Incident Response
Unter Incident Response versteht man die Reaktion auf einen Sicherheitsvorfall. Das DFN-CERT gliedert die Vorfallsbearbeitung in sechs grundlegende Schritte:
- Vorbereitung
- Entdeckung
- Analyse
- Eindämmung
- Kontrolle gewinnen
- Nachbereitung
Diese Schritte sind auf den Seiten des DFN-CERTs ausführlich beschrieben.
Hilfsmittel
Das Entdecken eines Sicherheitsvorfalls ist nicht immer ganz einfach. Manchmal zeigen sich Virus- oder Wurm- Infektionen durch Fehlermeldungen oder schlechte Reaktionszeiten eines betroffenen Systems. Die Entdeckung eines Rootkits gestaltet sich noch schwieriger, da hier mit allen Mitteln gearbeitet wird, um zugehörige Dateien und Prozesse vor dem Nutzer und Virenscannern zu verstecken. GMER ist ein Tool, das versucht Rootkits aufzuspüren. Mit Intrusion Detection Systemen (IDS) wie Snort oder nepenthes lassen sich infizierte Rechner durch Aktivität im Netzwerk aufspüren. Oft wird man jedoch erst von außen auf eine Infektion hingewiesen. Es wird dann eine virenfreie Umgebung benötigt, in der man das betroffene System untersuchen und bereinigen kann. Idealerweise benutzt man dafür eine bootfähige CD. Es ist empfehlenswert ein System mit verschiedenen Virenscannern zu testen, um die größte Erkennungsrate, die je nach Produkt sehr unterschiedlich ist, zu erhalten.
Rettungssysteme
Die Computerzeitschrift c't bietet mit dem Desinfec't-Projekt eine bootfähige Linux-CD mit mehreren Virenscannern an. Enthalten sind Avira, Bitdefender, Kaspersky und ClamAV. Avira bietet mit dem AntiVir Rescue System ebenfalls eine Linux-basierte Rettungs-CD, die mehrmals täglich aktualisiert wird, so dass immer die aktuellsten Signaturen zur Verfügung stehen. Kaspersky bietet die Kaspersky Rescue Disk an.
Eine fertige Windows-basierte Boot-CD gibt es nicht zum Download. Diese lässt sich allerdings mit Hilfe von Bart's PE Builder erstellen. Ein darauf basierendes Projekt ist die Ultimate Boot CD for Windows. In jedem Fall wird dazu ein lauffähiges Windows System mit einer gültigen Lizenz benötigt. ClamWin ist ein freier Viren-Scanner für Windows der in die CD integriert werden kann. Mit dem Standalone System Sweeper bietet Microsoft mittlerweile auch ein Tool an, um ein Windows-Rettungssystem auf einer bootfähigen CD bzw. einem bootfähigem USB-Stick zu erzeugen.
Updates
Wenn Sie sich selbst einen Windows Update-Pack, also eine Sammlung aller bisher veröffentlichen Patches für die Offline-Installation, erstellen möchten, bietet das c't Projekt Offline-Update dafür geeignete Skripte an.
Virenscanner
Als kostenlose Alternative zu den vom ZIV angebotenen Antivirus-Produkten können im privaten Bereich z.B. Avira AntiVir Personal oder die Microsoft Security Essentials eingesetzt werden.
Stand: 04.07.2011
