Management , Fachartikel

Live Analyse im Rahmen der Sicherheitsvorfallbehandlung

Live Analyse im Rahmen der Sicherheitsvorfallbehandlung

Nicht jeder Sicherheitsvorfall ist auf den ersten Blick als solcher zu erkennen. Viele Sicherheitsvorfälle, insbesondere wenn es sich um gezielte vorsätzliche Angriffe auf IT-Systeme handelt, fallen erst nach Tagen oder Wochen auf. Die Herausforderung für die Systemverantwortlichen besteht nun darin, eine betriebliche Störung von einer sicherheitsrelevanten Unregelmäßigkeit zu unterscheiden. Hinweise hierzu gibt der nachfolgende Artikel.

Klassische Verdachtsmomente für eine Manipulation durch Unbefugte wären etwa, wenn der Administrator unbekannte Prozesse oder Benutzer entdeckt. Auch das Vorhandensein unbekannter Dateien oder Verzeichnisse - womöglich an unüblichen Stellen oder mit ungewöhnlichen Rechten versehen - sollte stutzig machen. Verdächtig wäre ebenso eine nicht erklärbare hohe Systemlast, das plötzliche Nichtfunktionieren oder langsamer werden von Diensten oder ungewöhnliche Anmeldungen an Systemen. Intrusion-Detection-Systeme können weitere Hinweise auf Angriffe liefern. Neben diesen sichtbaren Indizien ist aber auch das Fehlen von erwarteten Dateien oder Konfigurationen verdächtig, indiziert es doch grundsätzlich eine ungewöhnliche Veränderung des Systems. Der denkbar ungünstigste Fall ist das Bekanntwerden eines Sicherheitsvorfalls durch Information von externen Dritten, da hier in vielen Fällen ein Reputationsschaden entsteht.

Nach dem Erkennen einer sicherheitsrelevanten Unregelmäßigkeit müssen die Verantwortlichen zunächst entscheiden, ob es sich um einen Sicherheitsvorfall mit eventuell zu erwartenden größeren Schäden handelt. Entscheidungsgrundlage hierfür ist die klare Definition eines Sicherheitsvorfalls innerhalb der Organisation. Wie nach dem Feststellen eines Sicherheitsvorfalls weiter vorzugehen ist, sollte in einer Richtlinie zur Behandlung von Sicherheitsvorfällen dokumentiert sein. Darin ist zu regeln, bei welchem Ereignis welche Schritte einzuleiten sind, wer gemäß der Meldewege wann und durch wen zu alarmieren ist und wer welche Verantwortlichkeiten hat. Denn bei Auftreten eines Sicherheitsvorfalls ist es in der Regel zu spät, sich darüber Gedanken zu machen. Dann ist Reagieren gefragt. Bei der Reaktion auf einen Sicherheitsvorfall – im Fachjargon: Incident Response – sind die Betroffenen in vielen Fällen vorerst auf sich alleine gestellt. Dies gilt insbesondere für Organisationen mit verteilten Standorten, an denen in den ersten Stunden nach Bekanntwerden des Vorfalls nicht immer ein Expertenteam oder externe Sicherheitsspezialisten für dessen Behandlung verfügbar sein können. In diesen Fällen muss sich vertrauenswürdiges Sicherheitspersonal vor Ort mit der Sicherung der Beweismittel beschäftigen. Das setzt voraus, dass die verantwortlichen Mitarbeiter die Methoden und Werkzeuge zur Behandlung von Sicherheitsvorfallen kennen und deren Einsatz beherrschen. Die Durchführung der notwendigen Maßnahmen zur Behebung von Sicherheitsvorfällen erfolgt meist unter Zeitdruck. Falsche Reaktionen können aber noch zur Verschlimmerung der Situation beitragen, etwa indem man durch überhastete Entscheidungen versehentlich Daten löscht, die eventuell beweiskräftig gewesen wären. Das gilt insbesondere für die Tätigkeiten am aktiven, nicht ausgeschalteten System - während der sogenannten Live Analyse. In einer solchen Situation ist es alles andere als einfach, die Nerven zu bewahren und mit Bedacht vorzugehen.

<< Erste < Vorherige 1 2 3 4 5 6 7 Nächste > Letzte >>