Unterschiede gebe es vor allem bezüglich
der Unternehmensgröße, weiß das BSI:
„Während zwei von drei großen Unter-
nehmen über eine Notfallrichtlinie ver-
fügen, traf dies nur auf gut jedes zweite
kleine oder mittlere Unternehmen zu.“
Und weiter: „Adäquate und aktuelle Not-
fallpläne sind eine besonders wichtige
Maßnahme zur Erhöhung des Sicher-
heitsniveaus.“
Gerade der Faktor Resilienz, der be-
stimmt, wie gut eine Firmen-IT gegen
Angriffe gewappnet ist, dürfte künftig
wichtiger werden. Das BSI sieht Vor-
falltrainings in großen wie auch kleinen
Unternehmen auf dem Vormarsch. Auch
andere Experten sehen gute Vorberei-
tung und Erfahrung im Krisenfall als den
Schlüsselfaktor bei Angriffen.
Diese Erkenntnis muss sich vielerorts
noch durchsetzen. Ausfallszenarien trai-
nieren lehnen viele IT-Abteilungen mit
Hinweis auf Zeitmangel oder ihre Prio-
ritäten ab. Abgeklärte Admins witzeln
daher, dass nichts das Management so
gut überzeuge wie ein Ernstfall.
Beispiel 1: Neulich, beim
Provider
Am besten kommen Firmen mit Angrif-
fen und ihren Folgen klar, die regelmä-
ßig unter solchen leiden. Der Grund: Sie
sind in der Regel vorbereitet. Zu dieser
Gruppe von Unternehmen gehören zum
Beispiel Betreiber von Rechenzentren.
Wie diese mit einem Einbruch umgehen,
durfte der Autor als Betreiber eines Root-
servers mehrmals erleben.
Zunächst informierte ihn eine automa-
tisch versendete E-Mail, dass das Intru-
sion Detection System (IDS) des Rechen-
zentrums Alarm geschlagen habe. „Aus
Ihrem Netzwerk wurde ein TCP-Scan
auf die Infrastruktur unseres Rechenzen-
trums ausgeführt“, steht in der beun-
ruhigenden Nachricht. In der Folge stellte
das Rechenzentrum den Server unter
Quarantäne.
Der Autor betreibt einen Cloudhost mit
bis zu zehn virtuellen Maschinen. Die
erledigen alles, was ein KMU so braucht:
VPN, IMAP, Groupware, private Cloud,
Chatserver und einiges mehr. Der Groß-
teil der VMs besteht jedoch aus geklonten
Images für Trainingszwecke, weil der Au-
tor Open-VPN-Kurse anbietet.
Diese Maschinen stehen den Teilnehmern
auch noch einige Wochen nach dem Kurs
zur Verfügung – als VPN-Server mit vol-
lem Rootzugriff und ohne zeitliche oder
Volumenbeschränkung. Immer wieder
kommt es aber vor, dass auf diesen Ma-
schinen ein schlecht gewähltes Passwort
oder ein falsch konfigurierter Dienst als
Einfallstor für Einbrecher dient.
Wie aber erreicht der Betreiber seinen
Server, wenn der Provider dessen Inter-
netadresse sperrt? Beim Hosting-ProviderHetzner darf der Admin über das Sup-
port-Webfrontend den Zugang für eine
Quell-IP für einige Stunden freischalten.
Das geht auch mehrfach nacheinander.
Ein kurzer Bericht an den Support, der
die Details der Analyse und die getrof-
fenen Maßnahmen schildert, führt (falls
er überzeugt) dazu, dass Hetzner das
Subnetz wieder freischaltet. Es ist dann
also wieder von außen erreichbar.
Im vorliegenden Fall musste der Server-
betreiber klären, ob einer seiner Pro-
duktivserver oder eine der Schulungs-
instanzen die Sperre ausgelöst hat. Zum
Glück lieferte die Mail vom Hoster auch
gleich die Quell-IP des Systems mit, das
den Scan initiiert hatte. Ein schneller
Abgleich zeigte: Schuld war einer der
Trainingsrechner.
Ein Blick in die Shell-Historie bestätigte
den Verdacht: Dort fand sich ein Nmap-
Eintrag, der anstelle des eingerichteten
VPN das gesamte Netzwerk (und damit
auch andere Systeme des Providers)
scannte. Weil die VPN-Schulung bereits
einige Tage zurücklag, ließ sich der Rech-
ner schnell ausschalten – Problem gelöst.
(Fun Fact am Rande: Anspruchsvolle Ha-
cker geben Shellbefehle gern mit einem
Leerzeichen am Zeilenanfang ein – so
tauchen diese gar nicht in der Historie
auf. Dann würden nur die Firewall-Logs
den Scan des Admin enttarnen.)
Drei weitere Schritte ließen sich im Nach-
hinein optional ergänzen: Der Serverbe-
treiber könnte eine E-Mail an den Kurs-Kritische Infrastrukturen (KRITIS) sind Infra-
strukturen, denen die EU-Richtlinie 2008/ 114/
EG wesentliche Bedeutung für Gesellschaft,
Gesundheit, Sicherheit oder wirtschaftliches
und soziales Wohlergehen der Bevölkerung
zuschreibt. Das bedeutet: Ist ihr Betrieb auf-
grund von Störungen oder Zerstörungen be-
einträchtigt, hat dies „erhebliche Auswirkun-
gen“ für die Bevölkerung. Details versammeln
BSI und Bundesamt für Bevölkerungsschutz
und Katastrophenhilfe (BBK) auf einer ge-
meinsamen Webseite [2]. Anbieter wie der
TÜV Süd bieten betroffenen Unternehmen
zudem „maßgeschneiderte Risiko- und Kri-
senmanagementsysteme“ [3] an.
Die BSI-Webseite hält Anleitungen bereit, die
KRITIS-Unternehmen darüber aufklären, wie
und wann was zu melden ist (Abbildung 2).
Abhängig von der Angriffskategorie kann es
dabei nötig sein, eine SOFORT-Meldung ans
BSI zu senden. Das etwa geben die Verwal-
tungsvorschriften über das Meldeverfahren
für Bundesbehörden vor [4].KRITIS und SOFORTAbbildung 2: Meldekriterien für IT-Störungen laut BSI.© https://http://www.bsi.bund.de25http://www.linux-magazin.deTitelthemaMaßnahmen