Unternehmen: Einen Vorfall bewältigen, melden, sich informieren, vorbeugen
Ich habe einen Vorfall – Checkliste Technik
Die Checkliste gliedert sich in organisatorisches und technische Aspekte, die teilweise parallel abgearbeitet werden können. Sie ist in Form von Leitlinien und Leitfragen aufgebaut. Einzelne Schritte sind ggf. zyklisch zu wiederholen.
Rahmenbedingungen
- Die vorliegende Checkliste "Technik" zur Bewältigung von IT-Notfällen kann keine präventiven Maßnahmen oder ein fehlendes Notfall-Management ersetzen.
- Aufgrund der Allgemeingültigkeit, die einen weitverbreiteten Einsatz der Checkliste bei unterschiedlichen IT-Notfällen und in einem sehr heterogenen Umfeld der Betroffenen ermöglichen soll, kann eine Vielzahl der Punkte nur generischer Natur sein.
- Die Checkliste zielt vor allem auf klein- und mittelständische Unternehmen, die noch keine Gelegenheit hatten, sich umfassend auf einen IT-Notfall vorzubereiten und damit eine Arbeitshilfe erhalten, um einen solchen strukturiert zu bewältigen. Einzelaspekte sind aber für Jedermann nutzbar.
In dem Dokument " Ransomware: Erste Hilfe bei einem schweren IT-Sicherheitsvorfall Version 1.2" finden Sie die nachfolgenden Aspekte ausführlicher beschrieben. Vereinzelt werden dort konkrete Befehlszeilenkommandos und / oder Befehlszeilenparameter empfohlen.
Checkliste Technik
Keine Anmeldung mit privilegierten Nutzerkonten auf einem potenziell infizierten Systemen.
- Existieren Benutzerkonten mit unnötigen, privilegierten Rechten?
- Sind Hinweise zu erkennen, ob diese privilegierten Rechte durch Unbefugte / Angreifer – möglicherweise in jüngster Vergangenheit – eingerichtet wurden?
Vergewissern Sie sich, dass Sie vollständige und aktuelle Informationen über Ihr Netzwerk verwenden.
- Identifizieren Sie das / die betroffene(n) System(e). Beschränken Sie sich nicht nur auf das Offensichtliche. Ziehen Sie in Betracht, dass weitere Systeme ebenfalls betroffen sind und noch auf Befehle des Angreifers warten.
Betroffene Systeme vom internen produktiven Netzwerk und dem Internet trennen.
- Dazu das Netzwerkkabel ziehen.
- Gerät nicht herunterfahren oder ausschalten, sofern eine technische Analyse beabsichtigt ist.
- Gegebenenfalls forensische Sicherung inkl. Speicherabbild (selbst, durch Dienstleister oder Strafverfolgungsbehörden) erstellen, sofern eine Strafverfolgung eingeleitet werden soll. Zusätzliche Hinweise finden Sie im "Leitfaden IT-Forensik".
- Erst danach AV-Programme einsetzen, da diese ggf. Änderungen sowohl am flüchtigen als auch persistenten Speicher vornehmen könnten.
- Betrachten Sie infizierte lokale Systeme grundsätzlich als vollständig kompromittiert. Eine punktuelle Bereinigung ist nur mit umfassendem Fachwissen erfolgversprechend. Planen Sie im Regelfall eine komplette Neuinstallation ein.
- Betrachten Sie alle auf betroffenen Systemen gespeicherten bzw. nach der Infektion eingegebenen Zugangsdaten ebenfalls als kompromittiert.
- Betrachten Sie im Fall einer Kompromittierung des Active Directory (AD) auch das gesamte Netz als kompromittiert.
Sofern bisher noch kein ausreichendes Netzwerk-Monitoring und Logging aktiviert war, stimmen Sie sich mit Ihrem Datenschutzbeauftragten (und ggf. Betriebs-/ Personalrat) ab und richten ein solches ein, um noch andauernde Angriffe oder Datenabflüsse feststellen zu können.
Als Best-Practice gilt das auch vom BSI empfohlene Full-Packet-Capturing im Netzwerk.
- Am Mirror-Port an internen, zentralen Netzkoppelelementen können ggf. die Kommunikation der infizierten, internen Systeme untereinander oder der lokalen Command & Control Server erkannt werden.
- Am Übergang zwischen LAN und WAN können ggf. die externen C&C-Server festgestellt werden.
- Vielfach werden Angriffe zuerst durch Externe als Unregelmäßigkeiten festgestellt und an Betroffene gemeldet. Um eine solche Meldung nachvollziehen zu können, muss an der Firewall geloggt werden.
- Richten Sie dedizierte Protokollserver ein. Optimalerweise werden diese außerhalb des Produktiv-/ Büronetzes über eine Schnittstelle im "Promiscuous"-Mode betrieben. Beachten Sie, dass Angreifer i.d.R. eigene Defensivmaßnahmen ergreifen können, um ein Logging zu verhindern oder zu erschweren. Im Einzelfall können ungeschützte Logdaten durch den Angreifer manipuliert werden.
- Blockieren Sie nun erkennbare Täterzugänge.
Prüfen Sie, ob Sie über aktuelle, saubere, integre Backups verfügen. Optimalerweise bewahren Sie diese offline auf. Online-Sicherungen können ggf. beiläufig oder bewusst kompromittiert worden sein.
Ggf. können wichtige Daten auch an abgesetzten Außenstellen oder auf Systemen von Mitarbeitern im Urlaub befinden.
Zu den organisatorischen Aspekten
Das bereits erwähnte Dokument „ Ransomware: Erste Hilfe bei einem schweren IT-Sicherheitsvorfall Version 1.2“ fokussiert sich auf sogenannte APT-Angriffe und Ransomware-Vorfälle.
Zusatzinformationen
Zusatzinformationen zum Thema DDoS finden Sie unter: