2018-02-15 10 Minuten

Was tun, wenn man gehackt wurde? 5 Schritte.

Es kann jeden treffen.

Es kann der normalste Tag der Welt sein, und es kann passieren. Man kommt plötzlich nicht mehr in den Instagram Account.

Über die eigene E-Mail wird plötzlich Viagra-Werbung verschickt.

Der Computer, wo die (natürlich nicht gesicherte) Masterarbeit gespeichert ist, ist plötzlich verschlüsselt und man wird erpresst.

Das mag wie eine Binsenweisheit klingen, aber:

Es kann jeden treffen.

Und mit einem “Na, hättest auf den Link nicht geklickt” ist niemandem geholfen.

Deshalb hier ein Guide, was du tun kannst, wenn du gehackt wurdest.

Dieser Guide beruht grob auf den Phasen einer sogenannten Incident Response bei Unternehmen, ist jedoch auf die Bedürfnisse von Privatpersonen adaptiert. Also:

Follow the white rabbit.

Inhalt:

  • Phase 2: Wie merkt man überhaupt, dass man gehackt wurde?
  • Phase 3: Was ist wirklich passiert?
    • Was wurde angegriffen?
    • Die Hintergründe
    • Die Ausbreitungsgefahr
    • Risikoeinschätzung
  • Phase 4: Krisenmanagement
    • Schritt 1: Ausbreitung verhindern
    • Schritt 2: Warnen
    • Schritt 3: laufende Beobachtung
  • Phase 5: Bereinigung
    • Bei Ransomware und Hacks des physischen Computers
    • Bei einzelnen Accounts mit geringem Risiko auf Weiterverbreitung
    • Bei Accounts mit hohem Risiko: E-Mail, Apple, Google
  • Phase 1: Vorbereitung
    • Sei dir im Klaren, wo deine Angriffspunkte sind.
    • Passwörter
    • 2 Faktor Authentifizierung
    • Gesunde Paranoia
    • Backups
  • Fazit

Phase 2: Wie merkt man überhaupt, dass man gehackt wurde?

Fragt man Security-Forscher, ob bereits Hacker unentdeckt in unserem Stromnetz sitzen, ist die Antwort quasi einstimmig:

„Wahrscheinlich.“

Sie wurden nur noch nicht entdeckt.

Hier haben wir es als Privatpersonen immerhin leichter – Accounts werden hier (meist) nicht für langfristige geopolitische Aktionen gehackt, sondern es geht um kurzfristige Verwertung der Accounts.

Wie aber merken wir einen (versuchten) Hack?

Meist passiv:

  • Die Bank ruft wegen verdächtigen Kreditkartenzahlungen an
  • Die Freunde beschweren sich, warum man im Messenger blödsinnige Links herumschickt
  • Das E-Mail Konto wird gesperrt, weil es Spam verschickt.
  • Man kommt nicht mehr in den eigenen Instagram Account
  • Ein Account macht Sachen, die nicht von dir kommen.
  • Oder dein Computer macht komische, verdächtige Dinge

Wie merkt man, dass ein Computer verdächtige Dinge macht?Das kommt ganz auf den Schädling an. Geht es um das Ausspionieren von Daten, merkst du oft gar nichts. Geht es aber ums Geld (z.B. mit Ransomware) wirst du eine Meldung erhalten, dass dein PC verschlüsselt wurde.Verdächtiges Verhalten kann aber auch sein, dass du auf Webseiten umgeleitet wirst, die vielleicht ähnlich aussehen wie dein E-Banking, aber nicht das Original sind.Das ist ein schwieriges Thema, weil wir natürlich oft keine Ahnung haben, ob das was der Computer macht, normales Verhalten ist oder nicht.

Phase 3: Was ist wirklich passiert?

2 Dinge sind hier wichtig: so viel Information wie möglich, so schnell wie möglich.

Zuerst:

Was wurde genau angegriffen?

Hier gibt es zwei Möglichkeiten:

  • Jemand ist auf deinem physischen Rechner
  • Ein Account in der Cloud ist kompromittiert

Die Hintergründe

  • Wo ist das Ganze hergekommen? Habe ich auf einen falschen Link geklickt, die falschen Webseiten besucht? Habe ich irgendwo Daten eingegeben oder weitergegeben?
  • Verwendest du irgendwo das selbe Passwort (ich hoffe wirklich, dass du diese Frage mit nein beantworten kannst)?
  • Was ist das Ziel des Ganzen? Geht’s um Geld? Geht’s um meine Daten?

Die Ausbreitungsgefahr

Kann sich die Situation auf andere Accounts oder Computer auswirken?

Hier gilt es in Erfahrung zu bringen, ob du bei anderen Accounts das gleiche Passwort verwendest, oder ob es sich gar um einen “High Risk Account”, wie zum Beispiel die E-Mail handelt.

Hier ein Beispiel, wie Hacker vorgehen:

2012 wurden von LinkedIn 6,5 Millionen Accounts gestohlen. Die Passwörter der User waren zwar prinzipiell gesichert, 1 Tag später gab es jedoch schon login-fertige User inklusive den Passwörtern zum Download.Ein LinkedIn Account bringt einem Hacker noch wenig. Deshalb wurde der gesamte Leak auf Gmail-Adressen durchsucht, die dann mit E-Mail + dem bekannten LinkedIn Passwort gehackt wurden.Warum?Weil ein E-Mail Account der Schlüssel zu fast allen Accounts ist, die mit dieser E-Mail registriert wurden. Der Amazon Account ist nur 1 Passwort-Reset entfernt, wenn ich deinen Mail-Account besitze.

Risikoeinschätzung

Nach diesem Schritt solltest du in etwa schon eine Ahnung haben, wie kritisch dieser Hack denn ist. Aber egal wie kritisch, die Situation sollte so schnell wie möglich bereinigt werden.

Es sind oft wirklich kleine Details, die dann Einfallstore für weitere Angriffe sind. Natürlich ist dir dein MySpace Account inzwischen relativ egal. Aber vielleicht findet man genau dort Details, die weitere Angriffe ermöglichen (z.B. die letzten 4 Ziffern deiner Kreditkarte, oder ein Geburtsdatum)

Zugegeben, da muss schon jemand persönlich etwas gegen dich haben. Die meisten Angriffe, die man als Privatperson sieht, sind automatisiert. Wenn du Journalist oder eine sonstige, eventuell politisch aktive Person bist, ändert sich das sehr schnell.Trotzdem: better safe than sorry.

Phase 4: Krisenmanagement

Jetzt ist Feuer am Dach. Sag deine Pläne für den Tag ab. Das musst du hier und jetzt erledigen. Und das dauert Stunden.

Schritt 1: Ausbreitung verhindern

Wenn wir eines aus schlechten Zombie-Filmen gelernt haben, dann: eine Ausbreitung um jeden Preis verhindern.

Im Fall einer Ransomware oder dem Hack eines Computers hilft immer noch das gute alte Ausschalten und die Verbindung zum Netzwerk trennen.

Dieser Rechner ist als infiziert zu betrachten. Auch jede Festplatte, die angehängt war, und möglicherweise alle Rechner im eigenen Netzwerk, könnten infiziert sein.

Hier musst du höllisch aufpassen, dass es zu keinem Totalverlust deiner Daten kommt. In einer panischen Reaktion die externe Festplatte mit den Familienfotos anzustecken ist hier keine gute Idee.

Wenn einer deiner Accounts gehackt wurde, kannst du den leider nicht vom Internet nehmen. Ist ja alles in der Cloud. Also was tun?

Gehe jede Plattform durch, auf der du registriert bist, und ändere das Passwort. Und zwar auf sichere Passwörter.

Priorität haben hier die Plattformen, bei denen du die selbe E-Mail oder vielleicht sogar das selbe Passwort verwendest.

Schritt 2: Warnen

Wurde zum Beispiel dein Facebook- oder E-Mail Konto gehackt, wird dieses oft verwendet, um unter deinem Namen weitere Personen zu infizieren. Na klar, du bist eine vertrauenswürdige Person, warum sollte jemand nicht auf den Link klicken, der ja offensichtlich von dir kommt?

Solltest du noch Zugriff auf deinen Account haben, kannst du (sofern die Hacker diese nicht gelöscht haben) in den ausgehenden Nachrichten checken, wer kontaktiert wurde.

Schreibe diesen Personen. Auf einem anderen Kanal.

In diesem Schritt hat dein Ego nichts zu suchen. Natürlich ist es peinlich, gehackt zu werden. Aber das passiert den Besten. Das ist heute einfach Teil unseres Lebens.

