Bundesamt für Sicherheit in der Informationstechnik

M 6.133 Wiederherstellung der Betriebsumgebung nach Sicherheitsvorfällen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter, Leiter IT

Zur Beseitigung von Sicherheitslücken müssen die betroffenen IT-Systeme vom Netz genommen und alle Dateien gesichert werden, die Aufschluss über die Art und Ursache des aufgetretenen Problems geben könnten. Hierzu gehören insbesondere alle relevanten Protokolldateien. Da alle betroffenen IT-Systeme insgesamt als unsicher oder manipuliert betrachtet werden sollten, müssen auf jedem dieser IT-Systeme das Betriebssystem und alle Applikationen auf Veränderungen untersucht werden. Neben Programmen müssen aber auch Konfigurationsdateien und Benutzerdateien auf Manipulationen untersucht werden. Sinnvollerweise sollten hierfür Prüfsummenverfahren eingesetzt werden. Dies setzt allerdings voraus, dass die Prüfsummen des "sicheren" Zustandes im Vorfeld erhoben und auf schreibgeschützte Datenträger ausgelagert wurden (siehe auch M 4.93 Regelmäßige Integritätsprüfung ).

Um sicherzugehen, dass von einem Angreifer hinterlassene Manipulationen wie trojanische Pferde wirklich beseitigt worden sind, sollten die Original-Dateien von schreibgeschützten Datenträgern wiedereingespielt werden. Dabei muss darauf geachtet werden, dass alle sicherheitsrelevanten Konfigurationen und Patches mit aufgespielt werden. Wenn Dateien aus Datensicherungen wiedereingespielt werden, muss sichergestellt sein, dass diese vom Sicherheitsvorfall nicht betroffen waren, also z. B. nicht bereits mit dem Computer-Virus infiziert sind. Die Untersuchung der Datensicherungen kann andererseits hilfreich sein, um den Beginn eines Angriffs oder einer Computer-Virusinfektion festzustellen.

Vor der Wiederinbetriebnahme nach einem Angriff sollten alle Passwörter auf den betroffenen IT-Systemen geändert werden. Dies schließt auch die IT-Systeme ein, die nicht unmittelbar durch Manipulationen betroffen waren, von denen aber der Angreifer vielleicht bereits Informationen über die Benutzer und/oder Passwörter eingeholt hat.

Nach der Wiederherstellung eines IT-Systems sollte überprüft werden, ob alle Funktionalitäten auch wirklich vollständig wiedereingerichtet wurden. Dazu können Benutzer mit spezifischen Anwendungs- und Datenkenntnissen einbezogen werden.

Es sollte damit gerechnet werden, dass der Angreifer nach dem Wiederherstellen des "sicheren" Zustands eine erneute Attacke versucht. Deshalb sollten die IT-Systeme, insbesondere die Netzübergänge, mit den entsprechenden Überwachungswerkzeugen beobachtet werden. Neben einer erweiterten Logfileanalyse könnten hierfür beispielsweise auch Intrusion Detection und Intrusion Response Systeme zum Einsatz kommen (siehe auch M 5.71 Intrusion Detection und Intrusion Response Systeme ).

Bei einem Sicherheitsvorfall erfolgt die Umsetzung der Lösung gegebenenfalls von dem verantwortlichen Systemadministrator, dem Expertenteam für die Behandlung von Sicherheitsvorfällen, dem Computer Emergency Response Team ( CERT ), dem Hersteller des IT-Systems oder einem Sicherheitsexperten.

In dieser Phase sollte großer Wert auf die Dokumentation der eingeleiteten Maßnahmen gelegt (Workaround, endgültige Lösung, wer ist zu den Maßnahmen der Know How-Träger) und die Wissensdatenbank (Problem- und Lösungsdatenbank) entsprechend aktualisiert werden (siehe auch M 6.134 Dokumentation von Sicherheitsvorfällen ).

Sollte zur Umsetzung der Lösung ein Änderungsantrag (Change Request) notwendig sein, so wird dieser beim Änderungsmanagement (Change Management) gestellt. In diesem Fall bleibt der Sicherheitsvorfall als "offen" gekennzeichnet, bis die Änderung erfolgreich durchgeführt wurde. Üblicherweise greifen bei kritischen Sicherheitsvorfällen besondere Change-Management-Szenarien (Emergency Changes), die eine umgehende Lösung ermöglichen sollen.

Da gerade bei der Behebung der Störung externe Dienstleister involviert sein können, ist zu regeln, welche Informationen über den Sicherheitsvorfall wem zugänglich gemacht werden dürfen.

Prüffragen:

  • Werden bei der Beseitigung von Sicherheitslücken die betroffenen IT -Systeme vom Netz genommen und alle Dateien gesichert, die Aufschluss über die Art und Ursache des aufgetretenen Problems geben könnten?

  • Werden auf allen betroffenen IT -Systeme Betriebssystem und alle Applikationen auf Veränderungen untersucht?

  • Werden bei der Wiederherstellung der sicheren Betriebsumgebung Anwender für Anwendungsfunktionstest einbezogen?

  • Werden nach der Wiederherstellung die IT -Systeme inklusive der Netzübergänge gezielt überwacht, um erneute Angriffe feststellen zu können?

Stand: 11. EL Stand 2009

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK