Vorgehen und Prozesse im Falle, dass Viren in Unternehmen auftreten

Vorgehen und Prozesse im Falle, dass Viren in Unternehmen auftreten

Flavio Gerbino
von Flavio Gerbino
Lesezeit: 13 Minuten

Unternehmen haben Lösungen im Einsatz, die sie gegen Viren schützen: Strategien, Konzepte und nicht zuletzt intelligent implementierte Technologien, die zeitnah aktualisiert werden. Woran es aber oft mangelt, sind klare Vorgehensweisen im Zusammenhang mit Virenschutz und die explizite Vorgehensweise beim Auftreten eines akuten Virenbefalls im Unternehmen. Sogar die formale Basis d.h. Regelungen im Bereich Incident Mangement beziehungsweise CERT-Szenarien existieren, doch wenn es nun im Ernstfall darum geht, schnell, koordiniert und zielgerichtet vorzugehen, fehlt es an Prozessen, Checklisten, Tools, Kommunikationskanälen etc. die genau darauf ausgerichtet sind, das konkrete Problem eines Virenbefalls effizient zu behandeln. In diesem Artikel werden daher wichtige Hinweise zu Abläufen aufgearbeitet, die nötig sind, damit eine rationale Handhabung eines Virenbefalls gelingt.

Subjektiv gesehen, scheint es auch, dass das Thema Virenbefall in der Medienlandschaft aus dem Fokus gerückt ist, ausser im Kontext der populäreren Spionagefälle, die gerne aufgegriffen werden. Dies gibt mir auch Anlass, dieses in den Hintergrund geratene Thema wieder zu vergegenwärtigen. Denn Risiken sind dann am grössten, wenn man sich in vermeintlicher Sicherheit wiegt.

Begriffe

Was wird in diesem Artikel unter Viren verstanden:

Als Virenbefall wird im allgemeinen das Auftreten jeglicher Malware bezeichnet. Der Terminus Malware steht für Schadsoftware und ist bekanntlich ein Kofferwort aus den Begriff malus (lat. schlecht) bzw. malicious (engl. bösartig) und dem Begriff ware. Malware wird als Sammelbegriff verwendet, um das grosse Spektrum an feindseliger und intrusiver Software oder Programmen, die in der Lage sind, offensichtlich, getarnt oder gänzlich im Hintergrund agierend, unerwünschte und gegebenenfalls schädliche Funktionen auszuführen. Das heisst Programme, die explizit dafür entwickelt wurden, um beim Benutzer unerwünschte oder schädliche Aktionen vorzunehmen. Beispiele von Malware in einer nicht abschliessenden Aufzählung sind:

Da sich der Begriff Virus – auch wenn fachlich nicht ganz korrekt – als Synonym für Malware etabliert hat, wird dieser im weiteren Verlauf dieses Artikels zur Vereinfachung der Lesbarkeit stellvertretend für alle Formen von Malware verwendet. So ist die Rede von Virenschutz, womit viel allgemeiner der Schutz vor Schadsoftware jeglicher Art gemeint ist.

Dass sich Viren verbreiten, entspricht heute nicht mehr unbedingt der Hauptaufgabe eines typischen Virus. Die heute gängigen Viren, meist in Struktur von Trojanischen Pferden, verfolgen viel mehr den primären Zweck, gezielt Systeme fernzusteuern, auszuspionieren oder beides.

Spezialfall eines Sicherheitsvorfalls – Vireninfektion:

Sicherheitsvorfälle sind in diesem Kontext gesehen Ereignisse, welche die Sicherheit der Services, Daten oder Infrastruktur eines Unternehmens negativ beeinträchtigen. Ursachen für Sicherheitsvorfälle können gezielte Attacken oder versehentliche Fehlmanipulationen sein. Unternehmen überwachen ihre IT-Infrastruktur konstant mit dem Ziel, Sicherheitsvorfälle zu erkennen und entsprechend ihrer Kritikalität zu behandeln.

In diesem Artikel werden Anhaltspunkte für die Handhabung von Sicherheitsvorfällen der besonderen Kategorie Virenbefall vorgeschlagen. Der Fokus ist auf reaktive Aktionen im Ernstfall gerichtet. Es wird aber davon ausgegangen, dass allgemeine und grundsätzliche Regeln im Zusammenhang mit Sicherheitsvorfällen existieren und etabliert sind.

