Was tun bei einem IT-Sicherheitsvorfall?

Eine Handreichung fuer den betroffenen IT-Verantwortlichen nebst Katalog der wichtigsten Fragen

Incident Handling - Was tun bei einem IT-Sicherheitsvorfall?

Jeder Administrator wird diese Situation sicherlich schon einmal erlebt haben. Ein Nutzer berichtet, dass sein System ganz plötzlich merkwürdige, unerklärliche Symptome zeigt, nach dem der USB-Stick angeschlossen war. Das System wurde mit Schadsoftware infiziert.

Die folgende Anleitung soll dabei helfen, die notwendigen Fragen zu stellen, damit ein zielgerichtetes Handeln möglich ist.

IT-Sicherheitsvorfall (Incident)

Die Phasen des Incident Handlings

1. Vorbereitung

Die Phase der Vorbereitung ist die Grundlage für ein koordiniertes Vorgehen bei einem IT-Sicherheitsvorfall. Ohne Vorbereitung ist ein erfolgreiches Incident Handling nicht möglich. Augenmerk sollte hier ins besondere auf das Vorhanden sein der benötigten Tools und dem Ausbildungstand derjenigen gelegt werden, die später als „Incident Responder“ tätig werden. Training und Übung kann auch hier der Schlüssel zum Erfolg sein.

2. Identifizierung

In der zweiten Phase wird der IT-Sicherheitsvorfall identifiziert und als solcher klassifiziert. Die verantwortlichen Personen werden informiert/alarmiert und eine Lagebeurteilung wird durchgeführt.

3. Eingrenzung

Der IT-Sicherheitsvorfall wird eingegrenzt und versucht ihn auf den betroffen Systemen einzuschränken, so dass Nachbarsysteme bestenfalls nicht beeinträchtigt werden.

4. Störungsbeseitigung

Die eigentliche Störung wird beseitigt. Falls erforderlich wird die letzte Sicherung verwendet. Wichtig hierbei ist, dass die im Angriff ausgenutzten Schwachstellen sicher erkannt und behoben worden sind.

5. Rückkehr zum Normalbetrieb

Die notwendigen Maßnahmen zur Eingrenzung des Vorfalles werden wieder aufgehoben. Abgeschaltete Dienste werden wieder verfügbar gemacht.

6. Abschließende Maßnahmen

Der IT-Sicherheitsvorfall und die durchgeführten Maßnahmen werden sorgfältig dokumentiert. Eine Besprechung wird durchgeführt, um eventuelle Mängel während des Incident Handling Prozesses zu identifizieren und Verbesserungen anzuregen (Manöverkritik).

Welche Fragen sollte sich der Incident Handler nun während des Incident Handling Prozesses stellen?

1. Überblick verschaffen

• Um welche Art Problem handelt es sich?
• Wie wurde das Problem entdeckt? Wann und von wem?
• Welche Mittel der IT-Security Infrastruktur stehen im betroffenen Bereich zur Verfügung? (Firewall, IDS, IPS, Anti-Virus)
• Wie ist die IT-Sicherheitslage der betroffenen Komponenten? Wurde eine Prüfung auf Schwachstellen durchgeführt?
• Welche Gruppen der Organisation sind von dem Vorfall betroffen? Sind sie darüber informiert?
• Wurden weitere IT-Sichervorfälle kürzlich in der Organisation identifiziert?

2. Verantwortlichkeiten klären/ Kommunikation

• Welche Personen sind über den IT-Sicherheitsvorfall informiert? Wie heißen Sie und zu welcher Organisation gehören sie?
• Wer ist der verantwortliche Leiter des Incident Managements?
• Wer ist berechtigt Entscheidungen zu treffen, welche den Dienstbetrieb betreffen können (Management Entscheidungen)?
• Über welche Mittel kommuniziert das Incident Handling Team (Email, Telefonkonferenz, Handy)?
• In welchen Abständen wird die Geschäftsleitung über den Status des Incidents informiert? Wer ist hierfür verantwortlich?
• Wer führt die „Vor-Ort“-Ermittlungen bei der betroffenen IT-Infrastruktur durch? Sind die notwendigen Kontaktdaten vorhanden?
• Wer ist verantwortlich für die Kommunikation mit den Organen der Polizei, Staatsanwaltschaft, Presse oder anderen Einrichtungen wie zuständige CERTS?

3. Eingrenzung des IT-Sicherheitsvorfalles

• Welche IT-Infrastrukturkomponenten sind direkt betroffen? (Server, Webseiten, Netzwerke...)
• Welche Anwendungen und Dienste laufen auf der betroffenen Infrastruktur?
• Welche Schnittstellen zu anderen Diensten/Netzwerken gibt es?
• Welche Annahmen gibt es, wie sich der Vorfall zugetragen haben könnte?

4. Beurteilung der Ergebnisse der ersten Maßnahmen.

• Welche Maßnahmen wurden getroffen um den Vorfall zu beurteilen?
• Welche Tools wurden eingesetzt?
• Welche Maßnahmen wurden durchgeführt um den Incident einzugrenzen? (Verbindungstrennung zu anderen Netzwerken/Sperrung von bestimmten Ports in der Firewall etc..)
• Welche Alarme wurden durch IT-Sicherheitskomponenten wie IDS oder Anti-Virus generiert?
• Wurden Systemprotokolle ausgewertet? Welche Einträge sind verdächtig?

5. Vorbereitung für die nächsten Schritte

• Besitzt die betroffene Gruppe oder Organisation spezielle Handlungsanweisungen oder Richtlinien für IT-Sichervorfälle?
• Ist es möglich eine IT-forensische Analyse durchzuführen oder müssen die System/Dienste weiterhin verfügbar bleiben?
• Welche Mittel sind verfügbar um eine Analyse des laufenden Netzwerkverkehrs oder der einzelnen Desktopsysteme durchzuführen?
• Wie können Daten, während der Analyse, von und zu den betroffenen Systemen transferiert werden?
• Wo befindet sich die betroffene IT-Infrastruktur physikalisch?
• Welche Datensicherungsmittel stehen zu Verfügung um eine Datenrücksicherung durchzuführen?
• Welche weiteren Schritte sind geplant?