10 organisatorische und technische Verhaltensregeln bei ...

10 organisatorische und
technische Verhaltensregeln
bei Sicherheitsvorfällen
1. Bewahren Sie Ruhe! Unkoordinierte Handlungen könnten wertvolle Beweise vernichten!
2. Führen Sie eine anfängliche Beurteilung des Vorfalls durch!
3. Bei aktiven Angriffen: Begrenzen Sie den Schaden und trennen Sie die betroffenen
Systeme vom Netzwerk!
4. Informieren Sie das Management!
5. Sichern Sie Beweismittel mit IuK-forensischen Werkzeugen oder holen Sie sich
entsprechende externe Unterstützung!
6. Benachrichtigen Sie nach Rücksprache mit Ihrem Rechtsberater ggf. externe Stellen!
7. Führen Sie eine erste Analyse der gesicherten Beweise durch!
8. Stellen Sie ggf. die Systeme wieder her!
9. Lernen Sie aus Sicherheitsvorfällen!
10. Kontaktieren Sie externe IuK-Forensik Sachverständige!
HvS-Consulting AG
Notfall-Rufnummer: +49 (0)89/890 63 62-61 • forensik@hvs-consulting.de

10 organisatorische und technische
Verhaltensregeln bei Sicherheitsvorfällen
1. Bewahren Sie Ruhe!
Vermeiden Sie Überreaktionen oder Panik. Befolgen Sie systematisch Ihren definierten Incident-Response-Plan. Unkoordinierte Handlungen (z.B. Neustarten von Rechnern,
An- bzw. Abmeldung oder Anschluss von externen Geräten) könnten wertvolle Beweise vernichten. Verwenden Sie Out-Of-Band-Kommunikationsmittel, wie z. B. Telefon und
Fax, oder sprechen Sie persönlich mit den betreffenden Personen. Angreifer können sonst möglicherweise mithören.
2. Führen Sie eine anfängliche Beurteilung durch!
Legen Sie eine anfängliche Prioritätsebene fest, und bestimmen Sie für den Sicherheitsvorfall einen Verantwortlichen. Ermitteln Sie die Art und das Ausmaß des Vorfalls,
z.B. Abfluss von vertraulichen Informationen (fahrlässig oder Vorsatz), Wirtschaftskriminalität & Betrug (z.B. Manipulation von Daten), Missbrauch von IuK-Systemen
(z.B. strafrechtlich relevante Inhalte, Urheberrechtsfälle), Hacking- oder Viren-Angriffe, etc.
Identifizieren Sie alle von dem Vorfall betroffenen IuK-Systeme. Denken Sie auch an mobile Geräte (z.B. Handy, PDA, Blackberry etc.) und „Sonder-Systeme“ (z.B. Telefonanlage,
Multifunktionsgeräte wie Netzwerkdrucker/-kopierer/-scanner, Zutrittskontrollsystem etc.).
Stellen Sie alle Aufzeichnungen und Aufnahmen in einem Aktivitätsprotokoll (Wer hat Wann Was gemacht - wichtig: Datum & Uhrzeit!) über den Sicherheitsvorfall zusammen.
3. Bei aktiven Angriffen: Begrenzen Sie den Schaden!
Isolieren Sie bei aktiven Angriffen, je nach Schweregrad und Incident-Eskalations-Plan die betroffenen Systeme, indem Sie diese vom Netzwerk (LAN bzw. WAN) trennen.
Ändern Sie alle administrativen bzw. Root-Passwörter.
4. Informieren Sie das Management!
Informieren Sie unternehmensintern alle relevanten Stellen (je nach Auswirkung & Bedeutung) des Sicherheitsvorfalls: Management, Rechtsabteilung, Personalabteilung,
Datenschutz, Fraud-Management, Revision, Compliance, Presseabteilung bzw. Abteilung für Öffentlichkeitsarbeit & -kommunikation, Betriebsrat.
Halten Sie aber die Gruppe der informierten Personen so klein wie möglich!
5. Sichern Sie Beweismittel!
Sichern Sie die betroffenen IuK-Systeme so schnell wie möglich mit zertifizierten forensischen Werkzeugen (z.B. Voom Technologies HC-3, Tableau Writeblocker) auf
dedizierten Sicherungsmedien. Wenn möglich, sollten Sie die IuK-Systeme vollständig sichern, einschließlich der Protokolle und Systemstatusdaten.
Beispiele für IuK-forensische Beweissicherung:
· Sicherung flüchtiger Daten der betroffenen Systeme (z.B. Status der Netzverbindungen, Status laufender Prozesse, Speicherinhalte, aktuelle Uhrzeit etc.)
· Forensische Duplikation von Speichermedien (z.B. Notebooks, Desktop-PCs, USB-Sticks etc.)
· Forensische Sicherung von mobilen Geräten (z.B. Speicherabzug eines PDAs oder BlackBerrys)
· Forensische Sicherung der Daten von betroffenen Personen auf Netzwerklaufwerken (z.B. auf read-only DVDs mit Hashwerten)
· Sicherung von Protokolldaten aller relevanten IuK-Systeme (z.B. Firewall-Log, Proxy-Log, E-Mail-Server-Log, Remote Access bzw. VPN-Log, TK-Anlagen-Log etc.)
· Sicherung von Protokolldaten weiterer relevanter Systeme (z.B. Zutrittskontrollsystem, Videoüberwachungssystem etc.)
Verwahren Sie wenn möglich alle relevanten IuK-Systeme (z.B. Rechner, mobile Geräte, Wechseldatenträger (z.B. USB-Sticks, CDs etc.) nach der forensischen Sicherung in
einem abgesperrten Raum bis zur weiteren Analyse!
Wichtig: Dokumentieren Sie im Rahmen der Beweissicherung, wer die Beweismittel wie und wann gesammelt hat und wer darauf zugreifen konnte.
Beachten Sie bei der Beweissicherung juristische Fallstricke (z.B. allgemeine Persönlichkeitsrechte, Mitbestimmungs- & Informationsrechte).
Holen Sie sich bei der Beweismittelsicherung ggf. externe Unterstützung (siehe Punkt 10).
6. Benachrichtigen Sie ggf. externe Stellen!
Eruieren Sie zusammen mit Ihrem Rechtsberater, ob der Vorfall den Strafverfolgungsbehörden zwingend zu melden ist. Sollten Behörden bereits Untersuchungen eingeleitet
haben, beachten Sie den PSP-Flyer „Verhaltensregeln für Durchsuchungen im Unternehmen“.
7. Führen Sie eine erste Analyse der gesicherten Beweise durch!
Untersuchen Sie Logfiles nach ungewöhnlicher Aktivität, fehlenden Protokollen und Lücken in Protokollen. Suchen Sie Hackertools (Tools zum unerlaubten Entschlüsseln von
Kennwörtern, Trojanische Pferde usw.). Suchen Sie nach nicht autorisierten Anwendungen oder Prozessen, die so konfiguriert sind, dass sie automatisch starten. Untersuchen
Sie Benutzerkonten nach erweiterten Berechtigungen und nicht autorisierten Gruppenmitgliedern. Vergleichen Sie die Systemleistung des kompromittierten Systems
mit der ursprünglichen Systemleistung. Weitergehende Analysen (z.B. Wiederherstellung gelöschter Daten, Analyse von MAC-Times, Analyse von Benutzeraktivitäten etc.)
sollten nur mit zertifizierten Forensik-Tools (z.B. FTK, X-Ways oder EnCASE) und dem entsprechenden Fach-KnowHow bzw. Unterstützung externer Spezialisten durchgeführt
werden!
8. Stellen Sie ggf. die Systeme wieder her!
Überprüfen Sie aktuelle, nicht beschädigte Sicherungen. Stellen Sie das/die betroffenen IuK-Systeme wieder her. Überprüfen Sie die Funktionen und stimmen Sie die
Systemleistung auf die ursprünglich als Basis geplante Systemleistung ab. Überprüfen Sie, ob im Zusammenhang mit der Schadensbegrenzung („quick & dirty“) andere
Schwachstellen erzeugt wurden.
9. Lernen Sie aus Sicherheitsvorfällen!
Untersuchen Sie die Ursachen für den Sicherheitsvorfall und verbessern daraufhin Ihre Schutzmaßnahmen, um erneute Vorfälle und damit verbundenen Angriffe in Zukunft
zu verhindern. Überprüfen Sie Ihren Incident-Response-Plan und erweitern Sie diesen auf Basis der neu gewonnenen Erkenntnisse und Erfahrungen (Lessons Learned).
10. Kontaktieren Sie externe IuK-Forensik-Sachverständige!
Kontaktieren Sie bei Sicherheitsvorfällen neutrale, externe Sachverständige mit dem entsprechenden Fach-KnowHow und Zugang zu zertifizierten Forensik-Produkten.
HvS-Consulting AG
Notfall-Rufnummer: +49 (0)89/890 63 62-61 • forensik@hvs-consulting.de