IT-Forensik

ach einem erfolgreichen Angriff, sei es durch eine technische Schwachstelle oder den Bedienfehler eines Mitarbeiters, lautet die Devise in den meisten Unternehmen: das betroffene System schnell wieder einsatzbereit machen. Dabei bleiben in vielen Fällen weitere Analysen und auch die konkrete Ursachenforschung auf der Strecke. Das Ziel ist die zeitnahe Wiederherstellung der Arbeitsumgebung, um keine weiteren Kosten durch einen langen Ausfall zu verursachen. Gerade kleine Unternehmen haben gar nicht genug Systeme in der Hinterhand, um eine ausführliche Analyse durchführen zu können, von den Personalressourcen der IT-Abteilung mal ganz abgesehen. Dieser Security-Tipp zeigt Ihnen erste Schritte, die Sie bei der Aufarbeitung von IT-Sicherheitsvorfällen gehen können.

Angegriffene Systeme isolieren

Ein infiziertes System muss nach Bekanntwerden des Verdachts einer Infektion schnellstmöglich aus dem Unternehmensnetzwerk entfernt werden. Das ist unter anderem notwendig, um sogenanntes "Lateral Movement" zu verhindern. Dabei handelt es sich um weitere Angriffsversuche, die von dem gekaperten System ausgehen und aufgrund seiner vertrauenswürdigen Position im Intranet häufig erfolgreich sind. Ein Angreifer hangelt sich so von System zu System und dringt immer weiter in das Unternehmensnetzwerk ein. Natürlich soll eine ausführliche Analyse aber auch beinhalten, welche weiteren Schritte der erfolgreiche Angreifer durchführt, welche Informationen gesucht werden, welche Software nachgeladen wird und welche weiteren Angriffsvektoren ausgenutzt werden sollen.

Die Einrichtung eines "Walled Gardens" ermöglicht die schnelle Isolation des Systems vom Rest des Intranets, erlaubt aber beispielsweise weiterhin einen restriktiven Zugriff zum Internet. Die Konfiguration eines separaten VLANs zur Isolation ist auch bei geringer Personaldecke schnell erledigt. In größeren Unternehmen

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.