GAZ / WZ  vom 29.10.2005

Vorfall abarbeiten

zurück

Der unerwünschte Fall ist eingetreten, es wurden merkwürdige Veränderungen festgestellt und allgemeine  Ratlosigkeit und hektische Aktivität breitet sich naturgemäß aus.
Je nach Vorfall ist es notwendig die Ablauffolgen der Handlungen im Vorfeld zu fixieren, betroffene Mitarbeiter zu instruieren. Der dem Ereignis am nächsten stehende ist in aller Regel  der verantwortliche Administrator. 
Dieser hat eine strukturierte Handlungsvorgabe vorbereitet die nun zum Einsatz kommt, neben der Alarmierung der Geschäftsleitung.
Es gilt hier unbedingt, einen Status quo zu bewahren denn vernichtete Spuren oder veränderte Inhalte erschweren eine spätere Beurteilung erheblich.
Das Herunterfahren eines Systems löscht die Inhalte des Speichers und temporär angelegte Dateien, Spuren aktiver Schadprozesse die flüchtiger Natur sind, gehen verloren. Systemdateien verändern sich und überschreiben Inhalte an anderen Positionen der Festplatte. 
Ein Grundsatz des Incident Response kann daher lauten:
"Eingeschaltete Geräte bleiben eingeschaltet und ausgeschaltete 
Geräte bleiben ausgeschaltet."  In anderen Länder wird auch das sofortige rigorose ziehen des Netzsteckers nicht nur empfohlen, wie in den USA.
Um eine möglicherweise noch bestehende und missbräuchlich genutzte 
Kommunikationsverbindung in das lokale Netzwerk oder zu externen Zielen (Internet, DFÜ- und Remote-Access-Zugänge)  zu unterbinden, sollte man maximal die Kommunikationsleitung zum  Endgerät selbst trennen (LAN- oder Telefon-Kabel). 
Sofern eine konkrete Attacke noch andauert, ist die Dokumentation des 
Verbindungsstatus beispielsweise bei einer Wählverbindung vor dem Trennen der Verbindung wichtig. Oft sind auf dem System entsprechende Monitorprogramme aktiv. Die dort gezeigte Rufnummer oder den Status sollte man am besten durch Zeugen und durch abfotografieren des Bildschirms dokumentieren.
Das Erzeugen eines Bildschirm-Screenshots mit den üblichen Mitteln sollte unbedingt unterbleiben, da dies bereits wieder auf dem zu untersuchenden 
System Daten erzeugt. Diese könnten eine spätere Analyse beeinträchtigen oder auch unmöglich machen. 
Überhaupt muss gerade in der ersten Phase des Incident Response darauf 
geachtet werden, dass die Änderungen an den Systemen so minimal wie 
irgend möglich ausfallen beziehungsweise ganz unterbleiben.
Die Untersuchung eines Systemes kann und sollte nur mit einem ausgewähltem Satz an Werkzeugen  erfolgen, deren Authentizität einwandfrei ist. Einem kompromittiertem System kann man nicht mehr trauen, den Programmen demnach auch nicht mehr.
Mit Bordmitteln das System selbst zu untersuchen kann zu Fehlern oder keinem 
brauchbaren Ergebnis führen. Denn zu diesem Zeitpunkt kann die einwandfreie Funktion der  im System verfügbaren Boardmittel nicht mehr als sicher angenommen werden. 
Die damit gewonnen Informationen können schon verfälscht sein und wichtige 
Hinweise unterdrücken.

Michael Bormann