Was tun bei einem IT-Sicherheitsvorfall?
Eine Handreichung fuer den betroffenen IT-Verantwortlichen nebst Katalog der wichtigsten Fragen
Die folgende Anleitung soll dabei helfen, die notwendigen Fragen zu stellen, damit ein zielgerichtetes Handeln möglich ist.
Incident Handling - Was tun bei einem IT-Sicherheitsvorfall?
Jeder Administrator wird diese Situation sicherlich schon einmal erlebt haben. Ein Nutzer berichtet, dass sein System ganz plötzlich merkwürdige, unerklärliche Symptome zeigt, nach dem der USB-Stick angeschlossen war. Das System wurde mit Schadsoftware infiziert.Die folgende Anleitung soll dabei helfen, die notwendigen Fragen zu stellen, damit ein zielgerichtetes Handeln möglich ist.
IT-Sicherheitsvorfall (Incident)
„Jede Einschränkung der Vertraulichkeit, Verfügbarkeit, Authentizität oder
Integrität von Daten oder Systemen als Folge eines Angriffs“
Quelle: DFN-CERT GmbH
Integrität von Daten oder Systemen als Folge eines Angriffs“
Quelle: DFN-CERT GmbH
Die Phasen des Incident Handlings
1. Vorbereitung
Die Phase der Vorbereitung ist die Grundlage für ein koordiniertes Vorgehen bei einem IT-Sicherheitsvorfall. Ohne Vorbereitung ist ein erfolgreiches Incident Handling nicht möglich. Augenmerk sollte hier ins besondere auf das Vorhanden sein der benötigten Tools und dem Ausbildungstand derjenigen gelegt werden, die später als „Incident Responder“ tätig werden. Training und Übung kann auch hier der Schlüssel zum Erfolg sein.2. Identifizierung
In der zweiten Phase wird der IT-Sicherheitsvorfall identifiziert und als solcher klassifiziert. Die verantwortlichen Personen werden informiert/alarmiert und eine Lagebeurteilung wird durchgeführt.3. Eingrenzung
Der IT-Sicherheitsvorfall wird eingegrenzt und versucht ihn auf den betroffen Systemen einzuschränken, so dass Nachbarsysteme bestenfalls nicht beeinträchtigt werden.4. Störungsbeseitigung
Die eigentliche Störung wird beseitigt. Falls erforderlich wird die letzte Sicherung verwendet. Wichtig hierbei ist, dass die im Angriff ausgenutzten Schwachstellen sicher erkannt und behoben worden sind.5. Rückkehr zum Normalbetrieb
Die notwendigen Maßnahmen zur Eingrenzung des Vorfalles werden wieder aufgehoben. Abgeschaltete Dienste werden wieder verfügbar gemacht.6. Abschließende Maßnahmen
Der IT-Sicherheitsvorfall und die durchgeführten Maßnahmen werden sorgfältig dokumentiert. Eine Besprechung wird durchgeführt, um eventuelle Mängel während des Incident Handling Prozesses zu identifizieren und Verbesserungen anzuregen (Manöverkritik).Welche Fragen sollte sich der Incident Handler nun während des Incident Handling Prozesses stellen?
1. Überblick verschaffen
- Um welche Art Problem handelt es sich?
- Wie wurde das Problem entdeckt? Wann und von wem?
- Welche Mittel der IT-Security Infrastruktur stehen im betroffenen Bereich zur Verfügung? (Firewall, IDS, IPS, Anti-Virus)
- Wie ist die IT-Sicherheitslage der betroffenen Komponenten? Wurde eine Prüfung auf Schwachstellen durchgeführt?
- Welche Gruppen der Organisation sind von dem Vorfall betroffen? Sind sie darüber informiert?
- Wurden weitere IT-Sichervorfälle kürzlich in der Organisation identifiziert?
2. Verantwortlichkeiten klären/ Kommunikation
- Welche Personen sind über den IT-Sicherheitsvorfall informiert? Wie heißen Sie und zu welcher Organisation gehören sie?
- Wer ist der verantwortliche Leiter des Incident Managements?
- Wer ist berechtigt Entscheidungen zu treffen, welche den Dienstbetrieb betreffen können (Management Entscheidungen)?
- Über welche Mittel kommuniziert das Incident Handling Team (Email, Telefonkonferenz, Handy)?
- In welchen Abständen wird die Geschäftsleitung über den Status des Incidents informiert? Wer ist hierfür verantwortlich?
- Wer führt die „Vor-Ort“-Ermittlungen bei der betroffenen IT-Infrastruktur durch? Sind die notwendigen Kontaktdaten vorhanden?
- Wer ist verantwortlich für die Kommunikation mit den Organen der Polizei, Staatsanwaltschaft, Presse oder anderen Einrichtungen wie zuständige CERTS?
3. Eingrenzung des IT-Sicherheitsvorfalles
- Welche IT-Infrastrukturkomponenten sind direkt betroffen? (Server, Webseiten, Netzwerke...)
- Welche Anwendungen und Dienste laufen auf der betroffenen Infrastruktur?
- Welche Schnittstellen zu anderen Diensten/Netzwerken gibt es?
- Welche Annahmen gibt es, wie sich der Vorfall zugetragen haben könnte?
4. Beurteilung der Ergebnisse der ersten Maßnahmen.
- Welche Maßnahmen wurden getroffen um den Vorfall zu beurteilen?
- Welche Tools wurden eingesetzt?
- Welche Maßnahmen wurden durchgeführt um den Incident einzugrenzen? (Verbindungstrennung zu anderen Netzwerken/Sperrung von bestimmten Ports in der Firewall etc..)
- Welche Alarme wurden durch IT-Sicherheitskomponenten wie IDS oder Anti-Virus generiert?
- Wurden Systemprotokolle ausgewertet? Welche Einträge sind verdächtig?
5. Vorbereitung für die nächsten Schritte
- Besitzt die betroffene Gruppe oder Organisation spezielle Handlungsanweisungen oder Richtlinien für IT-Sichervorfälle?
- Ist es möglich eine IT-forensische Analyse durchzuführen oder müssen die System/Dienste weiterhin verfügbar bleiben?
- Welche Mittel sind verfügbar um eine Analyse des laufenden Netzwerkverkehrs oder der einzelnen Desktopsysteme durchzuführen?
- Wie können Daten, während der Analyse, von und zu den betroffenen Systemen transferiert werden?
- Wo befindet sich die betroffene IT-Infrastruktur physikalisch?
- Welche Datensicherungsmittel stehen zu Verfügung um eine Datenrücksicherung durchzuführen?
- Welche weiteren Schritte sind geplant?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 113163
Url: https://administrator.de/tutorial/was-tun-bei-einem-it-sicherheitsvorfall-113163.html
Ausgedruckt am: 22.12.2024 um 11:12 Uhr
18 Kommentare
Neuester Kommentar
Also - die Anleitung selbst ist sehr gut für die Theorie und für die Dokumentation.
Für mich fehlt ein wenig das praktische. Wenn z.B. bei mir ein Rechner einen Virenvorfall hat wird dieser erstmal vom restlichem Netz getrennt. Denn so kann er keine weiteren Rechner infizieren - und auch keine neuen Schadroutinen nachladen. Danach erfolgt der erste Scan mittels des vorhandenen Virenscanners auf dem PC (vorher werden die DAT-Files auf die aktuelle Version gebracht). Sollte dies nicht helfen dann wird der ganze PC von einer Live-CD (Linux mit Virenscanner) gestartet und nochmal gescannt. Ebenfalls wird mittels der Live-CD geprüft ob irgendwelche Daten auf dem System sind (falls da z.B. nen Angreifer das ding als FTP-Server nutzen wollte). Falls ja wird von der gesamten Platte ein Image gemacht.
Danach wird entschieden ob ich mir sicher bin das der Virus weg ist oder die gesamte Platte noch unter der Live-CD platt gemacht. Ebenfalls wird der Server (vorallem die Datenverzeichnisse) nach Viren gescannt...
Ob man das dann nach o.g. Anleitung dokumentieren möchte oder nicht das bleibt jedem selbst und auch dem Vorfall überlassen... (wenn jemand nur nen Virus von zuhause mitgebracht hat würde ich da nicht groß soviel Alarm von machen... Da bekommt die entsprechende Person mal eben verbal kräftig was zwischen die Hörner - und der PC wird wieder in Funktion gebracht...)
Für mich fehlt ein wenig das praktische. Wenn z.B. bei mir ein Rechner einen Virenvorfall hat wird dieser erstmal vom restlichem Netz getrennt. Denn so kann er keine weiteren Rechner infizieren - und auch keine neuen Schadroutinen nachladen. Danach erfolgt der erste Scan mittels des vorhandenen Virenscanners auf dem PC (vorher werden die DAT-Files auf die aktuelle Version gebracht). Sollte dies nicht helfen dann wird der ganze PC von einer Live-CD (Linux mit Virenscanner) gestartet und nochmal gescannt. Ebenfalls wird mittels der Live-CD geprüft ob irgendwelche Daten auf dem System sind (falls da z.B. nen Angreifer das ding als FTP-Server nutzen wollte). Falls ja wird von der gesamten Platte ein Image gemacht.
Danach wird entschieden ob ich mir sicher bin das der Virus weg ist oder die gesamte Platte noch unter der Live-CD platt gemacht. Ebenfalls wird der Server (vorallem die Datenverzeichnisse) nach Viren gescannt...
Ob man das dann nach o.g. Anleitung dokumentieren möchte oder nicht das bleibt jedem selbst und auch dem Vorfall überlassen... (wenn jemand nur nen Virus von zuhause mitgebracht hat würde ich da nicht groß soviel Alarm von machen... Da bekommt die entsprechende Person mal eben verbal kräftig was zwischen die Hörner - und der PC wird wieder in Funktion gebracht...)
Zitat von @Gagarin:
Hm... also ich kann dir da leider nicht ganz zustimmen das ein Rechner
grundsaetzlich vom Netz genommen wird falls Malware festgestellt
worden ist. Damit werden viele Daten, die zb. die Zurueckverfolgen
eines etwaigen Angriffes erleichtern wuerden vernichtet.
Hm... also ich kann dir da leider nicht ganz zustimmen das ein Rechner
grundsaetzlich vom Netz genommen wird falls Malware festgestellt
worden ist. Damit werden viele Daten, die zb. die Zurueckverfolgen
eines etwaigen Angriffes erleichtern wuerden vernichtet.
Speziell den letzten Satz solltest Du mir mal versuchen, zu erklären...
Lonesome Walker
Servus,
Ist bei dem von uns verwendeten Virenscanner (CA Etrust) per se so eingestellt.
Logs werden doch prinzipiell nie durch herunterfahren des Systems / abklemmen des Nics vom Switch / whatever gelöscht?
Schadsoftware, die den Zustand des Nics erkennt - naja - also wenn "sowas" in das Netzwerk kommen kann - dann sind die Fehler im Netzwerk oder beim zuständigen Admin zu suchen.
Stichwort - Adminrechte / Überwachung usw....
Prinzipiell halte ich es da anders, Vorsorge treffen, das keine Fremdsysteme in das Netz kommen können. (Überwachung der Switche auf Intruder) - selbstverfreilich auch das ständige (stündliche) automatische überprüfen auf neue aktuelle .dat der Virenscanner - Unterschiedliche Virenscanner auf Mail / File und Clientsystemen usw. usf.
Und nochmal zurück zum abgeklemmten Switch - naja ein wenn / wie auch immer vermurkstes System - entweder liesst man dann relativ schnell in den einschlägigen Foren etwas über den Befall - oder man nimmt sich wirklich die Zeit und klemmt den dann an ein Dummynetz an und analysiert dort was los ist.
das ständige Überwachen / sniffen des aktivem Netzwerks ist IMHO ja auch nicht so einfach, wenn man die "deutschen Rechte" einhalten will / muß.
Gruß
Hm... also ich kann dir da leider nicht ganz zustimmen das ein Rechner grundsaetzlich vom Netz genommen wird falls Malware festgestellt worden ist.
Ist bei dem von uns verwendeten Virenscanner (CA Etrust) per se so eingestellt.
Damit werden viele Daten, die zb. die Zurueckverfolgen eines etwaigen Angriffes erleichtern wuerden vernichtet.
Logs werden doch prinzipiell nie durch herunterfahren des Systems / abklemmen des Nics vom Switch / whatever gelöscht?
Schadsoftware, die den Zustand des Nics erkennt - naja - also wenn "sowas" in das Netzwerk kommen kann - dann sind die Fehler im Netzwerk oder beim zuständigen Admin zu suchen.
Stichwort - Adminrechte / Überwachung usw....
Prinzipiell halte ich es da anders, Vorsorge treffen, das keine Fremdsysteme in das Netz kommen können. (Überwachung der Switche auf Intruder) - selbstverfreilich auch das ständige (stündliche) automatische überprüfen auf neue aktuelle .dat der Virenscanner - Unterschiedliche Virenscanner auf Mail / File und Clientsystemen usw. usf.
Und nochmal zurück zum abgeklemmten Switch - naja ein wenn / wie auch immer vermurkstes System - entweder liesst man dann relativ schnell in den einschlägigen Foren etwas über den Befall - oder man nimmt sich wirklich die Zeit und klemmt den dann an ein Dummynetz an und analysiert dort was los ist.
das ständige Überwachen / sniffen des aktivem Netzwerks ist IMHO ja auch nicht so einfach, wenn man die "deutschen Rechte" einhalten will / muß.
Gruß
Zitat von @Gagarin:
Um diesen Prozess der Rekunstruktion (Reverse Engineering) zu
erschweren ueberwachen einige Schadsoftwaren den Linkstatus des NICs.
Sobald der auf disconnected ist, entfernt die Software sich selbst.
Ein Angriff waere nicht mehr Nachweisbar.
Um diesen Prozess der Rekunstruktion (Reverse Engineering) zu
erschweren ueberwachen einige Schadsoftwaren den Linkstatus des NICs.
Sobald der auf disconnected ist, entfernt die Software sich selbst.
Ein Angriff waere nicht mehr Nachweisbar.
Na das wäre doch KLASSE, wech mit dem Dreck.
Auch bei mir kommt eine infizierte (oder auch nur potentiell infizierte) Kiste erst mal wech vom Netz.
Alles andere wäre fahrlässig, und würde im Sinne der Gefahrenabwehr kontraproduktiv sein.
Es ist nicht immer das Ziel, den Angriff nachzuverfolgen, sondern vielmehr die bestehende Struktur nicht unnötig in Gefahr zu bringen...
Lonesome Walker
PS: das war eine rhetorische Frage, auf die keine "gute" Antwort kommen konnte
@Gagarin:
Bzw. Wir haben (vor einiger Zeit) eine "Firmen Tochter" geerbt - samt Serverfarm / Daten DBs usw. und "aktuellen" Virenscannern.
Als wir die das erste mal in unserem Netz angeschlossen haben, gabs sofort eine Quarantaine der Systeme - die waren allesamt - trotz aktuellen Virenpattern - verseucht.
Bisher (incl. diesem Vorfall) ist dieser Fall (System wird in Quarantaine gestellt) 3 * vorgekommen - davon 3* begründet.
Nenn mir ein Beispiel aus den letzten 5 Jahren, wo dieser Fall eingetreten ist
("i Love you" mal aussen vor) - und das war vor 9 Jahren.
Gruß
Seit ihr den mit CA Etrust zufrieden?
Yupp - sehr sogar Wie hoch ist die False Positive Rate?
Null, komma Null Bzw. Wir haben (vor einiger Zeit) eine "Firmen Tochter" geerbt - samt Serverfarm / Daten DBs usw. und "aktuellen" Virenscannern.
