Managed Security und Computerforensik
Verteilte Rollen bei Sicherheitsvorfällen
Die klassischen Vor- und Nachteile des Outsourcings sind zur Genüge bekannt. Dieser Artikel widmet sich deshalb den spezifischen technischen Vorteilen beim Outsourcing der IT-Security. Im Fokus stehen hier auch die Vorgehensweise und Rollenverteilung der beteiligten Parteien bei laufenden Angriffen oder bereits kompromittierten Systemen.
Um die IT-Security im Hause zu realisieren, muss ein Unternehmen alle Sicherheitssysteme –
Firewall, VPN-Zugang via IPSec, Virenfilter, Spam-Filter, Proxy – in seinem Rechenzentrum
installieren und selbst betreiben ("Insourcing"). Dies führt zu einem Höchstmaß an Kontrolle und
Flexibilität, aber auch an Investitionen und Betriebskosten. Ein wesentlicher technischer Nachteil:
Die Bandbreite der Internetanbindung ist komplett ungeschützt. Ein DDoS-Angriff (Distributed Denial
of Service) oder eine größere Welle an Viren- oder Spam-E-Mails überlastet entweder die Leitung zum
Provider oder den E-Mail- beziehungsweise Webserver. So hat der Angriff trotz aller
Sicherheitsmaßnahmen Erfolg.
Managed Security
Weicht ein Unternehmen von der Eigenrealisierung der Security ab, ergeben sich verschiedene
Szenarien mit teils erheblichen Vorteilen: Customer-based Managed Security, Provider-based Managed
Security sowie eine Kombination beider Ansätze. Customer-based Managed Security nutzt die gleiche
technische Basis wie eine selbst betriebene Sicherheitsinfrastruktur: Alle Systeme stehen beim
Unternehmen im Rechenzentrum. Für deren Betrieb sorgt aber ein Security-Dienstleister. Die
technischen Vor- und Nachteile sind somit deckungsgleich. Es ergeben sich aber Kostenvorteile im
Betrieb und wesentliche Vorteile im Angriffsfall: Hier kann das Unternehmen auf die Ressourcen und
das Know-how des Security-Dienstleisters zurückgreifen.
Provider-based Managed Security setzt auf hoch skalierte Security-Systeme eines
Service-Providers. Dessen Firewall schottet das Kundennetz ab, die VPN-Zugänge erfolgen netzbasiert
über sein VPN zum Beispiel via MPLS (Multi-Protocol Label Switching). Der Provider leitet den
E-Mail-Verkehr zur Viren- und Spam-Filterung über seine Serverfarm, und für den Web-Traffic stehen
seine Proxies zur Verfügung. Dies minimiert die Kosten. Die Bandbreite zwischen Provider und
Unternehmen ist geschützt, da die Provider-Firewall und -E-Mailserverfarm Angriffe aufhalten, bevor
sie das Unternehmen erreichen. Der wesentliche Nachteil dieser Lösung ist die begrenzte
Flexibilität: Eine DMZ (Demilitarized Zone, separate Perimeterzone an der Firewall) ist im
Allgemeinen nicht einsetzbar. Anwender, die sich außerhalb des Provider-Netzes befinden (zum
Beispiel im Ausland), können am VPN nur begrenzt durch in der Regel teure und langsame Einwahl
teilnehmen.
Stärken kombinieren
Erst durch die Kombination von Provider- und Customer-based Managed Security lässt sich das
Optimum realisieren: Eine netzbasierte Firewall und beim Provider angesiedelte Spam- und
Virenfilter schützen die Bandbreite und Server bei einer DDoS-, Spam- oder Virenattacke. Die
Installation einer gemanagten Firewall beim Kunden ermöglicht eine DMZ, und gemanagte Spam-Filter
vor Ort passen sich genau den Anforderungen des Unternehmens an. Ein gemanagter Virenfilter bildet
eine zusätzliche Stufe im erforderlichen mehrstufigen Virenschutzkonzept.
Die meisten VPN-Teilnehmer lassen sich kostengünstig über ein netzbasiertes VPN anschließen.
Anwender außerhalb des Provider-Netzes greifen via IPSec-Verbindung zur Unternehmens-Firewall auf
das VPN zu. Prinzipbedingt muss der Provider dieses Setup realisieren.
