Ist die Geschäftskontinuität nicht Teil der Sicherheit?
Andrea Covello
Unternehmen haben Lösungen im Einsatz, die sie gegen Viren schützen: Strategien, Konzepte und nicht zuletzt intelligent implementierte Technologien, die zeitnah aktualisiert werden. Woran es aber oft mangelt, sind klare Vorgehensweisen im Zusammenhang mit Virenschutz und die explizite Vorgehensweise beim Auftreten eines akuten Virenbefalls im Unternehmen. Sogar die formale Basis d.h. Regelungen im Bereich Incident Mangement beziehungsweise CERT-Szenarien existieren, doch wenn es nun im Ernstfall darum geht, schnell, koordiniert und zielgerichtet vorzugehen, fehlt es an Prozessen, Checklisten, Tools, Kommunikationskanälen etc. die genau darauf ausgerichtet sind, das konkrete Problem eines Virenbefalls effizient zu behandeln. In diesem Artikel werden daher wichtige Hinweise zu Abläufen aufgearbeitet, die nötig sind, damit eine rationale Handhabung eines Virenbefalls gelingt.
Subjektiv gesehen, scheint es auch, dass das Thema Virenbefall in der Medienlandschaft aus dem Fokus gerückt ist, ausser im Kontext der populäreren Spionagefälle, die gerne aufgegriffen werden. Dies gibt mir auch Anlass, dieses in den Hintergrund geratene Thema wieder zu vergegenwärtigen. Denn Risiken sind dann am grössten, wenn man sich in vermeintlicher Sicherheit wiegt.
Als Virenbefall wird im allgemeinen das Auftreten jeglicher Malware bezeichnet. Der Terminus Malware steht für Schadsoftware und ist bekanntlich ein Kofferwort aus den Begriff malus (lat. schlecht) bzw. malicious (engl. bösartig) und dem Begriff ware. Malware wird als Sammelbegriff verwendet, um das grosse Spektrum an feindseliger und intrusiver Software oder Programmen, die in der Lage sind, offensichtlich, getarnt oder gänzlich im Hintergrund agierend, unerwünschte und gegebenenfalls schädliche Funktionen auszuführen. Das heisst Programme, die explizit dafür entwickelt wurden, um beim Benutzer unerwünschte oder schädliche Aktionen vorzunehmen. Beispiele von Malware in einer nicht abschliessenden Aufzählung sind:
Da sich der Begriff Virus – auch wenn fachlich nicht ganz korrekt – als Synonym für Malware etabliert hat, wird dieser im weiteren Verlauf dieses Artikels zur Vereinfachung der Lesbarkeit stellvertretend für alle Formen von Malware verwendet. So ist die Rede von Virenschutz, womit viel allgemeiner der Schutz vor Schadsoftware jeglicher Art gemeint ist.
Dass sich Viren verbreiten, entspricht heute nicht mehr unbedingt der Hauptaufgabe eines typischen Virus. Die heute gängigen Viren, meist in Struktur von Trojanischen Pferden, verfolgen viel mehr den primären Zweck, gezielt Systeme fernzusteuern, auszuspionieren oder beides.
Sicherheitsvorfälle sind in diesem Kontext gesehen Ereignisse, welche die Sicherheit der Services, Daten oder Infrastruktur eines Unternehmens negativ beeinträchtigen. Ursachen für Sicherheitsvorfälle können gezielte Attacken oder versehentliche Fehlmanipulationen sein. Unternehmen überwachen ihre IT-Infrastruktur konstant mit dem Ziel, Sicherheitsvorfälle zu erkennen und entsprechend ihrer Kritikalität zu behandeln.
In diesem Artikel werden Anhaltspunkte für die Handhabung von Sicherheitsvorfällen der besonderen Kategorie Virenbefall vorgeschlagen. Der Fokus ist auf reaktive Aktionen im Ernstfall gerichtet. Es wird aber davon ausgegangen, dass allgemeine und grundsätzliche Regeln im Zusammenhang mit Sicherheitsvorfällen existieren und etabliert sind.
Das Auftreten eines Virus innerhalb eines Unternehmens sollte – nach Relevanz bezogen auf potentielle Auswirkungen und Gefahrenpotential – kategorisiert werden. Die folgende Tabelle gibt einen Überblick der sinnvollen Szenarien:
Malware | Innerhalb | Auswirkung | Risiko | Aktion | Vorgehen | |
---|---|---|---|---|---|---|
1 | Neu | Nein | Informationsquelle (Medien, Vulnerability Database, Newsletter, …) | Gering | Patternupdate erforderlich | Aktiv: Aktives intiieren eines Patternupdates |
2 | Neu | Ja | Ein unbekannter Virus tritt im Unternehmen auf, kein Patternfile vorhanden, AV-Konsole/Scanner wirft keinen Alarm, Schadwirkung/Verbreitung in Gang | Akut | Schadwirkung, Verbreitung begrenzen | Reaktiv: Akutmassnahmen gemäss Beschreibung im Artikel |
3 | Bekannt | Ja | AV-Konsole/Scanner schlägt Alarm, infiziertes File wird automatisch in Quarantäne verschoben | Gering | Schadwirkung/ Verbreitung gestoppt | Aktiv: AV Tools gemäss den in den Teams festgelegten Abläufen |
4 | Bekannt | Ja | AV-Konsole/Scanner schlägt Alarm, infiziertes File kann nicht in Quarantäne verschoben werden | Akut | Schadwirkung/ Verbreitung begrenzen, Patternverteilung kontrollieren | Reaktiv: Akutmassnahmen gemäss Beschreibung im Artikel |
5 | Bekannt | Ja | False Positive, harmloses File wird als Virus erkannt und automatisch in Quarantäne verschoben | Mittel | evtl. Exception definieren, Patternupdate erforderlich, sodann Quarantäne aufheben | Reaktiv: AV Tools gemäss den in den Teams festgelegten Abläufen |
Jene Fälle aus der Tabelle, die akute Massnahmen erfordern (Nr. 2 und 4), werden in diesem Dokument weiter beschrieben. Die Fälle mit geringem oder mittleren Risiko würden im Unternehmen an interne Teams zur Bearbeitung mittels Standardverfahren weitergeleitet.
Der Ablauf zur Einschätzung und weiteren Beantwortung von Vorfällen im Kontext eines Virenbefalles wird folgendermassen Strukturiert:
Die Vorgehensweise gliedert sich offensichtlich in zwei Phasen, entsprechend der durch die Dringlichkeit des Vorfalles gebotenen zeitlichen Komponente: In einer ersten Echtzeit Phase werden Schritte hinsichtlich Erkennung, Beurteilung und allenfalls Alarmierung sowie Sofortmassnahmen gesetzt. Diese Aktionen werden, um eine potentielle Verbreitung und Schadenswirkung zu minimieren, innerhalb kürzest möglicher Frist abgeschlossen. Danach folgt eine zeitlich minder kritische Reaktion in der zweiten Phase der Aufarbeitung.
Die zentrale Bedeutung kommt bereits dem ersten Schritt zu: Dem Erkennen, dass ein Vorfall gegeben ist und Abschätzung der Relevanz desselben.
Es obliegt den Systemverantwortlichen des betreffenden Bereichs, sicher zu stellen, dass die Meldefunktionen der automatisierten Überwachungssysteme (unter anderem Malware/Antivirus-Tools und -Konsolen) so eingerichtet sind, dass diese die von ihnen generierten Meldungen automatisch an die entsprechenden Instanzen im Betrieb/Operations weiterleiten. Jede von einem eigenständigen Viren-Überwachungssystem generierte Meldung sollte einer zentralen Instanz zugeführt werden, wo eine umfangreiche Korrelation aller empfangenen Mitteilungen erfolgen kann. Geeignete Schwellwerte zur Erhöhung der Treffsicherheit der Überwachung sind durch die adäquaten Teams an die jeweilige Umgebung zu definieren.
