Bundesamt für Sicherheit in der Informationstechnik

M 6.23 Verhaltensregeln bei Auftreten von Schadprogrammen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Benutzer

Verhaltensregeln für den Benutzer

Ist ein IT-System mit Schadprogrammen infiziert oder besteht der Verdacht, dass es infiziert ist, gilt vor allem: Ruhe bewahren. Panik oder vorschnelles Handeln führen oft erst zu einem Schaden, bzw. vergrößern diesen noch. Von oberster Priorität ist, die weitere Ausbreitung der Schadprogramme zu verhindern.

Neben der Entdeckung und Meldung von Schadprogrammen durch das Viren-Schutzprogramm können folgende Anzeichen auf eine Infektion mit Schadprogrammen hinweisen:

  • Häufige Abstürze von Programmen
  • Unerklärliches Systemverhalten
  • Unerklärliche Fehlermeldungen
  • Nutzung unbekannter Dienste
  • Unerwartete Netz-Zugriffe
  • Unerklärliche Veränderungen von Datei-Inhalten
  • Ständige Verringerung des freien Speicherplatzes, ohne dass etwas gespeichert wurde
  • Versand von E-Mails ohne Aktion des Benutzers
  • Nicht auffindbare Dateien
  • Kein Zugriff auf einzelne Laufwerke oder Datenträger
  • Probleme beim Starten des PCs
  • Unerklärliche Veränderungen von Icons
  • Probleme beim Verändern oder Abspeichern von Dateien

Dabei sollte berücksichtigt werden, dass diese Anzeichen nicht zwingend auf einen Befall durch Schadprogramme zurückzuführen sind. Die oben genannten Effekte können auch Anzeichen für einen Hard- bzw. Softwarefehler sein und bedürfen aus diesem Grund einer genauen Untersuchung.

Ein entdecktes Schadprogramm (bzw. der Verdacht) ist unverzüglich zu melden. Dabei sollte dem Benutzer eine einheitliche Meldestelle zur Verfügung stehen (z. B. ein User Help Desk, Support oder ähnliches). Weitere Hinweise hierzu finden sich in M 2.158 Meldung von Schadprogramm-Infektionen .

Bei einer Schadprogramm-Infektion oder einem entsprechenden Verdacht darf der Benutzer nicht weiter mit dem IT-System arbeiten. Stattdessen wartet er auf weitere Anweisungen von den zentralen Ansprechpartnern.

Verhaltensregeln für den verantwortlichen Ansprechpartner

Alle nachfolgend beschriebenen weiteren Aktionen werden durch den verantwortlichen Ansprechpartner durchgeführt bzw. eingeleitet.

Bis zur Klärung des Sachverhalts sollte das betroffene IT-System als erstes von allen Datennetzen getrennt werden. Falls das betroffene System drahtlos kommunizieren kann, muss es sofort ausgeschaltet werden, da anders keine schnelle und wirksame Trennung vom Datennetz erreicht werden kann.

Unkoordiniertes Handeln führt im Schadenfall häufig zu noch größeren Schäden. Aus diesem Grund sollte der Verantwortliche gut geschult sein, wenn er versucht, das befallene System von Schadprogrammen zu befreien. Im Zweifelsfall ist es besser, eine weitere fachkundige Person hinzuzuziehen. Trotz möglicherweise hoher Honorarkosten kann dies günstiger sein, als das spätere Beheben der Folgen einer Fehlreaktion.

Oberstes Ziel sollte sein, eine weitere Ausbreitung des Schadprogramms zu verhindern. Folgende Maßnahmen sind dafür erforderlich:

  • Information von Mitarbeitern
  • Gegebenenfalls Information von Externen/Geschäftspartnern
  • Gegebenenfalls Deaktivierung von IT-Systemen oder bestimmten Diensten
  • Beweissicherung
  • Beseitigung des Schadprogramms
  • Feststellen der Quelle

Viren-Schutzprogramme können erkannte Infektionen unter Umständen automatisch entfernen. Dabei werden infizierte Dateien bereinigt, das heißt, der originale Dateizustand wird wieder hergestellt. Ob dies möglich ist, hängt jedoch unter anderem von der Art des jeweiligen Schadprogramms ab, da einige Schadprogramme auch Daten- oder Code-Bereiche überschreiben. Eigenständige Schadprogramme können vom Viren-Schutzprogramm in der Regel ebenfalls gelöscht werden. Alternativ werden infizierte Dateien in einen Quarantäne-Bereich gestellt und können gegebenenfalls zu einem späteren Zeitpunkt näher ausgewertet werden.

Vorgehen bei einer erkannten Infektion

Ein möglicherweise infiziertes IT-System darf nicht mehr produktiv genutzt werden, bis feststeht, dass alle Schadprogramme erfolgreich entfernt wurden.

