You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 2 Next »

Lösen von Sicherheitsvorfällen

Der Alarm (fixme – titel)

Wenn das ACOnet-CERT einen IT-Sicherheitsvorfall im ACOnet erkennt, erhalten die zuständigen Security-Ansprechpartner eine Verständigung per E-Mail. Darin steht:

  • wo der Vorfall passiert ist (die IP-Adresse, Webseite, ...),
  • worin das Problem besteht (Spamversand, DoS-Angriffe, ...),
  • anhand welcher Informationen (Logfiles, Blacklisteneinträge, ...) das CERT das Problem erkannt hat,
  • soweit möglich und sinnvoll auch Hintergrundinformationen, Erläuterungen, Empfehlungen,
  • eine Bitte um Rückmeldung,
  • eine elektronische Unterschrift.

fixme: screenshot

Was ist zu tun?

Die meisten Nachrichten des CERT betreffen einen Computer, den auf irgendeine Weise ein Virus (bzw. Wurm, Trojaner, ...) befallen hat. Übrigens heißt das das keineswegs, daß der Computer schlecht gewartet wäre oder daß damit zweifelhafte Webseiten aufgerufen worden wären – wichtig ist allein, umgehend, besonnen und zielgerecht zu handeln. Oft reicht der Einsatz eines Virenscanners – hierbei hilft der Support der jeweiligen Einrichtung.

Seltener sind die Fälle, wo in einen Server eingebrochen wurde und z.B. Phishing-Seiten auf einen Server gelangt sind. Dies ist stets eine Herausforderung für die/den Systemadministrator/in/n/en, denn es muß:

  • zunächst das offensichtiche Symptom (Phishing-Seite, ...) behoben werden,
  • die dafür Sicherheitslücke identifiziert und geschlossen werden,
  • genau untersucht werden, welche Manipulationen außerdem am Server vorgenommen wurden (z.B. Entwenden von Paßwörtern, Infektion von Dateien...)

Da es letztlich darauf ankommt, daß das Problem gelöst wird, wird es in der Regel so sein, daß der Security-Kontakt die/der zuständige Benutzer/in oder Systemadaministrator/in verständigt und darauf achtet, daß die notwendigen Maßnahmen tatsächlich getroffen werden.

Woher weiß das CERT von den Problemen?

Die Informationsquellen des CERT umfassen neben Daten aus dem ACOnet-eigenen Betriebsbereich (z.B. Netzwerstatistiken, diverse Sensoren) auch Informationen von Dritten (z.B. einschlägige Websites, Blacklisten, etc...) und natürlich auch Meldungen und Beschwerden, die an das CERT herangetragen werden.

Natürlich prüft das CERT diese Informationen mit höchstmöglicher Sorgfalt, aber Irrtümer und Fehldiagnosen sind nicht unvermeidlich. Dabei gilt es abzuwägen:

  • das Risiko, vor einem Problem zu warnen, das es nicht gibt, gegen
  • das Risiko, vor einem tatsächlichen Problem vorsichtshalber nicht gewarnt zu haben.

Das CERT ist bemüht, möglichst transparent die ihm vorliegenden Informationen auch an die ACOnet-Teilnehmer weiterzugeben. Dazu gibt es in diesem Wiki eine Fülle von Material, das bei der Interpretation dieser Daten helfen soll.

Weitere Unterstützung

Das ACOnet-CERT kann leider keine Unterstützung für Endanwender anbieten, für das Security-Management ist jeder ACOnet-Teilnehmer primär selbst verantwortlich.

Für die Security-Ansprechpartner der ACOnet-Teilnehmer versucht das CERT jedoch gerne, entweder selbst weiterzuhelfen, relevante Informationsquellen ausfindig zu machen oder den Kontakt zu hilfsbereiten Experten aus der Community zu vermitteln.

Bitte um Rückmeldungen

Das CERT ersucht um Rückmeldungen, wenn und wie der Fall gelöst wurde:

  • das macht es möglich, frühzeitig zu warnen, sollte die Problembehebung fehlgeschlagen sein
  • zu wissen, welche Malware oder Hackmethoden häufig auftreten, macht es dem CERT möglich, gezielt nach weiteren eventuell ebenso betroffenen Rechnern zu suchen
  • können beteiligte Rechner – als Angreifer oder als Opfer – identifiziert werden, verständigt das CERT auf geeignete Weise die jeweils in Frage kommenden CERTs, Netzbetreiber, etc.
  • gesammelte Erfahrungen fließen in die Behandlung weiterer Fälle ein
  • No labels