Was muss nach einem Hackerangriff beachtet werden?
Hackerangriffe sind keine Seltenheit. Bei einem Angriff geht es nicht um den Inhalt der entsprechenden Site, sondern um den hinter der Website befindlichen Server. Welche weitreichenden Folgen ein Hackerangriff haben kann, wird in diesem Artikel dargestellt.
Das IT-Sicherheitsgesetz
Kommerzielle Betreiber von Web-Sites sind nach dem IT-Sicherheitsgesetz dazu verpflichtet, diese Websites auf dem aktuellen Stand der Technik zu halten. Nicht selten werden Websites gehackt, weil Updates nicht eingespielt wurden und die Software veraltet ist. Daraus können bei einem Hackerangriff juristische Konsequenzen, wie eine Abmahnung, entstehen. Hackerangriffe haben nicht immer rechtliche Folgen, aber in den meisten Fällen weitreichende Finanzielle. Daher sollte eine vorsorglich weitreichende Elektronikversicherung abgeschlossen werden, um auftretende Schadensfälle am eigenen System abdecken zu können.
Folgen für die Besucher einer infizierten Website
In vielen Fällen wird die Malware so manipuliert und platziert, dass sie die Besucher der Website infiziert. Die Schäden können unterschiedlich sein und reichen von Ransomware, bei der die Daten der User in erpresserischer Absicht verschlüsselt werden bis hin zum Nachladen anderer Malware. Zudem können Keylogger installiert werden, die dem Hacker die Passwörter übermitteln.
Blockierung durch Google
In der Datenbank Google Safe Browsing befinden sich alle Websites, die infiziert sind. Diese Datenbank wird beispielsweise genutzt, um auf Google bereits die User vor der Site zu warnen. Auch andere Browser wie Mozilla Firefox oder Google Chrome prüfen die Safe Browsing API und können so den Zugriff auf die infizierte Site blockieren. Durch Google werden die Websites nicht nur nach Malware durchsucht, sondern es werden Phishing-Attacken registriert. Bei einigen Hacker Angriffen produzieren die Hacker neue Sites auf der Website zum Phishing. Neben der Blockade durch die eigenen Antivirenprogramme sorgt die Google Safe Browsing-Warnung für einen Besucherschwund und Imageverlust. Infolge kommen nur noch die Besucher auf die Website, die die Warnung nicht angezeigt bekommen oder diese bewusst ignorieren.
Defacement
Beim Defacement, das derzeit boomt, werden die Inhalte von Websites entfernt und durch eine politische Aussage ersetzt. Das war beispielsweise durch deine Sicherheitslücke der WordPress REST-API möglich. Diese Sicherheitslücke wurde durch die Version 4.7.2 erfolgreich geschlossen.
Blockierung von Mailadressen
Wenn durch den Angreifer der Server genutzt wird, um Mails zu versenden, kann das eine Blockierung der Mailadressen oder des Mail-Servers zur Folge haben. Es erfolgt die Erfassung in einer Blacklist wie NiX Spam oder Spamhaus. Die Mailserver prüfen diese Blacklists regelmäßig, um ihre User zu schützen und lehnen solche Mails ab.
Website und Server von den Backlists entfernen
Wenn nach einem Hackerangriff der Schadcode entfernt und die Site repariert wurde, sollte diese aus den Blacklists entfernt werden. Dazu gehört zum einen die Google Safe Browsing Datenbank aber auch die Datenbanken der gängigen Anti-Virenprogramme. Teilweise wurde der Mail-Server auf Blacklists gesetzt.
Zur Entfernung von Google Safe Browsing genügt eine Anforderung eines neuen Reviews, was bis zu zwei Tage dauern kann.
Zudem kann man bei den Antivirenprogrammen die Website zur Prüfung hinterlegen.
Das muss auch dann getan werden, wenn die Seite falsch positiv eingestuft wurde, obwohl es keinen Hackerangriff gab. Bei den Mail-Server-Blacklists werden die Server dann entfernt, wenn keine Spam-Mails mehr versendet werden. Das kann unter Umständen etwas länger dauern, weil die Blacklists nicht nur selbst aktualisiert werden müssen, sondern auch die Mail-Server.
Im Internet gibt es einige Tools, auf denen der User selbst prüfen kann, ob seine Site von Blacklist-Einträgen betroffen ist, darunter sitecheck.sucuri.net oder blacklistalert.org.
Wenn eine Seite gehackt wird und in Folge mit Schadcodes infiziert und der Server für Phishing genutzt wird, dann treten meist immense Schäden für den Betreiber auf. Der Betreiber der Website muss zunächst seine Site reparieren, aktualisieren und in Folge dafür sorgen, dass die Website wieder ans Netz geht. Er hat Sorge zu tragen, dass die Site von allen Blacklists erfolgreich entfernt wird. Das kann einige Zeit in Anspruch nehmen und sorgt dafür, dass die Website nicht wie gewohnt genutzt wird. In Folge treten immense Umsatzeinbußen auf. Zudem können Schadensersatzforderungen durch User gestellt werden, die sich auf der Website mit Schadsoftware infiziert haben. (prm)
Agentur Artikel