Ursache ermitteln

Wenn ein "gecracktes", also von Unberechtigten modifiziertes, System einen alten Softwarestand aufwies und seit mehreren Monaten oder sogar Jahren keine Sicherheits-Updates eingespielt worden sind, war es für den Angreifer ein Leichtes, mit Hilfe von frei im Internet verfügbaren Programmen zum Erfolg zu kommen. Eine technische Analyse des Vorfalls führt mit großer Wahrscheinlichkeit zu dem Ergebnis, daß seit langem bekannte Sicherheitsprobleme des Betriebssystems oder der eingesetzten Software ausgenutzt wurden, für die es von seiten der Softwareautoren oder -hersteller längst Korrekturen gibt. Die Mühe, eine solche Analyse durchzuführen, kann man sich daher sparen und gleich mit der Bereinigung des Systems beginnen.

Wenn die Angreifer jedoch nicht offenkundig ein "leichtes Spiel" hatten, sollte zumindest der Versuch unternommen werden, herauszufinden, wie sie in das System eingedrungen sind. Ansonsten wäre zu befürchten, daß nach der Bereinigung und Wiederinbetriebnahme des Systems ein erneuter, wiederum erfolgreicher Angriff ausgeführt wird.

Nicht das betroffene System zur Analyse nutzen

Wenn irgend möglich, sollte die Festplatte eines gecrackten Rechners nicht unter dem eigenen, darauf installierten Betriebssystem untersucht werden. Stattdessen sollte auf dem Rechner ein Diagnosesystem von einem zuverlässigen Datenträger gestartet werden ("Rettungssystem") oder die Festplatte ausgebaut und in einem anderen, vertrauenswürdigen Rechner ausgelesen werden.

Informationen über den Verursacher

Auch wenn die IP-Adresse des Rechners, von dem der Angriff offenbar ausging, identifiziert werden konnte, versuchen Sie bitte nicht, diesen Rechner zu scannen oder anderweitig auf ihn zuzugreifen. Sie könnten damit weitere Angriffe herausfordern, die mehr Schaden verursachen als der Scan an Nutzen erbracht hat, oder auch einen Angreifer warnen, der sich noch unentdeckt glaubt und bei dem es später zu polizeilichen Durchsuchungsmaßnahmen kommen könnte.