Als wir die das erste mal in unserem Netz angeschlossen haben, gabs sofort eine Quarantaine der Systeme - die waren allesamt - trotz aktuellen Virenpattern - verseucht.
Bisher (incl. diesem Vorfall) ist dieser Fall (System wird in Quarantaine gestellt) 3 * vorgekommen - davon 3* begründet.
Warum sollte der Fehler beim Admin liegen?
Weil der für das "Design" des Netzes zuständig ist Wenn Schadsoftware eine 0-Day exploit ausnutzt..
Nenn mir ein Beispiel aus den letzten 5 Jahren, wo dieser Fall eingetreten ist
("i Love you" mal aussen vor) - und das war vor 9 Jahren.
Gruß
Zitat von @60730:
> Warum sollte der Fehler beim Admin liegen?
Weil der für das "Design" des Netzes zuständig
ist
Genau so sehe ich das nämlich auch.> Warum sollte der Fehler beim Admin liegen?
Weil der für das "Design" des Netzes zuständig
ist
> Wenn Schadsoftware eine 0-Day exploit ausnutzt..
Nenn mir ein Beispiel aus den letzten 5 Jahren, wo dieser Fall
eingetreten ist
("i Love you" mal
aussen vor) - und das war vor 9 Jahren.
Japp, ich denke, das ist genau die Frage, die Sinn macht...Nenn mir ein Beispiel aus den letzten 5 Jahren, wo dieser Fall
eingetreten ist
("i Love you" mal
aussen vor) - und das war vor 9 Jahren.
Auch TrendMicro steckt die Kiste in Quarantäne, wenn Alarmstufe Gelb/Rot ausgelöst wird.
Dies entspricht übrigens auch dem empfohlenen Vorgehen einiger namhafter (staatlicher) Institutionen und Sicherheitsfirmen...
(von daher wäre es evtl. ratsam, Dein Vorgehen oben anzupassen...?)
Lonesome Walker
BTW: Conficker hat auch per 0-Day Exploit verbreitet . Bis du dem Zeitpunkt als MS die Schwachstelle gefunden hatte und das entsprechende Patch bereitgestellt hat. Wie hat MS das gemacht? Sie haben die Schadsoftware per Reverse Engineering analysiert.
[OT]
Ich glaube da verwechselt du etwas
958644 Veröffentlicht: 23. Okt 2008.
Netzwelt von 28.11.2008.
Wurm bring Sicherheitspatch gleich mit
Das Interessante bei dieser Wurm-Variante:
Ist der Server-Dienst erst einmal ausgetrickst, spielt der Wurm den benötigten Sicherheits-Patch selbst auf das System
wobei die Sicherheitslücke damit nicht geschlossen ist.
Lediglich andere Würmer werden daran gehindert, das System zu befallen.
Das Interessante bei dieser Wurm-Variante:
Ist der Server-Dienst erst einmal ausgetrickst, spielt der Wurm den benötigten Sicherheits-Patch selbst auf das System
wobei die Sicherheitslücke damit nicht geschlossen ist.
Lediglich andere Würmer werden daran gehindert, das System zu befallen.
Ergo - hat "dein Beispiel" das "Gimmick" (beherrscht das Versteckspiel) mit dem Nachinstallieren des Patches - kann der Patch nicht nach dem Wurm geschrieben worden sein
[/OT]
Allerdings bin ich nicht der Meinung das der Admin für das Design einer IT-Infrastruktur einer Organisation zuständig ist.
Dieses ist und bleibt eine Managemententscheidung
Dieses ist und bleibt eine Managemententscheidung
Na gut, dann bin ich halt sowohl IT Admin, als auch IT Management
Bei uns läuift das so - Cheffe will z.B einen FTP Server haben und der bekommt er auch.
"wie" der installiert/verkabelt / abgesichert wird - ist "unser" beiden Entscheidung - wenn es Alternativen gibt - die evtl. Oversized aber zukunftssicherer sind - oder nur ein interner "Testballon".
Und überall, wo das anders geregelt wird, macht mindestens einer was falsch.
