Incident Response

Unter Incident Response versteht man die Reaktion auf einen Sicherheitsvorfall. Das DFN-CERT gliedert die  Vorfallsbearbeitung in sechs grundlegende Schritte:

  1. Vorbereitung
  2. Entdeckung
  3. Analyse
  4. Eindämmung
  5. Kontrolle gewinnen
  6. Nachbereitung

Diese Schritte sind auf den Seiten des DFN-CERTs ausführlich beschrieben.

Hilfsmittel

Das Entdecken eines Sicherheitsvorfalls ist nicht immer einfach. Manchmal zeigen sich Schadsoftware-Infektionen durch Fehlermeldungen oder schlechte Reaktionszeiten eines betroffenen Systems. Die Entdeckung eines Rootkits gestaltet sich noch schwieriger, da hier mit allen Mitteln versucht wird, zugehörige Dateien und Prozesse vor dem Nutzer und Virenscannern zu verstecken. GMER [en] ist ein Tool, das versucht Rootkits aufzuspüren. Mit Intrusion Detection Systemen (IDS) wie z.B. Snort lassen sich infizierte Rechner durch auffällige Aktivitäten im Netzwerk aufspüren. Oft wird man jedoch erst von außen auf eine Infektion hingewiesen. Es wird dann eine virenfreie Umgebung benötigt, in der man das betroffene System untersuchen und bereinigen kann. Idealerweise benutzt man dafür eine bootfähige CD. Es ist empfehlenswert ein System mit verschiedenen Virenscannern zu testen, um die größte Erkennungsrate, die je nach Produkt sehr unterschiedlich ist, zu erhalten.

Rettungssysteme

Die Computerzeitschrift c't bietet mit dem Desinfec't-Projekt eine jährlich aktualisierte bootfähige Linux-CD  mit mehreren Virenscannern an. Enthalten sind Avira, Bitdefender, Kaspersky und ClamAV. Die Antivirenhersteller bieten meistens selbst sogenannte Rettungssysteme an, mit denen man ein System starten und scannen kann, z.B. das  Avira Rescue System, die Kaspersky Rescue Disk oder ESET SysRescue Live. Falls kein CD-/DVD-Laufwerk vorhanden ist, lassen sich die CD-Images mit Hilfe von UNetbootin auf einen USB-Stick übertragen.

Eine fertige Windows-basierte Boot-CD gibt es wegen des Urheberrechts nicht zum Download. Diese lässt sich allerdings mit Hilfe von Bart's PE Builder erstellen. Ein darauf basierendes Projekt ist die Ultimate Boot CD for Windows. In jedem Fall wird dazu ein lauffähiges Windows System mit einer gültigen Lizenz benötigt. ClamWin ist ein freier Viren-Scanner für Windows, der in die CD integriert werden kann. Mit dem Windows Defender Offline bietet Microsoft mittlerweile auch ein Tool an, um ein Windows-Rettungssystem auf einer bootfähigen CD bzw. einem bootfähigem USB-Stick zu erzeugen.

Updates

Wenn Sie sich selbst einen Windows Update-Pack, also eine Sammlung aller bisher veröffentlichen Patches für die Offline-Installation, erstellen möchten, bietet das c't Projekt Offline-Update dafür geeignete Skripte an.


Stand: 28.05.2015