Hat ein Systemverantwortlicher Kenntnis vom Auftreten eines Virus erhalten, so nimmt er eine erste Beurteilung vor. Diese liegt im Ermessen des Systemverantwortlichen, der auf Grund der ihm zu diesem Zeitpunkt vorliegenden Informationen eine Einschätzung vornimmt. Als Basis für die Beurteilung wird die Dringlichkeit aus der Wahrscheinlichkeit des Eintretens sowie dem Schadensausmass beim Eintreten abgeleitet. Eine detaillierte Analyse sollte aus zeitlichen Gründen erst zu einem späteren Zeitpunkt erfolgen. Unter Umständen wird dann dabei die initiale Beurteilung revidiert. In jedem Fall ist aber der Präventionsgedanke massgebend. Das heisst: Im Zweifelsfall besser zu hoch als zu gering einstufen.
Noch bevor weitere Massnahmen angegangen werden, sind vordefinierte Stakeholders und Teams zu informieren/involvieren: Dies sind üblicherweise:
Die Alarmierung erfolgt mittels direkten Kommunikationskanälen (am einfachsten Telefon oder direktes Gespräch), zum Zwecke der unmittelbaren Bestätigung, dass die Information platziert werden konnte. Mit der rückbestätigten Alarmierung übergibt der Systemverantwortliche die Koordination der weiteren Vorgehensweise an die definierten Stellen. Bis zum offiziellen Handover bleibt die Verantwortung weiterhin beim Systemverantwortlichen.
Abhängig von der Dringlichkeit des Vorfalles entscheidet der vordefinierte Verantwortliche einer entsprechenden Arbeitsgruppe, ob und in welchem Mass die Behandlung des Gefahrenpotentials forciert oder beschleunigt werden muss. Er entscheidet, ob Sofortmassnahmen – in der Regel auf Vorschlag der Systemverantwortlichen – eingeleitet werden müssen und/oder ob eine weiter Eskalation nötig ist. Entscheidet er sich für bestimmte Sofortmassnahmen, so spricht er diese mit den betroffenen Betriebs- und Teams, dem Applikations- und Businessverantwortlichen und dem Incident Management ab.
Bei besonders kritischen Vorfällen (grosse Schäden innerhalb des Unternehmens) kann via Incident Management und allfälligen BCM Prozessen ein Notfallstab mit entsprechenden Teams einberufen werden. Der Verantwortliche für diese Arbeitsgruppe entscheidet auch in Absprache mit dem Incident Management, ob weitere Ansprechstellen innerhalb des Unternehmens informiert bzw. invoviert werden müssen.
Die Zielsetzung besteht darin, den Impact zu begrenzen und einer weiteren Ausbreitung Einhalt zu bieten, so dass die akuten negativen Auswirkungen auf ein Minimum reduziert sind. Kann dies nicht erreicht werden, so sind weitere Sofortmassnahmen, etwa im Kontext der Isolation, in Absprache mit der betroffenen Betriebsgruppe und Teams und natürlich dem Security Officer, den Business Ownern und dem Incident Management zu erläutern.
Sind die akuten negativen Auswirkungen mit adäquaten Massnahmen adressiert, wird der Vorfall einer eingehenden Analyse unterzogen. Zielsetzung ist hierbei die Aufarbeitung von:
Basierend auf diesen Informationen werden Lösungsvorschläge ausgearbeitet, um den Vorfall nachhaltig zu bereinigen. Im Gremium der im Laufe der Bearbeitung des Vorfalles involvierten Personen wird die Lösungsvariante ausgewählt, die in weiterer Folge zu Umsetzung kommen wird.
Die Dokumentation sämtlicher Aktionen erfolgt ab diesem Schritt sowohl im Incident Management als auch in Form von Lessons-Learned. Verantwortlich für die Vollständigkeit der Dokumentation sind die zuständigen Systemverantwortlichen.
Zur nachhaltigen Bereinigung des Vorfalles wird die unter Schritt 4 ausgewählte Lösungsvariante zur Umsetzung gebracht. Es sollte sichergestellt werden, dass ein erneutes Auftreten unterbunden wird, bei gleichzeitiger Wiederherstellung des Betriebszustandes.
Die Erkenntnisse aus dem Verlauf des Falles werden sinngemäss in einem Lessons-Learned Verfahren weiter verwertet. Abschliessend ist die Dokumentation zu aktualisieren und sämtliche im Laufe der Bearbeitung involvierten Personen sind vom Abschluss des Vorfalles und den Erkenntnissen daraus zu informieren.
