M 6.64 Behebung von Sicherheitsvorfällen
Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Leiter IT
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Administrator, Leiter IT
Sobald die Ursache eines Sicherheitsvorfalls identifiziert worden ist, sollten die erforderlichen Maßnahmen zu dessen Behebung ausgewählt und umgesetzt werden. Dazu muss zunächst das Problem eingegrenzt und beseitigt werden und anschließend der "normale" Zustand wiederhergestellt werden.
Bereitstellung des notwendigen Expertenwissens
Die unabdingbare Voraussetzung für die Untersuchung und Beseitigung einer Sicherheitslücke ist das entsprechende Fachwissen. Daher muss das Personal entsprechend geschult sein oder es müssen Experten zu Rate gezogen werden. Dafür sollte eine Liste mit den Kontaktadressen von einschlägigen internen und externen Experten aus den verschiedenen Themenbereichen vorbereitet sein, damit diese schnell zu Rate gezogen werden können. Zu den externen Experten gehören unter anderem
- Computer Emergency Response Teams (CERTs) (siehe auch M 2.35 Informationsbeschaffung über Sicherheitslücken des Systems),
- Hersteller bzw. Vertreiber der betroffenen IT-Systeme (siehe auch M 4.107 Nutzung von Hersteller-Ressourcen),
- Hersteller bzw. Vertreiber der eingesetzten Sicherheitssysteme, wie Computer-Viren-Schutzprogramm, Firewall, Zutrittskontrolle, etc.,
- externe Berater mit sicherheitsspezifischem Fachwissen.
Wiederherstellung des sicheren Zustands
Zur Beseitigung von Sicherheitslücken müssen die betroffenen IT-Systeme vom Netz genommen und alle Dateien gesichert werden, die Aufschluss über die Art und Ursache des aufgetretenen Problems geben könnten. Hierzu gehören insbesondere alle relevanten Protokolldateien. Da das gesamte IT-System als unsicher oder manipuliert betrachtet werden sollte, müssen das Betriebssystem und alle Applikationen auf Veränderungen untersucht werden. Neben Programmen müssen aber auch Konfigurationsdateien und Benutzerdateien auf Manipulationen untersucht werden. Sinnvollerweise sollten hierfür Prüfsummenverfahren eingesetzt werden. Dies setzt allerdings voraus, dass die Prüfsummen des "sicheren" Zustandes im Vorfeld erhoben und auf schreibgeschützte Datenträger ausgelagert wurden (siehe auch M 4.93 Regelmäßige Integritätsprüfung).
Um sicherzugehen, dass von einem Angreifer hinterlassene trojanische Pferde wirklich beseitigt worden sind, sollten die Original-Dateien von schreibgeschützten Datenträgern wiedereingespielt werden. Dabei muss darauf geachtet werden, dass alle sicherheitsrelevanten Konfigurationen und Patches mitaufgespielt werden. Wenn Dateien aus Datensicherungen wiedereingespielt werden, muss sichergestellt sein, dass diese vom Sicherheitsvorfall nicht betroffen waren, also z. B. nicht bereits mit dem Computer-Virus infiziert sind. Die Untersuchung der Datensicherungen kann andererseits hilfreich sein, um den Beginn eines Angriffs oder einer Computer-Virusinfektion festzustellen.
Vor der Wiederinbetriebnahme nach einem Angriff sollten alle Passwörter auf den betroffenen IT-Systemen geändert werden. Dies schließt auch die IT-Systeme ein, die nicht unmittelbar durch Manipulationen betroffen waren, von denen aber der Angreifer vielleicht bereits Informationen über die Benutzer und/oder Passwörter eingeholt hat.
Es sollte damit gerechnet werden, dass nach dem Wiederherstellen des "sicheren" Zustands der Angreifer eine erneute Attacke versucht. Deshalb sollten die IT-Systeme, insbesondere die Netzübergänge, mit den entsprechenden Überwachungstools beobachtet werden (siehe auch M 5.71 Intrusion Detection und Intrusion Response Systeme).
Dokumentation
Während der Behebung eines Sicherheitsproblems sollten alle durchgeführten Aktionen möglichst detailliert dokumentiert werden,
- um den Überblick zu behalten,
- um die aufgetretenen Probleme nachvollziehbar zu machen,
- um einen Fehler, der bei der meist zügigen Umsetzung der Gegenmaßnahmen erfolgen kann, wieder beheben zu können,
- um bereits bekannte Probleme bei einem erneuten Auftreten schneller bereinigen zu können,
- um die Sicherheitslücken schließen und vorbeugende Maßnahmen ausarbeiten zu können und
- um für eine mögliche Strafverfolgung Beweise zu sammeln.
Zu einer solchen Dokumentation gehören nicht nur eine Beschreibung der durchgeführten Aktionen inklusive der Zeitpunkte, sondern auch die Protokolldateien der betroffenen IT-Systeme.
Reaktion auf vorsätzliche Handlungen
Bei Sicherheitsvorfällen, die durch einen Angreifer ausgelöst wurden, muss eine Entscheidung darüber getroffen werden, ob der entdeckte Angriff beobachtet oder möglichst schnell Gegenmaßnahmen durchgeführt werden sollen. Natürlich kann versucht werden, den Angreifer "auf frischer Tat" zu ertappen, aber dies birgt auch das Risiko, dass der Angreifer in der Zwischenzeit Daten zerstört, manipuliert oder ausliest.
Leider stellt sich bei der Untersuchung von Sicherheitsproblemen häufig heraus, dass diese von eigenen Mitarbeitern verursacht worden sind. Dies kann durch Versehen, fehlerhafte Arbeitsabläufe oder technische Probleme passieren, aber auch durch Nichtbeachtung von Sicherheitsmaßnahmen oder vorsätzliche Handlungen.
Es muss bei allen intern verursachten Sicherheitsproblemen der Auslöser untersucht werden. In vielen Fällen wird sich zeigen, dass die Probleme aus fehlerhaften oder missverständlichen Regelungen resultieren. Dann müssen die Regelungen entsprechend geändert oder um weitere, z. B. technische Maßnahmen, ergänzt werden.
Sind Sicherheitsprobleme vorsätzlich oder aus Nachlässigkeit verursacht worden, sollten angemessene disziplinarische Maßnahmen ergriffen werden.
Ergänzende Kontrollfragen:
- Wann wurde die Liste der Sicherheitsexperten letztmalig aktualisiert?
- Sind schon vorsätzliche Angriffe durch Innentäter beobachtet worden?