Computerforensik: Vorgehen im Ernstfall
"Forensik" bezeichnet eine Untersuchung gerichtlichen oder kriminologischen Charakters. Die
Computerforensik im engeren Sinne befasst sich mit der Beweissicherung krimineller Handlungen im
Computerbereich. Im weiteren Sinne bezeichnet sie die allgemeine Spurensicherung bei
Sicherheitsvorfällen nicht nur zu rechtlichen Zwecken.
Bevor der Betroffene die allererste Maßnahme einleiten kann, muss er eine wesentliche
Entscheidung treffen: Welches Ziel soll die Forensik verfolgen? Zu den Optionen zählen die straf-
und zivilrechtliche Verfolgung des Täters, die Schadensbegrenzung sowie das Verhindern einer
Tatwiederholung. Je nach Ziel kann und muss der forensische Prozess unterschiedlich aussehen. Daher
ist es für seinen Erfolg wesentlich, diese Entscheidung zu treffen, bevor irgendwelche Handlungen
erfolgen. Im akuten Fall kann die Zeit, die für die Entscheidung zur Verfügung steht, sehr knapp
sein, zum Beispiel wenn Entscheidungsträger nicht rechtzeitig erreichbar sind. Deshalb empfiehlt es
sich, diese Überlegungen grundsätzlich zu treffen und in einer Policy niederzulegen.
In der Literatur zum Vorgehen bei sicherheitsrelevanten Vorfällen findet die straf- und
zivilrechtlichen Verfolgung des Täters am häufigsten Beachtung. Daraus abzuleiten, dass dies das
oberste Ziel einer Computerforensik sein sollte, führt aber in die Irre. Die Sicherung von Beweisen
auf gerichtsfeste Art ist extrem schwierig, da digitale Daten sehr leicht manipulierbar sind. Auch
operieren Täter oft aus Gebieten jenseits der deutschen Gerichtsbarkeit heraus. Die Methoden zur
Erfassung gerichtsfester Beweise stehen meist im klaren Widerspruch zu den anderen möglichen Zielen
eines forensischen Prozesses: der Minimierung des Schadens und dem Verhindern von
Tatwiederholungen. Auch scheuen viele Unternehmen zu Recht negative Wirkungen entsprechender
Nachrichten auf den Börsenkurs und das Vertrauen ihrer Kunden. Daher legen sie oft keinen Wert auf
die Verfolgung der Täter.
Das Ziel der Schadenbegrenzung ist als oberste Priorität der Computerforensik nur sinnvoll, wenn
eines der folgenden Kriterien zutrifft:
Die Ursache ist bekannt, und die Wiederholung lässt sich gesichert
ausschließen.
Die Ursache ist prinzipbedingt nicht ermittelbar.
Die Wiederholung lässt sich nicht verhindern.
Der potenzielle Schaden ist so hoch, dass er um jeden Preis zu vermeiden ist,
und die Wahrscheinlichkeit für eine Wiederholung ist gering.
Der wesentliche Nachteil der Fokussierung auf Schadenbegrenzung ist das Vernachlässigen des
Schutzes vor einer Wiederholung des Zwischenfalls. Ein Unternehmen sollte dieses Ziel im Normalfall
als erstes verfolgen: Nur indem es die Wiederholung ausschließt, kann es die Summe des
Gesamtschadens langfristig minimieren.
Vorgehensweisen
Zwei Beispiele sollen das Vorgehen bei Sicherheitsvorfällen exemplarisch erläutern: Im ersten
Fall ist das Opfer gerade Ziel eines Angriffs (zum Beispiel DDoS), im zweiten Beispiel steht fest,
dass ein System bereits durch einen erfolgreichen Hack kompromittiert ist. Andere Typen von
sicherheitsrelevanten Vorfällen wie Spionage, Sabotage durch interne Mitarbeiter etc. bleiben hier
außen vor. Folgende Regeln gelten auf jeden Fall:
Vor möglichen Vorfällen bereits eine Policy und Verfahrensanleitungen für den
Ernstfall entwickeln und bekannt machen,
Ruhe bewahren,
nichts aus- und nichts anschalten und
den Provider oder Security-Dienstleister kontaktieren!