Ergo - für das aussuchen der Geräte/Software ist der Admin zuständig - genauso für den Preisvergleich. (Kosten/nutzen abwägung)
Das Abnicken und das auswählen der Alternativen - eine Management Entscheidung.
Gruß
So so...und bei großen Firmen wo das Management in der Regel aus Volljuristen, Kaufleuten und BWLern besteht die designen bei euch ein redundantes Unternehmensnetzwerk inkl. Telefonie und kümmern sich auch um den Aufbau einer ausfallsicheren Serverfarm inkl. SAN ???
Mit Verlaub, das ist doch etwas weltfremd, oder ??
Mit Verlaub, das ist doch etwas weltfremd, oder ??
Hallo Gagarin,
Du mußt Dich deswegen für alles rechtfertigen, was Du geschrieben hast, WEIL Du es geschrieben hast.
Die Diskussion geht sehr wohl um Deinen Beitrag.
Mit Verlaub, Timo und aqui sind beides "gestandene" Admins, die wissen, was sie schreiben.
Der Posten CIO ist meist fehlbesetzt, dies können Dir hier sicher noch einige andere Admins bestätigen.
(denn dort sitzt oft kein IT'ler, sondern ein BWL'er!)
Wenn es in Deiner Firma anders ist, pardon.
Bei uns hier ist es OFT so, daß diese Schlüsselposition qualitativ mangelhaft ist
(und nicht nur bei uns hier in DE, ich kenne hier aus dem Forum auch andere Mitglieder aus AT und CH, die das so unterschreiben...)
Nimm' Dir nicht immer alles so zu Herzen; habe ich früher gemacht, bis ich dann hier mal gegangen bin...
Nachdem ich meine Einstellung zu "Linux-Gurus", die wissen was eine Bash ist, aber putty als DOS-Fenster ansehen, geändert habe, sehe ich hier sehr viele Sachen etwas lockerer
Grüßle
Lonesome Walker
Du mußt Dich deswegen für alles rechtfertigen, was Du geschrieben hast, WEIL Du es geschrieben hast.
Die Diskussion geht sehr wohl um Deinen Beitrag.
Mit Verlaub, Timo und aqui sind beides "gestandene" Admins, die wissen, was sie schreiben.
Der Posten CIO ist meist fehlbesetzt, dies können Dir hier sicher noch einige andere Admins bestätigen.
(denn dort sitzt oft kein IT'ler, sondern ein BWL'er!)
Wenn es in Deiner Firma anders ist, pardon.
Bei uns hier ist es OFT so, daß diese Schlüsselposition qualitativ mangelhaft ist
(und nicht nur bei uns hier in DE, ich kenne hier aus dem Forum auch andere Mitglieder aus AT und CH, die das so unterschreiben...)
Nimm' Dir nicht immer alles so zu Herzen; habe ich früher gemacht, bis ich dann hier mal gegangen bin...
Nachdem ich meine Einstellung zu "Linux-Gurus", die wissen was eine Bash ist, aber putty als DOS-Fenster ansehen, geändert habe, sehe ich hier sehr viele Sachen etwas lockerer
Grüßle
Lonesome Walker
Nimm' Dir nicht immer alles so zu Herzen; habe ich früher
gemacht, bis ich dann hier mal gegangen bin...
Nachdem ich meine Einstellung zu "Linux-Gurus", die wissen
was eine Bash ist, aber putty als DOS-Fenster ansehen, geändert
habe, sehe ich hier sehr viele Sachen etwas lockerer
gemacht, bis ich dann hier mal gegangen bin...
Nachdem ich meine Einstellung zu "Linux-Gurus", die wissen
was eine Bash ist, aber putty als DOS-Fenster ansehen, geändert
habe, sehe ich hier sehr viele Sachen etwas lockerer
Oh ja, das kann ich bestätigen.
Früher hätte schon der erste Kommentar von Lonesome Walker (LSW) dazu führen können, dass Du Deine Mitgliedschaft sofort gekündigt hättest.
Mittlerweile ist LSW ja regelrecht handzahm geworden...