Mögliche Fälle

Das Auftreten eines Virus innerhalb eines Unternehmens sollte – nach Relevanz bezogen auf potentielle Auswirkungen und Gefahrenpotential – kategorisiert werden. Die folgende Tabelle gibt einen Überblick der sinnvollen Szenarien:

Malware Innerhalb Auswirkung Risiko Aktion Vorgehen
1 Neu Nein Informationsquelle (Medien, Vulnerability Database, Newsletter, …) Gering Patternupdate erforderlich Aktiv: Aktives intiieren eines Patternupdates
2 Neu Ja Ein unbekannter Virus tritt im Unternehmen auf, kein Patternfile vorhanden, AV-Konsole/Scanner wirft keinen Alarm, Schadwirkung/Verbreitung in Gang Akut Schadwirkung, Verbreitung begrenzen Reaktiv: Akutmassnahmen gemäss Beschreibung im Artikel
3 Bekannt Ja AV-Konsole/Scanner schlägt Alarm, infiziertes File wird automatisch in Quarantäne verschoben Gering Schadwirkung/ Verbreitung gestoppt Aktiv: AV Tools gemäss den in den Teams festgelegten Abläufen
4 Bekannt Ja AV-Konsole/Scanner schlägt Alarm, infiziertes File kann nicht in Quarantäne verschoben werden Akut Schadwirkung/ Verbreitung begrenzen, Patternverteilung kontrollieren Reaktiv: Akutmassnahmen gemäss Beschreibung im Artikel
5 Bekannt Ja False Positive, harmloses File wird als Virus erkannt und automatisch in Quarantäne verschoben Mittel evtl. Exception definieren, Patternupdate erforderlich, sodann Quarantäne aufheben Reaktiv: AV Tools gemäss den in den Teams festgelegten Abläufen

Jene Fälle aus der Tabelle, die akute Massnahmen erfordern (Nr. 2 und 4), werden in diesem Dokument weiter beschrieben. Die Fälle mit geringem oder mittleren Risiko würden im Unternehmen an interne Teams zur Bearbeitung mittels Standardverfahren weitergeleitet.

Vorgehensweise:

Der Ablauf zur Einschätzung und weiteren Beantwortung von Vorfällen im Kontext eines Virenbefalles wird folgendermassen Strukturiert:

Echtzeit

Aufarbeitung

Die Vorgehensweise gliedert sich offensichtlich in zwei Phasen, entsprechend der durch die Dringlichkeit des Vorfalles gebotenen zeitlichen Komponente: In einer ersten Echtzeit Phase werden Schritte hinsichtlich Erkennung, Beurteilung und allenfalls Alarmierung sowie Sofortmassnahmen gesetzt. Diese Aktionen werden, um eine potentielle Verbreitung und Schadenswirkung zu minimieren, innerhalb kürzest möglicher Frist abgeschlossen. Danach folgt eine zeitlich minder kritische Reaktion in der zweiten Phase der Aufarbeitung.

Schritt 1: Erkennung / Beurteilung

Die zentrale Bedeutung kommt bereits dem ersten Schritt zu: Dem Erkennen, dass ein Vorfall gegeben ist und Abschätzung der Relevanz desselben.

Es obliegt den Systemverantwortlichen des betreffenden Bereichs, sicher zu stellen, dass die Meldefunktionen der automatisierten Überwachungssysteme (unter anderem Malware/Antivirus-Tools und -Konsolen) so eingerichtet sind, dass diese die von ihnen generierten Meldungen automatisch an die entsprechenden Instanzen im Betrieb/Operations weiterleiten. Jede von einem eigenständigen Viren-Überwachungssystem generierte Meldung sollte einer zentralen Instanz zugeführt werden, wo eine umfangreiche Korrelation aller empfangenen Mitteilungen erfolgen kann. Geeignete Schwellwerte zur Erhöhung der Treffsicherheit der Überwachung sind durch die adäquaten Teams an die jeweilige Umgebung zu definieren.

Hat ein Systemverantwortlicher Kenntnis vom Auftreten eines Virus erhalten, so nimmt er eine erste Beurteilung vor. Diese liegt im Ermessen des Systemverantwortlichen, der auf Grund der ihm zu diesem Zeitpunkt vorliegenden Informationen eine Einschätzung vornimmt. Als Basis für die Beurteilung wird die Dringlichkeit aus der Wahrscheinlichkeit des Eintretens sowie dem Schadensausmass beim Eintreten abgeleitet. Eine detaillierte Analyse sollte aus zeitlichen Gründen erst zu einem späteren Zeitpunkt erfolgen. Unter Umständen wird dann dabei die initiale Beurteilung revidiert. In jedem Fall ist aber der Präventionsgedanke massgebend. Das heisst: Im Zweifelsfall besser zu hoch als zu gering einstufen.

