Reaktion auf Sicherheitszwischenfälle: Wann muss man ein System herunterfahren?

Das Herunterfahren eines Systems im Angriffsfall ist eine drastische Maßnahme. Mit etwas Vorbereitung lässt sich das Szenario aber abmildern.

Unternehmen – und die Gesellschaft als Ganzes – setzt mehr als jemals zuvor auf Computer und verbundene Systeme. Gleichzeitig werden die Angriffe auf Unternehmen immer ausgefeilter, sei es aus politischen Motiven oder um Daten abzugreifen. Der Druck für die Sicherheitsverantwortlichen in Unternehmen ist entsprechend hoch, müssen sie doch die kritischen Systeme ohne Unterbrechungen am Laufen halten.

Egal wie gut die Vorbereitungen von Organisationen sind, gelegentlich müssen sich Verantwortliche mit der Frage auseinandersetzen, ob es mehr schadet, ein kompromittiertes System abzuschalten oder es am Laufen zu halten? Welche Faktoren müssen Teams in ihre Überlegungen einbeziehen? Welche Informationen abwägen?

In diesem Beitrag beleuchten wir Szenarien, die den Shutdown eines Systems nahelegen, Außerdem besprechen wir wie man sich auf die entstehenden Probleme vorbereiten kann.

Shutdown-Szenarien

Das Herunterfahren eines Systems als Antwort auf einen Sicherheitszwischenfall ist wahrscheinlich die extremste Option, die IT-Verantwortliche zur Verfügung steht. Um sicherzugehen, dass der Shutdown gerechtfertigt ist, sollten Unternehmen die Konsequenzen kennen, die ein Herunterfahren des Systems nach sich zieht.

Die offensichtlichen Szenarien, die einen kompletten oder teilweisen Shutdown rechtfertigen, sind die Bedrohung für jemandes Leben oder falls der Angriff die Geschäftsfähigkeit des Unternehmens oder eines Kunden beeinträchtigt. Ein praktisches Beispiel ist etwa, wenn ein Angreifer die Kontrolle über Computersysteme erlangt, die den Straßenverkehr regeln. Hier wäre es besser, die Systeme – und somit etwa die Ampeln – abzuschalten. Fahrer würde die nicht mehr funktionierenden Ampeln wahrscheinlich wie Stoppschilder behandeln und sich entsprechend darauf einstellen. Hat dagegen der Angreifer die Kontrolle über die Systeme, kann er wahrscheinlich massiven Sachschaden anrichten und sogar das Leben der Verkehrsteilnehmer gefährden.

In diesen extremen Szenarien ist die Entscheidung leicht zu fällen. Die meisten Unternehmen werden ihr Urteil allerdings anhand weniger drastischer Voraussetzungen treffen müssen.

Ist beispielsweise ein System durch einen Wurm infiziert, der andere Endpunkte im Netzwerk attackiert, würde ein Abschalten des jeweiligen Systems die Gefahr minimieren. Die meisten Würmer verbreiten sich rasend schnell im Netzwerk, die Entscheidung zum Abschalten muss also kurzfristig getroffen werden. Die Entscheidung ist zudem abhängig von der implementierten Sicherheit und den verfügbaren Kontrollfunktionen – etwa ob diese Funktionen die Ausbreitung des Wurms behindern oder auf ein System limitieren.

Für ein System, das keine unternehmenskritischen Daten beinhaltet, sollte das Sicherheitsteam eine grundlegende Kostenkalkulation durchführen. So kann es die möglichen Kosten durch die Downtime mit den Ausgaben zu vergleichen, die durch das Säubern und Wiederherstellen der kompromittierten Systeme entstehen. Anhand dieser Zahlen lässt sich anschließend eine Entscheidung für oder gegen den Shutdown begründen. Es gibt zudem einige Szenarien, bei denen kein komplettes Herunterfahren notwendig ist. Es reicht beispielsweise ein System von der Außenwelt abzuschneiden, das gerade analysiert wird. So lässt es sich unter Umständen bereinigen ohne dass ein kompletter Shutdown notwendig ist.

Natürlich gibt es auch Optionen, bei denen das Herunterfahren des Systems die schlechteste Option ist. Falls ein Angreifer etwa das lokale System bereits kompromittiert hat, würde ein zu hastig erfolgtes Herunterfahren möglicherweise wertvolle Daten vernichten, mit denen Forensiker den Angriff nachvollziehen könnten. Die bessere Lösung ist oftmals, das System vom Netzwerk zu trennen und es anschließend im Detail zu untersuchen. Jedes Unternehmen sollte daher von Anfang an genau analysieren, welchen potentiellen Schaden das es durch den Shutdown oder das Trennen vom Netzwerk erleidet.

