Bundesamt für Sicherheit in der Informationstechnik

M 4.93 Regelmäßige Integritätsprüfung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Eine regelmäßige Kontrolle des Dateisystems, der Dateiattribute und der Prozessinformationen sowie weiterer wichtiger Elemente der Systemkonfiguration (beispielsweise unter Windows die Registry) auf unerwartete Veränderungen hilft dabei, Inkonsistenzen zu erkennen. Die Erkennung solcher Inkonsistenzen kann zur Vorbeugung gegen Systeminstabilitäten eingesetzt werden. Es können dadurch aber auch Angriffe zeitnah entdeckt werden. Sollte tatsächlich ein Angriff vorliegen, ist es wichtig, das Vorgehen des Angreifers zu rekonstruieren. Dies dient einerseits dazu, Manipulationen an Daten aufzudecken, und andererseits dazu, verborgene Hintertüren zu erkennen, die ein Angreifer für einen späteren Zugriff auf den Rechner installiert haben könnte.

Berechnung kryptographischer Prüfsummen

Zur Erkennung von Manipulationen können Programme genutzt werden, die kryptographische Prüfsummen über einen Großteil der Dateien des Systems oder über andere Ressourcen berechnen. Zu unterscheiden sind dabei Integritätsprüfungsprogramme, welche nur auf Dateiebene arbeiten, und solche, die auch Prozesse und spezielle Konfigurationsdaten, wie die Windows-Registry oder Datenstrukturen des Kernels, überprüfen können. Es wird empfohlen, darauf zu achten, dass diese Werkzeuge auch zentral administriert und überwacht werden können. Außerdem müssen die vom Programm verwendeten kryptographischen Mechanismen dem Stand der Technik entsprechen.

Einige Programme stellen lediglich fest, ob Veränderungen am Dateisystem durchgeführt wurden. Hierzu prüfen sie, ob die Zugriffsrechte, das Datum der letzten Modifikation oder die Inhalte der jeweiligen Datei geändert wurden. Modifikationen werden erkannt, indem die vorher erstellte kryptographische Prüfsumme mit der aktuell berechneten Prüfsumme verglichen wird. Mit einer speziellen Einstellung kann in vielen Fällen auch ein nur lesender Zugriff auf die Datei bemerkt werden.

Schutz der Prüfsummendatei

Um zu verhindern, dass das Integritätsprüfungsprogramm selbst oder die Datei, welche die Prüfsummen des Systems enthält, von einem Angreifer oder durch Schadsoftware verfälscht werden können, sollten sich diese auf einem schreibgeschützten Datenträger befinden. Allerdings muss die Prüfsummendatei bei erlaubten Veränderungen am Dateisystem ebenfalls geändert werden, so dass sich CD s, DVD s oder Wechselplatten für diesen Zweck empfehlen. Alternativ kann die Prüfsummendatei auch über das Netz schreibgeschützt zur Verfügung gestellt werden. Bei einer Verwaltung des Integritätsprüfungsprogramms über das Netz sollte dieser Weg auch bevorzugt werden. Einige Schadprogramme tarnen sich, so dass sie mit Methoden des manipulierten Betriebssystems nicht erkannt werden können. Daher ist es im Verdachtsfall sinnvoll, das System mittels eines manipulationsfreien Betriebssystems zu untersuchen. Dieses kann beispielsweise von einer CD-ROM gestartet werden, die von einem vertrauenswürdigen Referenzsystem erzeugt wurde.

Prüfintervall und Prüfumfang

Eine Integritätsprüfung sollte regelmäßig, beispielsweise jede Nacht, durchgeführt werden. Die Wahl eines geeigneten Prüfintervalls hängt stark vom Einsatzzweck des jeweiligen IT-Systems beziehungsweise der Einsatzumgebung ab. Bei der Durchführung von Integritätsprüfungen ist außerdem der Verbrauch an Speicherplatz und Rechenzeit, der für die Überprüfung der Prüfsummen notwendig ist, zu berücksichtigen. Der Einsatz des Integritätsprüfungsprogramms darf den ordnungsgemäßen Betrieb nicht beeinträchtigen.

Im normalen Betrieb jedes größeren IT -Systems ergeben sich ständig kleinere und größere Änderungen an Systemdateien. Generell ist es daher empfehlenswert, das Integritätsprüfungsprogramm so zu konfigurieren, dass nur Veränderungen an relevanten Dateien erfasst werden. Anderenfalls besteht die Gefahr, dass sehr viele Änderungsmeldungen ausgelöst werden, die auf ganz normale betriebliche Abläufe und nicht auf Angriffsversuche zurückzuführen sind (false positives). Als Folge kann es passieren, dass die Protokolldateien nicht mehr zeitnah ausgewertet werden können.

Prozessinformationen im Arbeitsspeicher

Neben dateibasierten Integritätsprüfungen gibt es auch die Möglichkeit, Prozessinformationen aus dem Arbeitsspeicher gegen eine Liste erlaubter Prozesse (Whitelist) zu prüfen. Auf diese Weise lassen sich auch bestimmte Manipulationen erkennen, die keine Spuren im Dateisystem hinterlassen. Andererseits gibt es Manipulationen, die nicht die Prozesse selbst, sondern nur deren Konfiguration betreffen. Solche Manipulationen lassen sich unter Umständen leichter durch eine Integritätsprüfung der Konfigurationsdateien aufdecken. Integritätsprüfungen des Dateisystems und des Arbeitsspeichers haben somit teilweise unterschiedliche Schutzwirkungen. Ein Vorteil der Prüfung von Prozessinformationen im Arbeitsspeicher ist, dass dazu nur wenige oder keine Festplattenzugriffe nötig sind, die deutlich langsamer sind als Arbeitsspeicherzugriffe. Dadurch kann wesentlich häufiger geprüft werden als bei einer dateibasierten Methode, bei der viele Informationen von der Festplatte gelesen werden müssen. So können unerwünschte Programme meist schneller entdeckt werden als bei einer dateibasierten Integritätsprüfung.

Benachrichtigung

Eine Benachrichtigung über das Ergebnis sollte, auch wenn keine Veränderungen festgestellt wurden, automatisch per E-Mail oder einen ähnlichen Weg an den Administrator erfolgen. Vorab sollte festgelegt werden, welche Maßnahmen einzuleiten sind, wenn ein Integritätsverlust festgestellt wird. Wichtig ist beispielsweise, ob automatische oder manuelle Aktionen durchgeführt werden.

Prüffragen:

  • Entsprechen die verwendeten kryptographischen Mechanismen der Integritätsprüfung dem Stand der Technik?

  • Werden die Prüfsummendatei und das Prüfprogramm selbst ausreichend vor Manipulationen geschützt?

  • Ist sichergestellt, dass wichtige Hinweise auf einen Integritätsverlust nicht in einer Fülle irrelevanter Änderungsmeldungen (false positives) untergehen?

Stand: 13. EL Stand 2013