Schritt 3: laufende Beobachtung

Bist du früh genug aufmerksam geworden, könnte der Hacker sogar noch jetzt aktiv sein. Halte Ausschau nach:

  • verdächtigen Account Aktivitäten
  • Warn-E-Mails von Diensten (“neuer Login aus Russland”)

Diese immer genau lesen: handelt es sich um einen tatsächlichen, oder einen versuchten Login? Ich erhalte regelmäßig E-Mails, dass jemand in Russland versucht, in meinen Google Account einzusteigen. Solange es nicht funktioniert, gibt es hier keinen Grund zur Panik.

Ist das Schlimmste vorbei, geht es ans Aufräumen.

Phase 5: Bereinigung

Ziel ist es hier, wieder in den Normalzustand zu kommen. Diese Phase kann sehr, sehr langwierig sein.

Bei Ransomware und Hacks des physischen Computers

In so einem Fall würde ich den PC ausgeschalten einem Experten übergeben. Schadsoftware hat die Tendenz, sich sehr tief ins System einzunisten. So sehr du deinen Neffen magst, der total gut mit Computern umgehen kann – die Wahrscheinlichkeit ist hoch, dass das ein Level zu hoch für ihn ist.

Je nachdem, was sich auf dem Rechner befindet, ziehe ich persönlich eine direkte Neuinstallation in Betracht. Wenn alle wichtigen Daten (weil du natürlich gut vorbereitet bist) auch wo anders gesichert sind, kann man so Ransomware relativ gut den Wind aus den Segeln nehmen.

Auch der Experte wird es sehr wahrscheinlich maximal schaffen, die wichtigsten Daten wieder herzustellen – wenn überhaupt.

Bei einzelnen Accounts mit geringem Risiko auf Weiterverbreitung

Von einem Twitter- oder Instagram-Account kann ein Hacker weniger effektiv auf andere Accounts wechseln, als dies bei anderen Diensten der Fall ist.

Heißt: Hier ist es oft mit einem Schreiben an den Support getan. Die Chance besteht, dass du deinen Account zurückbekommst.

Die Frage ist nur: in welchem Zustand.

Stelle hier zu 100% sicher, dass nicht irgendwo vielleicht noch eine verdächtige Telefonnummer oder E-Mail Adresse in den Optionen hinterlegt ist. Dies wäre das nächste Einfallstor, jede Arbeit bis jetzt wäre umsonst.

Bei Accounts mit hohem Risiko: E-Mail, Apple, Google

Ich sage es, wie es ist: das wird Arbeit, diesen Account zu bereinigen. Aber nachdem du ja in Phase 4 bereits alle Passwörter deiner Accounts geändert hast, ist das Ärgste vorbei. Hier geht es darum, zwei wichtige Dinge abzudecken:

Den Account selbst absichern

Man kann sich relativ schnell den Schabernack ins Bewusstsein rufen, der mit so einem Account möglich ist:

  • Passwort zurücksetzen in jedem Dienst, bei dem diese E-Mail verwendet wurde. Inklusive nachfolgender Infektion sämtlicher Accounts.
  • Dein Handy, und vielleicht sogar deinen Mac aus der Ferne löschen
  • Vollkommene Überwachung deiner Tätigkeiten. Was du surfst, ob du zu Hause bist.
  • Impersonation: man kann sich sehr leicht als dich ausgeben. Schon eine einzige E-Mail kann zerstörerisch sein.

Dieser Account sollte also als erstes bombenfest abgesichert sein. Heißt: 2-Factor-Authentication aktivieren, sicheres Passwort, das volle Programm.

Die “Folge”-Accounts

In der IT-Security gibt es den Begriff Persistence, also die langfristige Infektion eines Systems. Kurz in einen Account einsteigen ist schon gut, aber wenn man diesen langfristig halten kann, ermöglichen sich ganz neue Geschäftsmodelle.

Klassische Persistenz-Maßnahmen bei gehackten Cloud-Accounts sind

  • E-Mail oder Telefonnummer ändern
  • Passwort-Reset Fragen ändern
  • Einen neuen User anlegen, der vom Angreifer kontrolliert wird.

Das heißt für dich konkret: jeder dieser Folge-Accounts (bzw. im Optimalfall generell jeder Account) sollte auf diese Dinge abgesucht werden.