So bereiten Sie das Herunterfahren vor

Das Herunterfahren der Systeme ist eine rigorose Lösung. Unternehmen können aber Schritte unternehmen, um sich auf diese Szenarien vorzubereiten. Zunächst ist eine Liste aller auf den Systemen gespeicherter Informationen notwendig. Dabei hilft eine Business Impact Analyse (BIA). Die BIA dokumentiert die Wichtigkeit des jeweiligen Systems für das Unternehmen, wofür das System genutzt wird und welchen Einfluss ein Ausfall hat. Diese Daten helfen beim Erstellen eines Plans für Business Continuity und Disaster Recovery (BCDRP), der ähnlich wichtig ist wie ein Incident Repsonse Plan (Vorfallsreaktionsplan). Beide Pläne müssen vor einem Sicherheitszwischenfall erstellt und regelmäßig überprüft werden. Ist ein Shutdown notwendig, können diese Pläne als Handbuch dienen und Entscheidungen erleichtern.

Bevor ein System als Antwort auf einen Sicherheitszwischenfall heruntergefahren wird, ist es unerlässlich, die Bestätigung der jeweils zuständigen Vorgesetzten einzuholen. Während der Entwicklung des BCDRP und des Incident Response Plans sollten Kommunikationswege mit den notwendigen Ansprechpartnern etabliert werden. Dazu zählen der Chief Information Security Officer, der Chief Information Officer sowie die Verantwortlichen des Helpdesks und die Marketingabteilung. Alle Beteiligten müssen möglichst schnell eine fundierte Entscheidung treffen können, wenn ein System heruntergefahren werden soll. Wird die Geschäftsfähigkeit durch den Shutdown beeinträchtigt, muss das Management mit einbezogen werden. Die Geschäftsverantwortlichen müssen wissen, welchen Einfluss der Shutdown auf das Unternehmen hat, welche Gegenmaßnahmen getroffen wurden, die potenziellen Kosten sowie die Maßnahmen zum Bereinigen des Sicherheitszwischenfalls. Wer alles mit einbezogen werden muss, ist dabei oftmals von der Unternehmensstruktur und den verfügbaren Ressourcen abhängig.

Wichtig ist, sich daran zu erinnern, dass ein Herunterfahren des Systems das Problem nicht bereinigt. Entsprechend sollte diese Maßnahme nicht die letzte Handlung bei der Reaktion auf Zwischenfälle sein. Nachdem ein System heruntergefahren wurde, müssen die Verantwortlichen die Spuren der Attacke zurückverfolgen und alle betroffenen Endpunkte bereinigen. Diese Maßnahmen können aus mehreren Komponenten bestehen, darunter etwa das Patchen betroffener Systeme, Änderungen in den Konfigurationen oder ein Beschränken des Zugriffs auf vertrauenswürdige Systeme. Wie lange dieser Schritt benötigt, lässt sich anhand der BIA und des BCDRP bestimmen. Unternehmenskritische Systeme sollten so schnell wie möglich bereinigt werden. Ein Webserver mit einer kritischen Web-Applikation, der beispielswiese für eine bekannte SQL-Injektion-Attacke anfällig ist, sollte heruntergefahren, aktualisiert und anschließend durch eine Web-Firewall oder eine zusätzliche Konfiguration in anderen Perimeter-Systemen geschützt werden. Erst nachdem das der Webserver gesichert wurde, darf es wieder ans Netzwerk angeschlossen werden.

Fazit

Wird ein Unternehmen angegriffen, ist die drastischste Maßnahme oftmals der beste (oder der einzig mögliche) Ausweg. Versteht man den Einfluss der Downtime eines bestimmten Systems oder Netzwerks für das Unternehmen, kann man gezielt entscheiden welche Ressourcen für den Schutz der attackierten Systeme verplant werden oder ob das Herunterfahren die bessere Alternative ist. Unabhängig vom gewählten Weg und dem Szenario sollte man von Beginn an mögliche Optionen besprechen, einen Plan aufstellen und die Kommunikation zwischen den verschiedenen Kanälen organisieren. Wenn diese Vorgaben vor einer möglichen Attacke erfüllt sind, lassen sich die schadhaften Auswirkungen oftmals minimieren.

Erfahren Sie mehr über IT-Sicherheits-Management

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close