30.6 Erstellung eines Reaktionsplans für sicherheitsrelevante Zwischenfälle des Systems
Kommt es zu einem Fehlverhalten des Systems oder gibt es Verdachtsmomente auf Angriffe durch Hacker, so muss mit Bedacht vorgegangen werden. Eine geplante Vorgehensweise kann helfen, aus einem falsch eingeschätzten Problem kein wirkliches Problem werden zu lassen, jedoch z.B. auch vermeiden helfen, dass ein erkannter Hacker zu schnell gewarnt wird, bevor seine Identität festgestellt werden konnte. Folgende Reihenfolge des Vorgehens kann gewählt werden, um mit adäquaten Maßnahmen den Schaden zu begrenzen und Beweismittel sicherzustellen:
| 1. |
Eine erste Analyse erstellen: |
|
|
|
|
|
|
Handelt es sich um einen ernsthaften Zwischenfall oder z.B. um einen Bedienungsfehler eines Administrators? |
|
|
|
Was könnte der Typ des Fehlers oder Angriffs sein und wie ernsthaft ist er? |
|
|
|
Die ersten Schritte dokumentieren |
| 2. |
Den Zwischenfall mit dem Sicherheitsteam diskutieren: |
|
|
|
|
|
|
Wer muss noch informiert werden? |
|
|
|
Welche Sofortmaßnahmen sind angemessen? |
|
|
|
Wie kann ein Überreagieren vermieden und gleichzeitig ein potenzieller Schaden in Grenzen gehalten werden? |
|
|
|
Wie können Beweise für eine Attacke gesichert werden? |
| 3. |
Den Schaden eingrenzen, weiter bestehende Risiken minimieren oder ausschalten: |
|
|
|
|
|
|
Für Sicherheit des Personals sorgen |
|
|
|
Klassifizierte und sensible Daten zuerst schützen |
|
|
|
Weitere Datenbestände in der Reihenfolge der Wichtigkeit schützen |
|
|
|
Hardware und Software gegen Attacken schützen |
|
|
|
Die Unterbrechungszeit der Online-Zeit minimieren (entscheiden, ob einzelne Datenbestände restauriert werden oder das System mit der letzten Sicherung komplett neu aufgesetzt wird) |
| 4. |
Den Typ und die Ernsthaftigkeit der Sicherheitsverletzung identifizieren |
|
|
|
|
|
|
Den wirklichen Typ des Angriffs identifizieren |
|
|
|
Den Ausgangsangriffspunkt des Systems finden |
|
|
|
Das eigentliche Ziel des Angriffs identifizieren |
|
|
|
Die betroffenen Dateibestände identifizieren und den durch Diebstahl oder Manipulation dieser Dateien entstandenen Schaden einschätzen |
| 5. |
Beweismaterial sichern |
|
|
|
|
|
|
Manipulierte Dateibestände sichern (Festplatten austauschen), bevor der Schaden behoben wird (soweit zeitlich und vom Aufwand her möglich und sinnvoll) |
|
|
|
Protokolle als Beweismittel sichern und ausdrucken |
|
|
|
Zeugen herbeiholen und Zeugenaussagen schriftlich niederlegen |
|
|
|
Verlauf des Angriffs dokumentieren und jedes Dokument mit Zeit und Datum versehen |
| 6. |
Externe Stellen benachrichtigen (z.B. weitere externe Empfänger virenverseuchter Mails, Virenexperten, externe Systemexperten, Staatsanwaltschaft, Versicherungen) |
|
|
|
| 7. |
Das betroffene System restaurieren |
|
|
|
|
|
|
Den Zeitpunkt des Angriffs bestimmen, damit nicht bereits manipulierte Dateien vom Backupband zurückgespielt werden |
|
|
|
Restaurierung einzelner Komponenten oder Komplett-Restore des Servers |
| 8. |
Den Zwischenfall, seine Auswirkungen und seine Beseitigung dokumentieren |
|
|
|
| 9. |
Die durch den Zwischenfall entstandenen Kosten zusammentragen (abschätzen) und dokumentieren (wichtig, um für sicherheitsrelevante Vorkehrungen Gelder bewilligt zu bekommen) |
|
|
|
| 10. |
Neu entdeckte Sicherheitslücken schließen |
|
|
|
| 11. |
Die Antwortzeit auf einen Zwischenfall beurteilen und das Sicherheitskonzept überdenken, wenn die Reaktionszeiten nicht akzeptabel sind |
|
|
|
|