Vor allem den dritten Schritt "nichts aus- und nichts anschalten" befolgen Unternehmen im
Ernstfall oft nicht. Der Grund für diese Regel ist, dass das Herunterfahren und Wiederhochfahren
eines Systems viele Spuren vernichtet, die für die Computerforensik erforderlich sind. Die weitere
Vorgehensweise hängt vom Ziel des forensischen Prozesses ab. Wer die straf- und zivilrechtliche
Verfolgung des Täters im Auge hat, sollte unbedingt einen externen Forensikspezialisten einschalten
und auf Anweisungen warten. Aktionen eigener Mitarbeiter oder auch des Security-Dienstleisters
könnten die gerichtliche Verwertbarkeit der Spuren beeinträchtigen. Deshalb und aufgrund möglicher
Interessenskonflikte sollte der Forensikspezialist nicht mit dem Security-Dienstleister identisch
sein.
Geht es in erster Linie um Schadensbegrenzung bei kompromittierten Systemen, gilt es, sofort die
Systeme vom Netzwerk zu trennen, aber nicht auszuschalten. Zusammen mit dem Security-Dienstleister
sollte das Unternehmen analysieren, wann die Kompromittierung erfolgt ist. Im Rahmen dieser Analyse
kann es sinnvoll sein, die Systeme nicht herunterzufahren, sondern "hart" auszuschalten, die
Platten auszubauen und von einem sicheren System aus zu analysieren. Dabei lassen sich Logfiles des
Systems, der Firewall und gegebenenfalls des Providers für weitere Hinweise zu Rate ziehen. Auch
ein Abgleich mit der Datensicherung lohnt sich.
Kompromittierte Systeme sollte man komplett löschen und auf keinen Fall nur reparieren. Nach der
Neuinstallation der Systeme sollte das Unternehmen ausschließlich Daten, aber auf keinen Fall
Programme von der Datensicherung einspielen. Dabei spielt es je nach Sensitivität der Daten den
Stand zurück, der vor dem festgestellten Zeitpunkt der Kompromittierung liegt. Bei nicht so
sensitivem Material kann es auch aktuelle Daten zurückspielen, sollte diese aber dringend auf
Verfälschung und Plausibilität prüfen.
Wichtig ist, auf keinen Fall zu versuchen, ein kompromittiertes System zu säubern, ohne es
komplett zu löschen und neu zu installieren. Moderne Hacker-Tools wie Root-Kits und bestimmte
Viren, Trojaner etc. tarnen sich sehr effektiv im System. So lässt sich nie garantieren, dass nicht
doch Rudimente zurückbleiben, die es dem Angreifer ermöglichen, seinen Angriff erfolgreich zu
wiederholen oder fortzusetzen.
Schaden begrenzen
Geht es um die Schadenbegrenzung oder das Verhindern der Wiederholung bei einem laufenden
Angriff, so gilt es zunächst, mit dem Provider oder Security-Dienstleister die Quelle und Art des
Angriffs festzustellen. Sofern möglich, sollte die Quelle komplett in der Firewall oder schon beim
Provider im Backbone abgeblockt werden. Besteht trotzdem die Gefahr einer Kompromittierung der
Systeme, ist es besser, sie vom Internet zu trennen. Resultierende Ausfallzeiten sind sicher
niedriger als die bei einer vollständigen Rekonstruktion wegen Kompromittierung. Anschließend
entwickelt das Unternehmen zusammen mit dem Security-Dienstleister einen Workaround, um die Systeme
gehärtet wieder ans Netz zu bringen.
Wenn sich die Angriffsquellen nicht blocken lassen, aber keine Gefahr der Kompromittierung
besteht (zum Beispiel bei einem DDoS-Angriff), müssen Provider und Security-Dienstleister gemeinsam
eine Gegenstrategie entwickeln. Diese kann von Modifikationen am Zielsystem (Anzahl der Buffer,
Patching, anderes Betriebssystem etc.) über Maßnahmen im Backbone (Anti-Spoofing, Filterung
bestimmter Protokolle, Rerouting etc.) bis hin zu administrativen Maßnahmen (Kontaktaufnahme mit
dem Provider des Angreifers) führen. Nach dem Wiederanschluss der Systeme ans Netz muss der
Security-Dienstleister mit Sniffern oder Intrusion-Detection-Systemen intensiv beobachten, ob ein
weiterer Angriff erfolgt oder sogar wieder zum Ziel führt.
Wiederholung verhindern
Um nach einem erfolgreichen Angriff eine mögliche Wiederholung zu verhindern, sollte ein
Unternehmen die laufenden Systeme zusammen mit dem Security-Dienstleister analysieren und
beobachten (Netzwerk-Sniffing), ohne dabei direkt in die Systeme einzugreifen. So lassen sich unter
Umständen die Art der Kompromittierung und gegebenenfalls die Ziele des Angriffs feststellen.
Danach gilt es, das System "hart" abzuschalten, die Festplatte auszubauen und am sicheren System zu
analysieren. Ziel der Suche sind Informationen darüber, wie der Angreifer initial auf die Maschine
gelangt ist und welche Sicherheitslücken diesen Angriff ermöglicht haben könnten. Hat der Angreifer
seine Rechte ausgeweitet? Haben Root-Kits oder Trojaner Modifikationen vorgenommen? Erfolgte der
Angriff direkt von außen oder von einem kompromittierten internen System? Auch hierbei ist es
hilfreich, Logfiles vom betroffenen System, von der Firewall und gegebenenfalls vom Provider zu
Rate zu ziehen. Anschließend vergleichen Fachleute die vorhandenen Daten mit dem Backup, ebenso das
Betriebssystem mit einer Originalinstallation. Security-Mailing-Listen, Security Advisories und
Informationen aus der Hacker-Szene können weitere nützliche Hinweise liefern.
Gemeinsam mit dem Security-Dienstleister legt das Unternehmen nun fest, wie sich der analysierte
Angriff in Zukunft verhindern lässt: durch Patches, Firewall, Konfigurations-, Release-,
Betriebssystem- oder Applikationswechsel etc. Dann sind auch hier die Systeme komplett zu löschen
und neu zu installieren sowie die als notwendig identifizierten Änderungen vorzunehmen. Eine
anschließende Verifizierung der Absicherung gegen die festgestellten Mängel des Systems, auch unter
Zuhilfenahme eines unabhängigen Dienstleisters, verschafft zusätzlich Sicherheit. Auch hier gilt:
Nur die Daten selbst, nicht aber die Programme zurückspielen und die Systeme nach der
Wiederinbetriebnahme beobachten.
Rollenverteilung
Die notwendigen Aktionen und Reaktionen im Falle eines Angriffs sind sehr komplex und
ressourcenintensiv. Je nach Art und Größe des angegriffenen Unternehmens wird es das Know-how wie
auch die Manpower der hausinternen IT-Abteilung überfordern, die Vorfälle sinnvoll zu behandeln.
Daher ist im Allgemeinen der Einsatz externer Dienstleister sinnvoll, bei einer angestrebten
rechtlichen Verfolgung sogar zwingend notwendig.
Der Provider ist die erste Anlaufadresse, um während eines laufenden Angriffs Maßnahmen
einzuleiten. Viele Maßnahmen – so gegen DDoS-Attacken – kann nur er im Backbone ergreifen. Auch die
Kommunikation mit anderen Providern ist primär seine Aufgabe. Zudem kann und muss er unter
Umständen Logfiles bereitstellen oder erheben, um die Angreifer zu ermitteln. Ein
Security-Dienstleister liefert das Know-how und die Manpower, um notwendige Maßnahmen zu
identifizieren. Diese implementiert das Unternehmen selbst oder überlässt es im Rahmen einer
Managed-Security-Lösung dem Dienstleister.
Fazit
Im Dreieck von Unternehmen, Provider und Security-Dienstleister ist der Koordinationsaufwand
groß, und die Verantwortlichkeiten verschwimmen leicht. Eine deutlich bessere Situation für den
Kunden ergibt sich häufig, wenn Provider und Security-Dienstleister identisch und mit dem
Management der Security-Infrastruktur betraut sind. So sind die Verantwortlichkeiten klar, und
Reaktionen erfolgen schnell und professionell. Dieser Ansatz sorgt auch für den raschen Zugriff auf
Informationen und ein koordiniertes Vorgehen, ohne die Ressourcen des Unternehmens unvorhersehbar
zu überlasten.
Lesen Sie mehr zum Thema
