Andrea Danti - Fotolia

F

Wie sollten IT-Abteilungen auf potentiell infizierte Systeme reagieren?

Es ist meist nur eine Frage der Zeit, bis ein Endanwender im Unternehmen auf einen verdächtigen Link klickt. Wie sollten Sicherheitsteams reagieren?

Was tun, wenn ein Mitarbeiter auf einen Link in einer E-Mail klickt hat, der durchaus verdächtig aussieht? Wie sollte das Sicherheitsteam reagieren, mal abgesehen davon, das System umgehend auf Schadsoftware zu scannen? Soll man das Gerät vom Netz trennen und die Berechtigungen des Benutzerkontos sofort einfrieren?

Prinzipiell gibt es mehrere Bereiche, die überprüft werden sollten, nachdem ein Benutzer auf einen bösartigen Link in einer E-Mail geklickt hat. Wie bei zahlreichen anderen Sicherheitsaspekten auch, gilt es nicht nur das Symptom zu behandeln, sondern den gesamten Kontext zu berücksichtigen.

Zunächst gilt es zu überprüfen, ob das betroffene System tatsächlich kompromittiert wurde. Dazu gehört auch, die Frage zu klären, wie das Sicherheitsteam auf das Problem aufmerksam gemacht wurde. Hat sich der Nutzer selbst aktiv gemeldet oder wurde es als Ereignis durch eine irgendwie geartete Monitoring-Lösung registriert? Dies ist ein guter Ausgangspunkt für die Fehlersuche. Und apropos Überwachungssysteme: Es gilt zu klären, ob seit dem Zeitpunkt des Anklicken des Links ungewöhnliche oder unerlaubte Aktivitäten von diesem Computer oder dem Benutzerkonto registriert wurden. Admins sollten die Log-Dateien des Systems durchforsten und überprüfen, ob alle Softwareagenten auf dem neuesten Stand sind und auch noch ordnungsgemäß funktionieren. Wenn möglich, sollte umgehend ein Snapshot des Systems mit entsprechenden Tools angefertigt werden. Dies erlaubt nachfolgend eine eingehendere Untersuchung.

Admin sollten auf einem gesonderten Testsystem überprüfen, was tatsächlich passiert, wenn der verdächtige Link angeklickt wird. Es ist immer hilfreich, ein entsprechendes System am Start zu haben, dass sich jederzeit leicht wieder zurücksetzen lässt. Mit entsprechenden Tools kann das Sicherheitsteam dann überwachen, welche Datenpakete tatsächlich übertragen werden. Darüber hinaus gilt es sich den Header der E-Mail näher anzusehen, um mehr über die Herkunft zu erfahren. Gleichfalls schadet ein Blick auf den eigenen Spam-Filter nicht.

Phishing-Angriffen begegnen

In nächsten Schritt solle die IT ihre Architektur auf etwaige Lücken abklopfen. Verfügt das Unternehmen über die Richtlinien, technischen Lösungen und Prozesse um Phishing-Angriffe möglichst vor dem Netzwerk abzufangen? Und wenn diese erst einmal ins Unternehmensnetzwerk gelangt sind, ist man in der Lage, diese auf dem Endgerät zu stoppen? Das dies keineswegs allerorten wie gewünscht funktioniert, ist einer der Gründe für den Erfolg von Ransomware. Natürlich existieren Lösungen, die Unternehmen dabei unterstützen, entsprechende Angriffe abzuwehren. Wichtig ist das Zusammenspiel zahlreicher Faktoren, wie ein sauberes Patch-Management (auch für Drittanbieter-Software), Spam-/Phishing-Filter, interne Richtlinien, aktueller Endgeräteschutz sowie nicht zu vergessen, ein Incident Response Team, dass im Falle eines Falles entsprechend reagieren kann.

Ebenfalls wichtig, und möglicherweise sogar am Wichtigsten, ist die kontinuierliche Schulung der Anwender im Hinblick auf die immer gezielteren Phishing-Angriffe. Die Angreifer konzentrieren sich längst auf die Nutzer als Schwachstelle in der Infrastruktur, statt diese selbst anzugreifen. Mit der Verbesserung beziehungsweise der Erhöhung des Sicherheitsbewusstseins und einer konsequenten Einbindung der Mitarbeiter, kann das Angriffsrisiko vermutlich deutlich verringert werden. Und je weniger Anwender auf verdächtige Links klicken, umso weniger ist die IT-Abteilung mit den Folgen beschäftigt.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Was macht einen guten Vorfallreaktionsplan aus?

Best Practices: Ransomware verhindern oder eindämmen.

Ransomware mit alternativen Ansätzen begegnen.

IT-Security: Technologie alleine löst keine Sicherheitsprobleme.

Erfahren Sie mehr über Bedrohungen

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close