Wenn eine Infektion erkannt wurde, sollte das IT-System von einem Schadprogramm-freien System- bzw. Boot-Datenträger gestartet (gebootet) werden. Entsprechende CD-ROM s können mit verschiedenen Viren-Schutzprogrammen hergestellt werden. Es gibt auch Boot-CD-ROMs mit vorinstalliertem Unix-/Linux-Betriebssystem und bereits vollständig implementierten Viren-Schutzprogrammen für solche Notfälle. Alternativ kann auch ein entsprechend vorbereiteter USB-Stick verwendet werden.

Weiterhin muss das IT-System mit zumindest einem aktualisierten Viren-Schutzprogramm (aktueller Programmcode und aktuelle Schadprogramm-Signaturen) überprüft werden, um festzustellen, ob tatsächlich ein Schadprogramm vorhanden ist und um welches Schadprogramm es sich handelt. Durch die Suche mit mehreren unterschiedlichen Viren-Schutzprogrammen kann die Sicherheit erhöht werden. Über die Suche und deren Ergebnisse sollte ein Protokoll erstellt werden.

Danach kann das Schadprogramm abhängig vom jeweiligen Schadprogramm-Typ entfernt werden. In der Regel können hierfür entsprechende Funktionen des Viren-Schutzprogramms eingesetzt werden.

Ist die automatische Entfernung nicht möglich, muss beim Hersteller der Viren-Schutzprogramme recherchiert werden, ob das Schadprogramm tatsächlich rückstandsfrei entfernt werden kann. In den meisten Fällen helfen die Informationen des Herstellers des Viren-Schutzprogramms weiter. Darin sind die Funktionsweise des entdeckten Schadprogramms und die Beseitigung zumeist detailliert beschrieben.

Kann das Schadprogramm nicht vollständig entfernt werden, ist eine Wiederherstellung des Systems aus einer Datensicherung (siehe M 6.32 Regelmäßige Datensicherung ) oder eine Neuinstallation erforderlich.

Die Festplatte(n) und alle anderen möglicherweise betroffenen Datenträger müssen nach Entfernung des Schadprogramms noch einmal überprüft werden, um sicherstellen, dass das Schadprogramm auch wirklich komplett entfernt wurde. Im Anschluss daran muss die Boot-Reihenfolge des Rechners wieder so eingestellt werden, dass nur von der Festplatte gebootet wird.

Sollte das Schadprogramm Daten gelöscht oder verändert haben, die weiter benötigt werden, muss versucht werden, die Daten aus Datensicherungen (siehe M 6.32 Regelmäßige Datensicherung ), Kopien oder anderen zuverlässigen Quellen zu rekonstruieren. Für die Wiederherstellung der Programme können beispielsweise Sicherungskopien (siehe M 6.21 Sicherungskopie der eingesetzten Software ), Original-Datenträger oder vertrauenswürdige Web-Seiten des Herstellers herangezogen werden.

Alle von den infizierten Rechnern aus genutzten Zugangskennungen und Passwörter müssen zeitnah geändert werden, um Missbrauch vorzubeugen.

Ursachenforschung und Schadensanalyse

Abschließend sollte versucht werden, die Ursache der Infektion festzustellen. Ist die Quelle auf Original-Datenträger zurückzuführen, sollte der Hersteller und das BSI informiert werden. War die Ursache eine Datei oder E-Mail, dann muss der Ersteller und/oder Absender der Datei benachrichtigt werden. Wenn Daten von einem infizierten Rechner verschickt wurden, sollten die Empfänger dieser Daten benachrichtigt werden (siehe M 2.158 Meldung von Schadprogramm-Infektionen ).

Wichtig ist, dass der Befall durch Schadprogramme nicht nur analysiert, sondern auch dokumentiert wird. Diese Dokumentation und die Analyse des Vorfalls bilden die Grundlage für die Aktualisierung des Sicherheitskonzepts gegen Schadprogramme.

Das Ziel ist, wirksame Gegenmaßnahmen zu ergreifen, damit sich ein solcher oder ähnlicher Vorfall möglichst nicht wiederholt.

Prüffragen:

  • Werden IT -Systeme, die mit Schadprogrammen infiziert sind oder bei denen der Verdacht besteht, dass sie mit Schadprogrammen infiziert sind, unverzüglich von allen Datennetzen getrennt?

  • Wird ein möglicherweise infiziertes IT -System erst dann wieder produktiv genutzt, wenn feststeht, dass alle Schadprogramme erfolgreich entfernt wurden?

  • Werden alle von infizierten Rechnern aus genutzten Zugangskennungen und Passwörter zeitnah geändert?

  • Gibt es jeweils geeignete Verhaltensregeln für Benutzer und Fachkräfte, wie beim Auftreten von Schadprogrammen zu verfahren ist?

  • Wurden die Verhaltensregeln beim Auftreten von Schadprogrammen dem jeweiligen Zielpublikum in geeigneter Form bekannt gegeben?

  • Sind die verantwortlichen Ansprechpartner hinsichtlich des Auftretens von Schadprogrammen geschult?

  • Fließen die Erkenntnisse aus der Analyse von Schadprogramm-Vorfällen in die Aktualisierung des Sicherheitskonzepts gegen Schadprogramme mit ein?

Stand: 13. EL Stand 2013