Schritt 2: Alarmierung

Noch bevor weitere Massnahmen angegangen werden, sind vordefinierte Stakeholders und Teams zu informieren/involvieren: Dies sind üblicherweise:

Die Alarmierung erfolgt mittels direkten Kommunikationskanälen (am einfachsten Telefon oder direktes Gespräch), zum Zwecke der unmittelbaren Bestätigung, dass die Information platziert werden konnte. Mit der rückbestätigten Alarmierung übergibt der Systemverantwortliche die Koordination der weiteren Vorgehensweise an die definierten Stellen. Bis zum offiziellen Handover bleibt die Verantwortung weiterhin beim Systemverantwortlichen.

Schritt 3: Sofortmassnahmen / Isolation

Abhängig von der Dringlichkeit des Vorfalles entscheidet der vordefinierte Verantwortliche einer entsprechenden Arbeitsgruppe, ob und in welchem Mass die Behandlung des Gefahrenpotentials forciert oder beschleunigt werden muss. Er entscheidet, ob Sofortmassnahmen – in der Regel auf Vorschlag der Systemverantwortlichen – eingeleitet werden müssen und/oder ob eine weiter Eskalation nötig ist. Entscheidet er sich für bestimmte Sofortmassnahmen, so spricht er diese mit den betroffenen Betriebs- und Teams, dem Applikations- und Businessverantwortlichen und dem Incident Management ab.

Bei besonders kritischen Vorfällen (grosse Schäden innerhalb des Unternehmens) kann via Incident Management und allfälligen BCM Prozessen ein Notfallstab mit entsprechenden Teams einberufen werden. Der Verantwortliche für diese Arbeitsgruppe entscheidet auch in Absprache mit dem Incident Management, ob weitere Ansprechstellen innerhalb des Unternehmens informiert bzw. invoviert werden müssen.

Die Zielsetzung besteht darin, den Impact zu begrenzen und einer weiteren Ausbreitung Einhalt zu bieten, so dass die akuten negativen Auswirkungen auf ein Minimum reduziert sind. Kann dies nicht erreicht werden, so sind weitere Sofortmassnahmen, etwa im Kontext der Isolation, in Absprache mit der betroffenen Betriebsgruppe und Teams und natürlich dem Security Officer, den Business Ownern und dem Incident Management zu erläutern.

Schritt 4: Intervention / Analyse

Sind die akuten negativen Auswirkungen mit adäquaten Massnahmen adressiert, wird der Vorfall einer eingehenden Analyse unterzogen. Zielsetzung ist hierbei die Aufarbeitung von:

Basierend auf diesen Informationen werden Lösungsvorschläge ausgearbeitet, um den Vorfall nachhaltig zu bereinigen. Im Gremium der im Laufe der Bearbeitung des Vorfalles involvierten Personen wird die Lösungsvariante ausgewählt, die in weiterer Folge zu Umsetzung kommen wird.

Die Dokumentation sämtlicher Aktionen erfolgt ab diesem Schritt sowohl im Incident Management als auch in Form von Lessons-Learned. Verantwortlich für die Vollständigkeit der Dokumentation sind die zuständigen Systemverantwortlichen.

Schritt 5: Postvention / Nachbearbeitung

Zur nachhaltigen Bereinigung des Vorfalles wird die unter Schritt 4 ausgewählte Lösungsvariante zur Umsetzung gebracht. Es sollte sichergestellt werden, dass ein erneutes Auftreten unterbunden wird, bei gleichzeitiger Wiederherstellung des Betriebszustandes.

Die Erkenntnisse aus dem Verlauf des Falles werden sinngemäss in einem Lessons-Learned Verfahren weiter verwertet. Abschliessend ist die Dokumentation zu aktualisieren und sämtliche im Laufe der Bearbeitung involvierten Personen sind vom Abschluss des Vorfalles und den Erkenntnissen daraus zu informieren.

Unterstützende Mittel:

Die Definition der Hilfsmittel ist weitgehend System- und Malware- spezifisch. In jedem relevanten Bereich sollten klare Checklisten und Toolboxen definiert werden, die im Ernstfall sukzessive abgearbeitet werden können. Es sollte dem Systemverantwortlichen obliegen, an ihren Bereich angepasste, spezifische Definitionen zu erstellen und aktuell zu halten.

Standardverfahren und Checklisten

Basierend auf den hier erörterten Hinweisen sollten Unternehmen konkrete Handlungsanweisungen (Checklisten etc.) separat und angepasst an die jeweiligen Bereiche und Themenkreise, die von den zuständigen Systemverantwortlichen definiert werden. Diese Listen/Factsheets haben in der gebotenen Kürze spezifisch eine Wegleitung zu bieten, um in Krisensituationen fokussiert vorzugehen – vorzugsweise als klare Schritt-für-Schritt Kurzanleitung. Im Sinne einer intuitiven Verständlichkeit minimal, textbasiert und primär visuell darstellend.

Diese Listen/Factsheets sollten regelmässig auf ihre Relevanz und Aktualität hin überprüft werden und zwar periodisch wie nach jeder signifikanten Anpassung der Sytemlandschaft. Es sollte auch für diese Dokumentenart eine formale Abnahme geben.

Tools

Pro betroffenem Bereich sollte eine Toolbox zur Bewältigung eines Malware-Vorfalles zusammengestellt werden. Diese beinhalten Hilfsmittel, Ressourcen und Werkzeuge:

Zusammenfassende Übersicht:

Phase Aktion Detail/Hilfsmittel
1. Erkennen und Beurteilen 1. Erkennen Malware-Konsolen, AV, Anomalien. Einordnen.
2. Beurteilen
3. Kategorisieren
2. Alarmieren 1. Empfänger bestimmen Vordefinierte Points-of-Contact, Liste von Verantwortlichen. Arbeitsgruppenleiter, Teams, Security Officer, Business Owner. Synchrone Medien nutzen (Telefon, direktes Gespräch).
2. Alarmieren
3. Bestätigung einholen
3. Sofort handeln und isolieren 1. Dringlichkeit einschätzen Vordefinierte Points-of-Contact, Liste von Verantwortlichen. Arbeitsgruppenleiter, Teams, Security Officer, Business Owner. Abstimmungen, weiteres Vorgehen erörtern.
2. Sind Sofortmassnahmen nötig?
3. Ist die Ausbreitung gestoppt?
4. Analysieren und Lösungen umsetzen 1. Prüfen, ob Status Quo wiederhergestellt ist Check ob Status Quo vor dem Vorfall wiederhergestellt ist. Bestätigung von Business-Ownern und Operations einholen. Alle Phasen im Case nachvollziehbar dokumentieren.
2. Sicherstellen, dass der Betrieb okay ist.
3. Case aktualisieren

Fazit

Es ist von grosser Bedeutung, sich nicht nur mit der Technik rund um Malware und Antivirus auseinanderzusetzen, sondern auch klare Strukturen für die Handhabung dieser besonderen Art eines Vorfalls zu definieren. Besonders sollte man sich davor hüten, sich in Sicherheit zu wiegen, nur weil man extensive Anti-Malware Technologien im Einsatz hat und das klassiche Virenthema keine besondere mediale Präsenz mehr geniesst. Es genügt nicht, sich etwas einfach wegzuwünschen, mit dessen negativen Begleiterscheinungen man sich nicht auseinandersetzen möchte. Besser scheint es, sich planerisch mit möglichen Szenarien zu konfrontieren und basierend darauf Methoden und Abläufe mit den entsprechenden Verantwortlichen und Teams zu vereinbaren. Diese bieten im Ernstfall systematische Anhaltspunkte und Orientierung.

Über den Autor

Flavio Gerbino

Flavio Gerbino ist seit Ende der 1990er Jahre im Bereich der Informationssicherheit tätig. Seine Schwerpunkte liegen im Bereich der strategischen Ausrichtung und des Managements der Sicherheit eines Unternehmens.

Links

Sie wollen die Resistenz Ihres Unternehmens auf Malware prüfen?

Unsere Spezialisten kontaktieren Sie gern!

×
TIBER-EU Framework

TIBER-EU Framework

Dominik Altermatt

Vertrauen und KI

Vertrauen und KI

Marisa Tschopp

Datenverschlüsselung in der Cloud

Datenverschlüsselung in der Cloud

Tomaso Vasella

Cyber Threat Intelligence

Cyber Threat Intelligence

Marc Ruef

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv