Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 6.64 Behebung von Sicherheitsvorfällen - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 6.64 Behebung von Sicherheitsvorfällen

Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Administrator, Leiter IT

Sobald die Ursache eines Sicherheitsvorfalls identifiziert worden ist, sollten die erforderlichen Maßnahmen zu dessen Behebung ausgewählt und umgesetzt werden. Dazu muss zunächst das Problem eingegrenzt und beseitigt werden und anschließend der "normale" Zustand wiederhergestellt werden.

Bereitstellung des notwendigen Expertenwissens

Die unabdingbare Voraussetzung für die Untersuchung und Beseitigung einer Sicherheitslücke ist das entsprechende Fachwissen. Daher muss das Personal entsprechend geschult sein oder es müssen Experten zu Rate gezogen werden. Dafür sollte eine Liste mit den Kontaktadressen von einschlägigen internen und externen Experten aus den verschiedenen Themenbereichen vorbereitet sein, damit diese schnell zu Rate gezogen werden können. Zu den externen Experten gehören unter anderem

Wiederherstellung des sicheren Zustands

Zur Beseitigung von Sicherheitslücken müssen die betroffenen IT-Systeme vom Netz genommen und alle Dateien gesichert werden, die Aufschluss über die Art und Ursache des aufgetretenen Problems geben könnten. Hierzu gehören insbesondere alle relevanten Protokolldateien. Da das gesamte IT-System als unsicher oder manipuliert betrachtet werden sollte, müssen das Betriebssystem und alle Applikationen auf Veränderungen untersucht werden. Neben Programmen müssen aber auch Konfigurationsdateien und Benutzerdateien auf Manipulationen untersucht werden. Sinnvollerweise sollten hierfür Prüfsummenverfahren eingesetzt werden. Dies setzt allerdings voraus, dass die Prüfsummen des "sicheren" Zustandes im Vorfeld erhoben und auf schreibgeschützte Datenträger ausgelagert wurden (siehe auch M 4.93 Regelmäßige Integritätsprüfung).

Um sicherzugehen, dass von einem Angreifer hinterlassene trojanische Pferde wirklich beseitigt worden sind, sollten die Original-Dateien von schreibgeschützten Datenträgern wiedereingespielt werden. Dabei muss darauf geachtet werden, dass alle sicherheitsrelevanten Konfigurationen und Patches mitaufgespielt werden. Wenn Dateien aus Datensicherungen wiedereingespielt werden, muss sichergestellt sein, dass diese vom Sicherheitsvorfall nicht betroffen waren, also z. B. nicht bereits mit dem Computer-Virus infiziert sind. Die Untersuchung der Datensicherungen kann andererseits hilfreich sein, um den Beginn eines Angriffs oder einer Computer-Virusinfektion festzustellen.

Vor der Wiederinbetriebnahme nach einem Angriff sollten alle Passwörter auf den betroffenen IT-Systemen geändert werden. Dies schließt auch die IT-Systeme ein, die nicht unmittelbar durch Manipulationen betroffen waren, von denen aber der Angreifer vielleicht bereits Informationen über die Benutzer und/oder Passwörter eingeholt hat.

Es sollte damit gerechnet werden, dass nach dem Wiederherstellen des "sicheren" Zustands der Angreifer eine erneute Attacke versucht. Deshalb sollten die IT-Systeme, insbesondere die Netzübergänge, mit den entsprechenden Überwachungstools beobachtet werden (siehe auch M 5.71 Intrusion Detection und Intrusion Response Systeme).

Dokumentation

Während der Behebung eines Sicherheitsproblems sollten alle durchgeführten Aktionen möglichst detailliert dokumentiert werden,

Zu einer solchen Dokumentation gehören nicht nur eine Beschreibung der durchgeführten Aktionen inklusive der Zeitpunkte, sondern auch die Protokolldateien der betroffenen IT-Systeme.

Reaktion auf vorsätzliche Handlungen

Bei Sicherheitsvorfällen, die durch einen Angreifer ausgelöst wurden, muss eine Entscheidung darüber getroffen werden, ob der entdeckte Angriff beobachtet oder möglichst schnell Gegenmaßnahmen durchgeführt werden sollen. Natürlich kann versucht werden, den Angreifer "auf frischer Tat" zu ertappen, aber dies birgt auch das Risiko, dass der Angreifer in der Zwischenzeit Daten zerstört, manipuliert oder ausliest.

Leider stellt sich bei der Untersuchung von Sicherheitsproblemen häufig heraus, dass diese von eigenen Mitarbeitern verursacht worden sind. Dies kann durch Versehen, fehlerhafte Arbeitsabläufe oder technische Probleme passieren, aber auch durch Nichtbeachtung von Sicherheitsmaßnahmen oder vorsätzliche Handlungen.

Es muss bei allen intern verursachten Sicherheitsproblemen der Auslöser untersucht werden. In vielen Fällen wird sich zeigen, dass die Probleme aus fehlerhaften oder missverständlichen Regelungen resultieren. Dann müssen die Regelungen entsprechend geändert oder um weitere, z. B. technische Maßnahmen, ergänzt werden.

Sind Sicherheitsprobleme vorsätzlich oder aus Nachlässigkeit verursacht worden, sollten angemessene disziplinarische Maßnahmen ergriffen werden.

Ergänzende Kontrollfragen: