker in Ihrem Netzwerk durch Ausprobieren versuchen, Zugang zu wichtigen Systemen zu erlangen und dazu verschiedene Kontodaten verwenden.

Ungewöhnliche Benutzeraktivitäten

Ein wichtiger Teil einer effektiven Sicherheitsüberwachung sind vollständige Audit-Protokolle, die erfassen, welche Benutzer zu welchem Zeitpunkt und von wo aus versuchen, auf welche Dateien zuzugreifen. Die Überprüfung dieser Protokolle – idealerweise in Echtzeit – kann eine der besten Möglichkeiten sein, Auffälligkeiten zu entdecken.

Zeigen die Aufzeichnungen beispielsweise, dass Ihr CIO versucht, sich um drei Uhr morgens in wichtige Datenbanken einzuloggen? Oder vielleicht sagen die IP-Protokolle, dass Ihr Kollege von einem anderen Land auf sein Konto zugreift, wenn Sie genau wissen, dass er im Nachbarzimmer sitzt.

Sie müssen nicht nur darauf achten, wo und wann Konten benutzt werden. Schauen Sie sich auch an, was die Benutzer machen. Sind sie in Geschäftsbereichen, die für ihre Funktion nicht relevant sind? Oder nehmen sie eine übermäßig hohe Anzahl von Veränderungen an einem System vor? Spitzen bei Leseanfragen, beim Zugriff auf Applikationsprotokolle oder beim Lesevolumen von Datenbanken signalisieren, dass jemand versucht, wertvolle Daten zu sammeln.

Applikationen verhalten sich falsch

Applikationen, die sich unerwartet verhalten, sind ein weiterer potenzieller Hinweis auf einen Angriff. Obwohl es viele Gründe dafür geben kann, wie falsch konfigurierte Einstellungen oder Benutzerfehler, könnte es auch darauf hindeuten, dass das Netzwerk kompromittiert wurde. Verdächtige Aktivitäten, auf die Sie achten müssen, sind Programme, die beim Starten laden, auch wenn das nicht so eingestellt wurde, Schwierigkeiten beim Herunterfahren oder Wiedereinschalten eines Geräts, übermäßig viele Pop-up-Dialogfelder oder andere Aktivitäten, die nicht offensichtlich von einem Bedienerbefehl herrühren. 

Achten Sie auch auf Anzeichen wie ein Webcam-Licht, das kurz aufleuchtet, selbst wenn Sie keine Videoapplikation benutzen, denn das ist oft ein Hinweis auf unbefugten Zugriff auf ein Gerät.

Derartige Anomalien manuell aufzuspüren, kann eine unmögliche Aufgabe sein. Deswegen sind leistungsfähige Intrusionserkennungssysteme zur Überwachung von Netzwerken und besseren Sichtbarmachung außerordentlich wichtig. Ohne diese Tools erfahren Sie vielleicht erst von Sicherheitsverletzungen, wenn betroffene Kunden oder Mitarbeitern anrufen und sich beschweren.