pathdoc - stock.adobe.com
Was bei kompromittierten virtuellen Maschinen zu tun ist
Wenn ein sicherheitsrelevanter Vorfall eintritt – was mit hoher Wahrscheinlichkeit geschehen wird – gibt es drei Möglichkeiten, um die virtuellen Maschinen wieder zu reparieren.
Unternehmen benötigen sorgfältige Planungen, wenn es um den Umgang mit kompromittierten virtuellen Maschinen (VMs) geht. Ohne einen solchen Plan ist es schwierig, die richtigen Maßnahmen zu treffen, um die Integrität der betroffenen VMs wieder herzustellen und dafür zu sorgen, dass sie erneut ihre normale Aufgabe erfüllen können.
Die Art, wie Sie am besten auf einen sicherheitsrelevanten Vorfall reagieren, hängt eng mit der jeweiligen Situation und den Umständen zusammen. So werden Sie mit einem Ransomware-Angriff anders umgehen, als wenn ein Hacker über eine Backdoor Zugriff auf eine oder mehrere VMs erlangt hat.
Es gibt auf dem Buchmarkt bereits einige dicke Wälzer zur Frage, wie man am besten einen Incident Response Plan (IRP, Vorfallreaktionsplan) erstellt. Alle diese Pläne haben aber in der Regel eine Reihe von Gemeinsamkeiten.
Als erste Maßnahme sollten Sie zunächst herausfinden, wie schwer der Vorfall tatsächlich ist. Jeder einzelne erfolgreiche Angriff ist natürlich ein ernstes Problem, aber manche haben schwerwiegendere Folgen als die anderen. So ist eine Ransomware-Attacke, die Ihr gesamtes Unternehmen an der Fortführung seiner Geschäfte hindert, weit ernster als ein vergleichbarer Angriff gegen ein nur wenig wichtiges System.
Zweitens sollten Sie feststellen, welche Systeme alles kompromittiert wurden. Wenn Sie das Opfer einer Ransomware sind, dann ist es vermutlich relativ einfach, dies herauszufinden. Wenn es jedoch um einen erfolgreichen Hacker-Angriff geht, kann Ihnen meist nur eine umfassende forensische Untersuchung die Gewissheit darüber geben, welche Systeme infiltriert wurden.
Drittens sollten Sie mit den richtigen Kollegen Kontakt aufnehmen. Natürlich muss Ihr Sicherheitsteam über den Vorfall auf dem Laufenden sein. Abhängig vom Umfang des Schadens sollten Sie aber eventuell auch andere zuständige Personen und Abteilungen im Unternehmen informieren.
In manchen Regionen wie der Europäischen Union und damit auch in Deutschland müssen Sie zudem Regulierungsbehörden über stattgefundene Cyberattacken informieren. Das gilt ganz besonders, wenn dabei auch sensible oder personenbezogene Daten in fremde Hände gelangt sind (siehe auch DSGVO: Die Meldepflichten bei Datenpannen richtig einhalten).
Geeignete Gegenmaßnahmen bei angegriffenen VMs
Wenn eine oder mehrere virtuelle Maschinen ernsthaft durch einen Cyberangriff beeinträchtigt wurden, dann ist es keine gute Idee, sie nur manuell zu reparieren, um sie in ihren vorherigen Zustand zurückzuversetzen. Sie können sich ja nie sicher sein, auch wirklich einhundert Prozent des Schadens gefunden und repariert zu haben. Es ist durchaus möglich, dass sich noch verseuchte Dateien oder verborgene Backdoors auf beziehungsweise in der Maschine befinden.
Es gibt drei grundsätzliche Möglichkeiten, um mit einer VM umzugehen, die erfolgreich durch einen Cyberangriff beeinträchtigt wurde.
Ein Backup einspielen
In den meisten Fällen ist das Wiedereinspielen eines Backups die beste Option, um den Schaden einer Ransomware-Attacke oder eines anderen sicherheitsrelevanten Vorfalls, bei dem eine VM kompromittiert wurde, zu beheben. Die Technik ergibt meist aber nur dann Sinn, wenn Sie über ein vergleichsweise junges Backup verfügen. Alle Änderungen an der virtuellen Maschine, die nach der letzten Datensicherung erfolgten, sind verloren.
Die VM zurücksetzen
Es gibt eine weitere Möglichkeit, um eine VM in einen sauberen Zustand zurückzuversetzen, indem Sie einen System-Reset durchführen. Es gibt zwei Haupttechniken, um eine VM in einen früheren Zustand zu versetzen. Beide haben Vor- und Nachteile.
Die erste Methode basiert darauf, das Betriebssystem zurückzusetzen. Unter zum Beispiel Windows 10 können Sie das erledigen, indem Sie die Einstellungen und dann den Bereich Update & Sicherheit aufrufen. Wechseln Sie nun zu Wiederherstellen und klicken Sie dann bei Diesen PC zurücksetzen auf Los geht‘s.
Ein Zurücksetzen der VM auf diese Weise sorgt dafür, dass Windows neu installiert wird. In den meisten Fällen bleiben Ihre Dateien und Anwendungen dabei erhalten. Es gibt aber auch eine Möglichkeit, sie zu entfernen. Der größte Vorteil dieser Vorgehensweise ist, dass sie in der Regel nur für eine vergleichsweise minimale Unterbrechung sorgt und das Betriebssystem in einen bekannt funktionierenden Zustand zurückversetzt. Ein Nachteil ist allerdings, dass dabei eventuell auch böswillige Dateien erhalten bleiben, da die Methode eben versucht, persönliche Daten zu erhalten.
Die zweite Methode zum Zurücksetzen einer VM basiert auf dem Einspielen des zuletzt erstellten Snapshots. Microsoft nennt sie auch Prüfpunkte. Das Aktivieren eines Snapshots setzt eine VM in einen bestimmten Zustand zurück, was dem Einspielen eines Backups ähnelt.
Um einen Prüfpunkt in einer mit Hyper-V erstellten VM zu aktivieren, wählen Sie die fragliche virtuelle Maschine im Hyper-V Manager aus und klicken Sie dann mit der rechten Maustaste auf den Prüfpunkt, den Sie nutzen wollen. Im Kontextmenü kann man dann Anwenden auswählen.
Der größte Vorteil dieser Methode ist, dass sie eine schnelle und einfache Möglichkeit ist, um ein System in einen bekannt funktionierenden Zustand zurückzuversetzen. Der Nachteil ist allerdings, dass Sie sie nur nutzen können, wenn Sie auch wirklich rechtzeitig einen geeigneten Snapshot erstellt haben. Außerdem gehen auch dadurch alle Änderungen verloren, die seit diesem Zeitpunkt in der VM vorgenommen wurden.
Das gesamte System löschen und neu installieren
Eine weitere Möglichkeit zum Wiederherstellen einer durch einen Cyberangriff geschädigten VM ist, das gesamte System zu löschen und alles von Anfang an neu zu installieren. Der große Vorteil dieser Vorgehensweise ist, dass nur eine saubere Neuinstallation sicherstellt, dass wirklich alle Spuren einer möglicherweise doch noch vorhandenen Malware entfernt werden.
Sie hat allerdings den Nachteil, dass diese Methode etwas dauert, so dass die fragliche virtuelle Maschine in diesem Zeitraum nicht produktiv genutzt werden kann. Außerdem gehen dadurch möglicherweise wertvolle Daten verloren, die sich noch in der VM befunden haben.
