Bundesamt für Sicherheit in der Informationstechnik

M 6.31 Verhaltensregeln nach Verlust der Systemintegrität

Verantwortlich für Initiierung: Informationssicherheitsmanagement, Leiter IT

Verantwortlich für Umsetzung: Administrator, Benutzer

Falls sich das Unix-System in nicht vorgesehener Weise verhält (zum Beispiel undefiniertes Systemverhalten, nicht auffindbare Daten, veränderte Dateiinhalte, ständige Verringerung des freien Speicherplatzes, ohne dass etwas abgespeichert wurde), kann ein Verlust der Systemintegrität vorliegen. Dieser kann durch missbräuchliche Nutzung des Systems verursacht worden sein, zum Beispiel durch Veränderungen der Systemeinstellungen, Einspielen eines Trojanisches Pferdes oder eines Computer-Virus.

Dann sollten die Benutzer folgende Punkte beachten:

  • Ruhe bewahren!
  • Benachrichtigen Sie den Administrator.
  • Beenden Sie laufende Programme.

Der Administrator sollte folgende Schritte durchführen:

  • Herunterfahren des Systems,
  • Hochfahren des Systems, so dass nur Zugriff von der Konsole aus möglich ist (z. B. Single-User-Modus),
  • Anfertigung einer Komplettdatensicherung (Dies ist beispielsweise hilfreich, wenn bei der nachfolgenden Untersuchung Daten oder Spuren zerstört werden.),
  • Überprüfung der ausführbaren Dateien auf sichtbare Veränderungen, z. B. Erstellungsdatum und Dateigröße (Da diese von einem Angreifer auch wieder auf ihre Ursprungswerte zurückgesetzt werden können, sollte die Integrität der Dateien mit Prüfsummenverfahren wie tripwire überprüft werden.),
  • Löschen der ausführbaren Dateien und Wiedereinspielen der Original-Dateien von schreibgeschützten Datenträgern (siehe M 6.21 Sicherungskopie der eingesetzten Software ) (keine Programme aus der Datensicherung wiedereinspielen),
  • Überprüfen und ggf. Wiedereinspielen der Systemverzeichnisse und -dateien und ihrer Attribute (z. B. /etc/inetd.conf, /etc/hosts.equiv, cron- und at-jobs, etc.),
  • Überprüfung der Attribute aller Benutzerverzeichnisse und -dateien z. B. mit Prüfsummenverfahren wie tripwire und gegebenenfalls Zurücksetzen auf Minimal-Einstellungen (nur Rechte für den Eigentümer, keine root-Dateien in Benutzerbereichen, .rhost- und .forward-Dateien, auch gesperrte Accounts),
  • Änderung aller Passwörter,
  • Benachrichtigung der Benutzer mit der Bitte, ihre Bereiche auf Unregelmäßigkeiten zu prüfen.

Nach der Änderung aller Passwörter müssen diese den betroffenen Benutzern mitgeteilt werden. Hierbei sollte kein allen Benutzern bekanntes Passwort oder Ableitungsschema benutzt werden. Besser ist es, die Passwörter zufällig zu erzeugen und den Benutzern auf zuverlässigem Weg mitzuteilen, z. B. in versiegelten Umschlägen. Diese Passwörter sollten unmittelbar nach der Erstanmeldung geändert werden.

Wenn Anzeichen auf einen vorsätzlichen Angriff gegen ein Unix-System vorliegen, ist für die Schadensminimierung und weitere Schadensabwehr sofortiges Handeln notwendig. Hierzu ist ein Alarmplan erforderlich, in dem die einzuleitenden Schritte aufgeführt werden und festgelegt wird, welche Personen über den Vorfall zu unterrichten sind (siehe auch M 6.60 Festlegung von Meldewegen für Sicherheitsvorfälle ). Der Alarmplan enthält gegebenenfalls auch Informationen darüber, ob und wie der Datenschutzbeauftragte und die Rechtsabteilung zu beteiligen sind.

Falls sich Probleme ergeben, können Sie sich an die Hotline des BSI wenden unter Telefon 0228-9582-5222 oder E-Mail certbund@bsi.bund.de.

Falls Daten gelöscht oder unerwünscht geändert wurden, können diese aus den Datensicherungen wiedereingespielt werden.

Prüffragen:

  • Existieren Verhaltensregeln nach Verlust der Systemintegrität?

  • Existiert ein geeigneter Alarmplan zur Schadensminimierung?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK