Incident Response (Reaktion auf Sicherheitsvorfälle)

Das UniMS-CERT unterstützt IV-Sicherheitsbeauftragte (IV-SB) und Systemadministrator*innen beim Umgang mit technischen und organisatorischen Aspekten von Vorfällen. Insbesondere bietet es Unterstützung oder Beratung in Bezug auf die folgenden grundlegenden Schritte der Vorfallsbearbeitung (gemäß DFN-CERT).

1. Vorbereitung

Zur Vorbereitung gehört seitens der Organisationseinheiten das Zusammenstellen von Kontakt-Listen mit Ansprechpartnern, Dokumentationen zu betreuten Systemen und idealer Weise die Erstellung von Notfallplänen für verschiedene Szenarien. Ausführlichere Informationen sind unter Proaktive Dienste zu finden.

2. Entdeckung

Die Entdeckung eines Sicherheitsvorfalls ist der erste Schritt in dessen Behandlung. Oftmals ist es nicht einfach zu entscheiden, ob ein Vorfall vorliegt oder nicht. Um dies zu entscheiden, sollte man systematisch vorgehen und sich an Checklisten für Vorfälle orientieren (siehe DFN-CERT Linux Checkliste und Windows Checkliste).

3. Analyse

Bei der Analyse geht es um die Aufklärung der näheren Umstände des Sicherheitsvorfalls, sowie um die Koordinierung des weiteren Vorgehens mit allen Beteiligten. Dazu gehören neben den Kolleg*innen auch Vorgesetzte, Kunden sowie Betreuer*innen und Benutzer*innen der betroffenen Systeme und Anwendungen. Weitere Beteiligte sind ggfs. ihr Rechtsbeistand bzw. Ermittlungsbehörden (speziell, wenn juristische Schritte unternommen oder Anzeige erstattet werden soll), die Pressestelle, ISP(s), Hersteller (z.B. für Patches) und unter Umständen andere CSIRTs.

Zur Klärung des Ausmaßes des Vorfalls, sollten folgende Fragen erörtert werden:

  • Wann und wo ist der Vorfall passiert?
  • Was genau ist passiert?
  • Wer ist beteiligt und wer ist der Angreifer?
  • Wie ging er vor? Welche Schwachstelle wurde ausgenutzt?
  • Welcher Schaden ist bisher entstanden? Welcher weitere Schaden droht?

4. Eindämmung

Bei der Eindämmung geht es darum, das System vor weiteren Schäden durch den Vorfall zu schützen und die Schwachstelle zu beseitigen. Oft ist eine abschließende Lösung des Problems nicht sofort möglich. So ist z.B. das Einspielen von Patches während des Betriebs nicht gestattet (Service Level Agreements) oder man möchte laufende Jobs /Experimente nicht abbrechen. Dennoch gilt es, weiteren Schaden, speziell bei Dritten, zu verhindern (z.B. durch Würmer, Spam, DDoS-Angriffe, usw.). Manchmal ist Eindämmen sogar die einzige verbleibende Option, weil es keine "endgültige" Lösung gibt, z.B. während eines DDoS Angriffs. Grundsätzlich steht hinter Eindämmungsmaßnahmen immer die Abwägung zwischen dem eigenen Schaden durch die Maßnahmen (z.B. durch Abschaltung von Diensten) und dem (potentiellen) Schaden anderer durch Untätigkeit. Einige Maßnahmen werden nur kurzfristig ergriffen, bis eine Wartung des Systems möglich ist.

5. Kontrolle gewinnen

Wiedererlangen der Kontrolle heißt in vielen Fällen: Neuinstallation. Speziell bei Befall durch Viren / Würmer oder bei Einbrüchen ins System ist dieser Schritt leider unvermeidlich. Die im vorigen Abschnitt beschriebene Eindämmung hat den Nachteil, dass die Ursache des Problems nicht entfernt wird. Das Entfernen von Hintertüren oder Würmern entfernt z.B. nicht die Schwachstelle, durch die der Einbruch ins System überhaupt erst möglich war. Auch kann man (besonders bei Kernel-Rootkits) nie ganz sicher sein, das sämtliche Hinterlassenschaften des Angreifers aus dem System entfernt wurden.

Neben der eigentlichen Neuinstallation sollte das Härten des Systems nicht vergessen werden. Dazu zählt nicht nur das Einspielen sämtlicher Sicherheitspatches, sondern auch die sichere Konfiguration der Dienste. Dabei darf Software von Fremdherstellern und auch selbstentwickelte Software nicht vergessen werden. Ganz besonders wichtig: Alle Passwörter sollten geändert werden, sowohl lokal als auch innerhalb der Domäne, falls der Angreifer Zugriff auf die Passwort-Datenbank (LDAP-Server, KDC, Domain-Controller) hatte. Waren schwache Passworte die mögliche Ursache, sollte die Passwort-Policy entsprechend angepasst werden. Ebenso gefährdet sind Schlüssel zur Signatur oder Verschlüsselung, also X.509-, PGP- und SSH -Schlüssel. Werden diese nicht ebenfalls geändert, hat der Angreifer weiterhin Zugriff auf VPNs, E-mail, Web-Anwendungen oder GRID-Systeme.

6. Nachbereitung

Wenn Notfallpläne angewendet werden, funktioniert selten alles so, wie es sich die Planer vorgestellt haben. Deshalb sollten sich nach dem Vorfall die Beteiligten zu einer Nachbereitung des Vorfalls zusammensetzen und besprechen:

  • Was (welche Maßnahme) hat funktioniert?
  • Was hat nicht funktioniert?
  • Was hätte man besser machen können?
  • Welche (Teil-)Pläne müssen geändert werden?
  • Wo ist die Dokumentation lückenhaft oder wofür wurden Pläne vergessen?

Das Ergebnis der Nachbereitung sind aktualisierte Notfallpläne und Dokumentationen, so dass man das nächste Mal hoffentlich besser vorbereitet ist. Zusätzlich sammelt das UniMS-CERT Statistiken über Sicherheitsvorfälle, die innerhalb der Universität auftreten oder diese involvieren. Die Mitglieder der Universität werden benachrichtigt, wenn es die Umstände des Sicherheitsvorfalls erfordern. Um die Unterstützung des UniMS-CERT bei der Behandlung eines Sicherheitsvorfalls anzufragen, kann der Kontakt per E-Mail aufgenommen werden. Es ist anzumerken, dass der Umfang der Unterstützung variieren kann.