| Red Hat Enterprise Linux 4: Sicherheitshandbuch | ||
|---|---|---|
| Zurück | Kapitel 10. Vorfallsreaktion | Nach vorne |
Es ist wichtig, das ein Vorfallsreaktionsplan formuliert, im gesamten Unternehmen unterstützt, in die Tat umgesetzt und regelmäßig getestet wird. Ein guter Vorfallsreaktionsplan kann die Auswirkungen einer Sicherheitsverletzung minimieren. Desweiteren kann er negative Publicity reduzieren.
Aus der Perspektive eines Sicherheitsteams ist es nicht wichtig, ob ein Verstoß auftritt (da solche Vorkommnisse ein vorherzusehender Teil der Verwendung eines vertrauensunwürdigen Trägernetzwerks wie das Internet sind), sondern wann dieses Vergehen auftritt. Denken Sie nicht, das ein System grundsätzlich schwach und anfällig ist, sondern machen Sie sich klar, dass mit genügend Zeit und Ressourcen jemand selbst in das sicherste System oder Netzwerk einbrechen kann. Besuchen Sie doch einmal die Security Focus Webseite unter http://www.securityfocus.com/ für aktuelle und detaillierte Informationen zu neuesten Sicherheitsbrüchen und Anfälligkeiten, von der häufigen Verunstaltung von Firmenwebseiten bis hin zum legendären Angriff auf die Root-DNS-Nameserver im Jahre 2002[1].
Der positive Aspekt der Erkenntnis, dass einer Systemverletzung unvermeidbar ist, ist derjenige, dass das Sicherheitsteam einen Aktionsplan entwickeln kann, der mögliche Schäden verringert. Die Kombination eines Aktionsplans mit Kompetenz ermöglicht dem Team, auf widrige Umstände formell zu reagieren.
Der Vorfallsreaktionsplan kann in vier Phasen unterteilt werden:
Sofortige Aktion, um den Vorfall zu stoppen oder zu minimieren
Untersuchen des Vorfalls
Wiederherstellung von betroffenen Ressourcen
Melden des Vorfalls an die richtigen Stellen
Eine Vorfallsreaktion muss entschieden und schnell ausgeführt werden. Sie lässt in den meisten Fällen wenig Raum für Fehler. Dadurch, das Notfälle geprobt und die Reaktionszeiten gemessen werden, ist es möglich, eine Methodologie zu entwickeln, die Schnelligkeit und Exaktheit fördert. Eine schnelle Reaktion kann die Auswirkung auf Ressourcen und mögliche Schäden im Ernstfall verringern.
Ein Vorfallsreaktionsplan hat eine Anzahl von Anforderungen, inklusive:
Einem Team von In-House Experten (ein Computer Emergency Response Team)
Einer rechtlich abgesicherten und genehmigten Strategie
Finanzieller Unterstützung durch das Unternehmen
Unterstützung durch den Vorstand oder die obere Führungsebene
Eines durchführbaren und getesteten Aktionsplans
Physikalischer Ressourcen wie Extra-Speicher, Standby-Systeme und Backup-Services
Ein Computer Emergency Response Team (CERT) (zu deutsch: Computer-Notfall-Reaktions-Team) ist eine Gruppe von In-House Experten, die im Falle einer Computer-Katastrophe schnell handeln können. Die Kernkompetenzen für ein CERT zu definieren, kann eine Herausforderung darstellen. Das Konzept von angemessenem Personal geht über die technische Kompetenz hinaus und umfasst logistische Faktoren wie Ort, Verfügbarkeit und die Einstellung, das Unternehmen im Notfall allem voran zu stellen. Ein Notfall tritt niemals geplant auf; er kann jeden Moment eintreten, und alle CERT-Mitglieder müssen dann die von ihnen verlangte Verantwortung übernehmen, auf einen Notfall zu jeder Zeit zu reagieren.
Typische CERT-Mitglieder sind z.B. System- und Netzwerkadministratoren sowie Mitglieder der Informationssicherheitsabteilung. Systemadministratoren liefern das Wissen und die Erfahrung in Bezug auf die Systemressourcen inklusive Daten-Backups, vorhandene Backup-Hardware und vieles mehr. Netzwerkadministratoren liefern deren Wissen über Netzwerkprotokolle und die Fähigkeit, Netzwerk-Verkehr dynamisch umzuleiten. Informationssicherheitspersonal ist hilfreich für das genaueste Verfolgen von Sicherheitsproblemen und eine Post-Mortem-Analyse (nach dem Angriff) kompromittierter Systemen.
Es ist nicht immer tragbar, aber es sollte ein gewisser Personalüberschuss innerhalb eines CERT bestehen. Sind tiefergehende Kompetenzen nicht auf ein Unternehmen anwendbar, sollte zumindest Cross-Training durchgeführt werden. Denken Sie daran, dass wenn nur eine Person den Schlüssel zu Datensicherheit und Integrität besitzt, das gesamte Unternehmen hilflos wird, falls diese Person abwesend ist.
Einige wichtige Aspekte einer Vorfallsreaktion, die betrachtet werden müssen, sind rechtliche Angelegenheiten. Sicherheitspläne sollten zusammen mit Mitarbeitern der Rechtsabteilung oder einer allgemeinen Form von Rechtsbeistand erarbeitet werden. Genauso wie jede Firma eine eigene Sicherheitspolice im Unternehmen haben sollte, so sollte jedes Unternehmen seine eigene Methode, Vorfälle vom rechtlichen Standpunkt aus zu behandeln, haben. Regionale, landesweite oder bundesweite Gesetze würden den Rahmen dieses Handbuchs sprengen, werden jedoch kurz angerissen, da die Methodologie für eine Post-Mortem-Analyse zumindest teilweise von rechtlicher Seite aus vorgegeben wird. Die Rechtsabteilung kann die technischen Mitarbeiter über die Auswirkungen von Sicherheitsverletzungen, die Gefahren der Verbreitung von Kundendaten (persönliche, gesundheitliche oder finanzielle Daten) und die Wichtigkeit, den Service in unternehmenskritischen Umgebungen wie Krankenhäuser oder Banken wiederherzustellen, aufklären.
| [1] |
| Zurück | Zum Anfang | Nach vorne |
| Vorfallsreaktion | Nach oben | Implementieren des Incident-Response-Plans |