Phase 1: Vorbereitung

Vielleicht ist es dir aufgefallen: Phase 1 fehlt oben vollkommen. Aus gutem Grund: wir als Privatpersonen sind meist zu faul, wirklich Vorkehrungen zu treffen – es wird schon nichts passieren.

Ein Hack trifft uns da oft vollkommen überraschend. Und genau deshalb findet sich diese Phase hier am Ende des Artikels: Weil wir als Menschen so etwas erst lernen, wenn was passiert.

Wie also auf einen Hack vorbereiten?

Sei dir im Klaren, wo deine Angriffspunkte sind.

Es gibt wenige Accounts, die du wie deinen Augapfel beschützen solltest.

Diese sind die Accounts, die einen weitreichenden Zugriff auf deine Devices oder andere Accounts erlauben.

Hast du auf iCloud aktiviert, dass du dein Handy und deinen Laptop übers Internet löschen kannst? Super, dann bist du gegen physischen Diebstahl halbwegs abgesichert.

Aber wenn jemand Zugriff auf deine iCloud kriegt, kann er dein Leben mit einem Knopfdruck löschen.

Denke hier wie ein Angreifer.

Passwörter

Hierzu habe ich an anderer Stelle schon geschrieben. Die Klassiker zählen trotzdem immernoch:

  • Auf jeder Plattform unterschiedliche Passwörter verwenden
  • Hole dir jetzt einen Passwortmanager (ich verwende z.b. LastPass, auch 1Password wurde mir bereits empfohlen)
  • Stelle einen sicheren PIN auf deinen Devices ein.

2 Faktor Authentifizierung

Bei den wirklich wichtigen Accounts kannst du aktivieren, dass du einen extra Code eingeben musst, um eingeloggt zu sein.

So muss ein Angreifer Zugriff auf dein Handy haben, damit er sich in dein Mail-Konto einloggen kann. Alle großen Dienste bieten diese Möglichkeit. Funktionieren tut dies z.B. über den Google Authenticator.

Achtung: wenn dein Handy keinen PIN hat, bringt das aber erst recht nix.

Gesunde Paranoia

Wenn dir in einer Nachricht deiner Kollegen ein Wort auffällt, das diese nie verwenden würden, hinterfrage die Message lieber mehrmals.

Wenn in E-Mails die From-Address nicht mit dem From-Namen übereinstimmt, werde vorsichtig.

Wenn eine Nachricht zu stark auf deine Emotionen abzielt (“OMG ich habe dieses Video von dir gefunden. WIE PEINLICH”) – nimm einen Moment und hinterfrage.

Backups

Wenn du die Regeln der Backups befolgst (1 Backup an dem Ort, wo du deinen Rechner verwendest, und noch eines in einer anderen Location), kann dir Ransomware schon nicht mehr wirklich viel anhaben.

Auch bei Accounts in der Cloud gilt: Lasse deine Familienfotos nicht unbedingt nur in Google Photos herumliegen.

Fazit

Es fällt mir schwer, hier ein Fazit zu ziehen. Es kommt mir immer mehr wie ein Kampf gegen Windmühlen vor.

Dennoch ist es wichtig, dass wir uns alle für dieses Thema sensibilisieren. Auch wenn es nicht täglich in unserem Kopf herumschwirrt.

Nimm dir also 5 Minuten deiner Zeit und überlege dir, was es mit dir machen würde, wenn du gehackt wirst.

Ich glaube ehrlich, ich hätte mit Existenzangst zu kämpfen.

Feedback oder Fragen?

Schreib mir auf Social Media oder E-Mail:

Keine Posts verpassen!

Jetzt eintragen und wöchentlich die Hacks der Woche, sowie neue Blogposts erhalten!

...oder direkt zum Erstgespräch:

Im Erstgespräch lernen Sie mich und meine Philosophie kennen, und wir diskutieren kurz, wie ich Ihnen helfen kann. Damit Sie und Ihr Unternehmen:

  • Sicherer werden
  • Im Extremfall schnell wieder einsatzfähig sind
  • Nicht bei jedem Artikel über Hacking froh sein müssen, dass es diesmal wieder nicht Sie erwischt hat
Jetzt gratis Erstgespräch buchen!

Hacking-
Vorfall?