Die Definition der Hilfsmittel ist weitgehend System- und Malware- spezifisch. In jedem relevanten Bereich sollten klare Checklisten und Toolboxen definiert werden, die im Ernstfall sukzessive abgearbeitet werden können. Es sollte dem Systemverantwortlichen obliegen, an ihren Bereich angepasste, spezifische Definitionen zu erstellen und aktuell zu halten.
Basierend auf den hier erörterten Hinweisen sollten Unternehmen konkrete Handlungsanweisungen (Checklisten etc.) separat und angepasst an die jeweiligen Bereiche und Themenkreise, die von den zuständigen Systemverantwortlichen definiert werden. Diese Listen/Factsheets haben in der gebotenen Kürze spezifisch eine Wegleitung zu bieten, um in Krisensituationen fokussiert vorzugehen – vorzugsweise als klare Schritt-für-Schritt Kurzanleitung. Im Sinne einer intuitiven Verständlichkeit minimal, textbasiert und primär visuell darstellend.
Diese Listen/Factsheets sollten regelmässig auf ihre Relevanz und Aktualität hin überprüft werden und zwar periodisch wie nach jeder signifikanten Anpassung der Sytemlandschaft. Es sollte auch für diese Dokumentenart eine formale Abnahme geben.
Pro betroffenem Bereich sollte eine Toolbox zur Bewältigung eines Malware-Vorfalles zusammengestellt werden. Diese beinhalten Hilfsmittel, Ressourcen und Werkzeuge:
Phase | Aktion | Detail/Hilfsmittel |
---|---|---|
1. Erkennen und Beurteilen | 1. Erkennen | Malware-Konsolen, AV, Anomalien. Einordnen. |
2. Beurteilen | ||
3. Kategorisieren | ||
2. Alarmieren | 1. Empfänger bestimmen | Vordefinierte Points-of-Contact, Liste von Verantwortlichen. Arbeitsgruppenleiter, Teams, Security Officer, Business Owner. Synchrone Medien nutzen (Telefon, direktes Gespräch). |
2. Alarmieren | ||
3. Bestätigung einholen | ||
3. Sofort handeln und isolieren | 1. Dringlichkeit einschätzen | Vordefinierte Points-of-Contact, Liste von Verantwortlichen. Arbeitsgruppenleiter, Teams, Security Officer, Business Owner. Abstimmungen, weiteres Vorgehen erörtern. |
2. Sind Sofortmassnahmen nötig? | ||
3. Ist die Ausbreitung gestoppt? | ||
4. Analysieren und Lösungen umsetzen | 1. Prüfen, ob Status Quo wiederhergestellt ist | Check ob Status Quo vor dem Vorfall wiederhergestellt ist. Bestätigung von Business-Ownern und Operations einholen. Alle Phasen im Case nachvollziehbar dokumentieren. |
2. Sicherstellen, dass der Betrieb okay ist. | ||
3. Case aktualisieren |
Es ist von grosser Bedeutung, sich nicht nur mit der Technik rund um Malware und Antivirus auseinanderzusetzen, sondern auch klare Strukturen für die Handhabung dieser besonderen Art eines Vorfalls zu definieren. Besonders sollte man sich davor hüten, sich in Sicherheit zu wiegen, nur weil man extensive Anti-Malware Technologien im Einsatz hat und das klassiche Virenthema keine besondere mediale Präsenz mehr geniesst. Es genügt nicht, sich etwas einfach wegzuwünschen, mit dessen negativen Begleiterscheinungen man sich nicht auseinandersetzen möchte. Besser scheint es, sich planerisch mit möglichen Szenarien zu konfrontieren und basierend darauf Methoden und Abläufe mit den entsprechenden Verantwortlichen und Teams zu vereinbaren. Diese bieten im Ernstfall systematische Anhaltspunkte und Orientierung.
Unsere Spezialisten kontaktieren Sie gern!
Andrea Covello
Michèle Trebo
Lucie Hoffmann
Yann Santschi
Unsere Spezialisten kontaktieren Sie gern!