Angriffe auf Computersysteme sind gang und gäbe im Internet. In nicht umfassend abgesicherten Umgebungen sind derlei Bestrebungen zwielichtiger Natur gar ohne viel Aufwand mit Erfolg gekrönt. Sollte wirklich der unliebsame Fall eingetroffen sein, dass mit einem erfolgreichen Einbruch zu rechnen ist, müssen entsprechende Massnahmen ergriffen werden.

In erster Linie wird eine Schadensbegrenzung erforderlich, so dass weiterführende Attacken verhindert und die Sicherheit anderer Systeme gewährleistet werden kann. Dabei gilt es zu beachten, dass bestehende Spuren, die Rückschlüsse auf den Täter und seine Vorgehensweise liefern können, nicht versehentlich oder aus Bequemlichkeit verwischt werden. Die unverzügliche Neuinstallation eines kompromittierten Rechners kann beispielsweise eine weiterführende forensische Analyse enorm behindern oder gar unmöglich machen.

Für eine effiziente Einbruchserkennung sind vorangehende Massnahmen enorm wichtig. Das Umsetzen eines Log-Konzepts und eines Change-/Release-Managements ist in Bezug auf die Sicherheit einer Umgebung genauso wichtig wie klassische Methoden des Firewallings oder Patchings. Die geregelte Aufbewahrung von Log-Daten in einem gesicherten Umfeld erleichtern eine Analyse und lassen eine solche erst effizient ausfallen. Einem Analytiker sind nämlich die Hände gebunden, wenn er sich einem Zwischenfall annehmen muss, der nicht oder nur unzureichend dokumentiert wurde – Diese Sysiphus-Arbeit wird irgendwann unwirtschaftlich.

Nach der Initiierung der flankierenden Sofortmassnahmen (z.B. Bereitstellung eines neuen Systems) kann mit der eigentlichen Analyse begonnen werden. Dabei unabdingbar ist die Korrelation sämtlicher Informationen, die mit dem Zwischenfall zusammenhängen: Die während des Angriffs gegenwärtige Komponenten, Software-Versionen und Einstellungen sind dabei genauso wichtig wie umfassende und zeitlich aufeinander abgestimmte Log-Dateien. Sowohl System-Logs als auch die Protokolle von Firewall- und Intrusion Detection-Systeme werden den Grundpfeiler der forensischen Analyse darstellen.

Forensische Analysen sind zeitaufwendig und können lediglich durch hochspezialisiertes Personal effizient umgesetzt werden. Sie erfordern ein Höchstmass des Verständnisses für die eingesetzten Techniken und Lösungen. Vom Analysten wird ein flexibles Reagieren verlangt, um sich innert kürzester Zeit in für ihn vielleicht bis dato unbekannte Gebiete (z.B. Pufferüberlauf-Schwachstellen auf SPARC-Platformen) einzuarbeiten.

Elektronische Einbruchserkennung muss jedoch nicht nur auf einer rein technischen Ebene betrieben werden. Durch das Umsetzen von psychologischem Profiling, wie es ursprünglich durch das FBI bei der Analyse von Serientätern genutzt wurde, können adäquate Massnahmen für Angreifer erarbeitet werden. Das Verständnis für den Angreifer, seine Hintergründe, Methoden und Ziele sind unabdingbar, um angemessen auf ihn reagieren zu können.

Im Gegenzug dieser investition können umfassende Aufklärung von Angriffen und Einbrüchen erwartet werden. Sind die bei einem Angriff ausgenutzten Schlupflöcher erkannt, können sie gestopft und ein weiterer Missbrauch durch sie verhindert werden. Desweiteren lassen sich nachträglich Sicherheitsrisiken durch die gegebene Schicht an Angreifern bestimmen und für weitere Phase das Mass des anzustrebenden Sicherheitsniveaus eruieren. Schon so manche Firma hat wichtige Lektionen aus einem Einbruch gelernt – Die meisten wollen schliesslich einen Fehler nicht ein zweites Mal machen.

About the Author

Marc Ruef has been working in information security since the late 1990s. He is well-known for his many publications and books. The last one called The Art of Penetration Testing is discussing security testing in detail. He is a lecturer at several faculties, like ETH, HWZ, HSLU and IKF. (ORCID 0000-0002-1328-6357)