GAZ / WZ  vom 30.04.2005

Sicherheitsvorfall

zurück

Trotz aller Schutzmaßnahmen ist jedes System Angriffen ausgesetzt. 
Zur Analyse einer Attacke sind rechtskräftige Beweise unabdingbar. 
Doch ohne exakten Plan produziert man statt Beweisen nur Datenmüll.
Die Gründe, die Anlass zu einer forensischen Betrachtung von Rechnersystemen und Netzwerken geben können, sind vielfältig. 
Denn den Bedrohungs-Szenarien Datenausspähung, -manipulation und 
-zerstörung liegt nicht immer ein Angriff von außen Zugrunde. 
Die Quelle oder undichte Stelle ist leider oft auch im eigenen Netz zu finden. Es ist kein Einzelfall, dass ein unzufriedener oder vor der Entlassung stehender Mitarbeiter Daten zerstört oder zur späteren (missbräuchlichen) Nutzung entwendet.
Kein System kann als hundertprozentig sicher vor Einbrüchen oder Manipulationen gelten. Faktisch ist jede noch so ausgeklügelte Sicherheitsbarriere mit entsprechendem hohem Aufwand zu umgehen. Dementsprechend kommt der Feststellung, dass es einen konkreten Angriff auf die IT gibt oder gab und der nachfolgenden Beweissicherung immer mehr Bedeutung zu. 
Es gilt ein paar Grundregeln zu beachten, wenn der Verdacht oder konkrete Hinweise bestehen, dass ein Computer oder ein Netzwerk von Fremden angegriffen wird. Dies gilt auch wenn aus anderen Gründen eine analytisch wie rechtlich sichere Untersuchung an der EDV-Anlage erforderlich ist. 
Im Idealfall erstellt ein Unternehmen vor einem konkreten Fall einen allgemeinen Notfall- und Alarmierungsplan, der den zuständigen Mitarbeitern zugänglich ist. Man bezeichnet die strukturierte Reaktion bei einem Verdachtsfall als Incident Response.
Elementar für die nachfolgende Beweissicherung und Analyse der 
Erkenntnisse ist, dass an dem betroffenen System keine 
Veränderungen vorgenommen werden. Zudem muss der Zugang zum 
System auf das absolute Minimum an Personen begrenzt sein 
(Authentizität des Beweises). Sämtliche Schritte die ab der 
Alarmierung durchzuführen sind, müssen lückenlos dokumentiert sein.

Übereifrige Anwender und Administratoren vernichten häufig in einer frühen Phase viele Beweise. Auf erkannte Fehlfunktionen (Dialer-, Viren- oder Trojaner-Befall) oder Hackerangriffe wird mit Herunterfahren des Systems oder gar mit dem Löschen von verdächtigen Programmen und Registrierungsinformationen reagiert. 
Dies zerstört fast immer wichtige Beweise und erschwert die nachfolgende Analyse. Der aktuelle Speicherinhalt des Rechners ermöglicht unter Umständen sehr aufschlussreiche Analysen hinsichtlich der aktiven Prozesse und Spuren, die bei der letzten Aktion hinterlassen wurden.
Ein Sicherheitsvorfall oder ein ungewöhnliches Ereignis ist nun trotz aller 
Schutzsmassnahmen eingetreten. Zunächst ist dieses Ereignis zu 
klassifizieren, protokollieren und möglichst keine Veränderungen am laufenden System vorzunehmen. 
Wie eine strukturierte weitere Vorgehensweise aussehen kann, Hilfestellungen etc. erfahren Sie in der Fortsetzung.

Michael Bormann