article

Ein System wird als kompromittiert betrachtet, wenn Daten manipuliert sein könnten und wenn der Administrator des Systems keine Kontrolle über die korrekte Funktionsweise mehr hat. Typischerweise tritt dies nach einem Befall durch einen Computervirus oder durch einen gezielten Einbruch durch Cracker auf. Ein derartig manipuliertes System ist als nicht mehr vertrauenswürdig anzusehen.

Folgemaßnahmen: Wird ein System als kompromittiert gesehen, so sollten Maßnahmen durchgeführt werden, um weitere Schäden zu verhindern:

Abschaltung und Trennung des Rechners vom Netz

In der Regel wird empfohlen, kompromittierte Rechner sofort vom Internet oder Local Area Network zu trennen. Dies hat den Zweck, dem Angreifer die Möglichkeit zu nehmen, weiteren Schaden anzurichten oder gegebenenfalls seine Spuren zu verwischen. Die Trennung vom Netz kann auch unterbleiben, wenn ein Computerforensiker dem Angreifer auf die Spur kommen will und die weiteren Schritte des Angreifers beobachtet.

Eine sofortige Abschaltung kann kontraproduktiv wirken. Denn durch die Abschaltung werden Spuren, die sich im flüchtigen Speicher befinden, vernichtet. Auf der anderen Seite könnten weitere kritische Aktionen der laufenden Schadprogramme durch sofortige Abschaltung unterbunden werden.

Zur Sicherung der Spuren vor dem Abschalten sollte ein Kopie der im RAM befindlichen Daten gemacht werden. Die Daten, die man noch aus dem laufenden System heraus gewinnt, können prinzipiell jedoch niemals vertrauenswürdig sein, da die Programmfunktionen, die zur Datengewinnung genutzt werden, ebenfalls durch das Schadprogramm manipuliert sein können.

Handhabung privater Daten

Durch den erfolgten Angriff kann die Gegenseite im Besitz aller gespeicherter Daten sein. Hierzu gehören auch sensible Informationen wie Passwörter für Betriebssystem, Online-Banking, Datenbanken, personenbezogene Daten, Geschäftsgeheimnisse, etc. Der Nutzer sollte also alle diese Daten schnellmöglich ändern oder andere Beteiligte darüber informieren.

Systemimage

Nach dem Abschalten des Systems sollten zur Beweissicherung und zur Analyse Images der Festplatte(n) gemacht werden. Die Images der Festplatten sowie des RAMs sollten einer eingehenden forensischen Analyse unterzogen werden. Hierdurch kann man unter Umständen feststellen, mit welchen Mitteln der Angreifer in das System eindringen konnte. Diese Analyse hilft, die Schwachstellen aufzudecken und die Fehler bei der Neuinstallation ggf. zu vermeiden.

Hinweis: Die Analyse eines Virenscanners ist in der Regel unzureichend, um Aussagen über das System zu machen. Sie kann aber als Hilfsmittel eingesetzt werden. Dazu muss der Virenscanner jedoch von einem nicht kompromittierten System (CD-ROM) aufgerufen werden.

Neuaufsetzen des Systems

Neuinstallation

Hinweis: Wenn eine Datensicherung existiert, kann in Betracht gezogen werden, den nächsten Schritt zu überspringen.

Nutzer tendieren meist dazu, die Kompromittierung durch eigene Reparaturarbeiten zu beheben. Dies ist jedoch meist nicht von Vorteil, da der Angreifer volle Kontrolle über das System hatte. Dies ermöglichte es ihm unter Umständen auch Schadprogramme zu installieren, die Virenscanner oder andere Werkzeuge nicht erkennen.

Ein Weg, um jeglichen weiteren Schaden abzuwenden, ist daher eine Neuinstallation. Sofern die vorher genutzte Hardware wieder zum Einsatz kommt, müssen alle Daten und Programme durch eine Formatierung und/oder Partitionierung gelöscht werden. Die Installation muss ausschließlich von Originalmedien erfolgen. Schließlich sollte man das Betriebssystem sowie die zu nutzende Software auf bekannte Sicherheitslücken untersuchen. Diese können in der Regel durch das Einspielen eines Patches geschlossen werden. Nach der Konfiguration des Systems kann es wieder an das Netzwerk angeschlossen werden.

Benutzerkonten

Die Passwörter, die zur Anmeldung an das Betriebssystem verwendet wurden, müssen neu ausgewählt werden, da die alten Passwörter als bekannt angesehen werden müssen.

Daten

Um das System zu komplettieren, müssen nun die Daten (Datenbanken, Bilder, Schriftstücke etc.) aus einem nicht kompromittierten Backup eingespielt werden. Gibt es kein Backup, das garantiert nicht veränderte Daten enthält, oder Prüfsummen über einen garantiert sauberen Datenbestand, so kann nur mit Einschränkungen mit dem alten Datenbestand weitergearbeitet werden. Lässt sich der Zeitpunkt der Kompromittierung nicht feststellen, so müssen alle Daten als manipuliert angesehen werden.

IT-Sicherheit

 

This article is licensed under the GNU Free Documentation License. It uses material from the "Technische Kompromittierung".

Home Pageartsbusinesscomputersgameshealthhospitalshomekids & teensnewsphysiciansrecreationreferenceregionalscienceshoppingsocietysportsworld