Verzeichnisse und gibt die Daten an das
hauseigene Abuse-Team weiter. Das kon-
taktiert dann den Kunden.Die richtigen Fragen
Nicht immer läuft all das so glimpflich
ab. Doch das Beispiel skizziert bereits
viele Vorgehensweisen, die Experten als
Ratschläge für Hacking-Opfer anführen.
Anders als viele denken spielt die At-
tributierung, also das Lösen der Frage
„Wer war es“, meist eine eher unterge-
ordnete Rolle (siehe Kasten „Attribu-
tion“). Denn die nimmt die meiste Zeit
in Anspruch, verspricht aber keinen an-
gemessenen Erfolg. Viel wichtiger ist es
für die Systembetreiber, alle kompromit-
tierten und bösartig agierenden Systeme
so schnell wie möglich zu deaktivieren
und zu isolieren.
Den aktuellen Zustand gerichtsfest zu
sichern, ergibt Sinn, wenn eine Straftat
zu vermuten ist. Die Sicherung lässt sich
kopieren oder klonen und später isoliert
in einer Sandbox analysieren.Bei der Analyse dieser Images sollte aber
das „Wie?“ im Vordergrund stehen, vor
dem „Wer?“ oder „Woher?“. „Welche Lü-
cke hat der Angreifer ausgenutzt? Lässt
sie sich schließen und wie genau?“ lauten
die Fragen, die Priorität verdienen. Sie
sollen auch verhindern, dass der Angrei-
fer erneut Zugang erhält.Vom Netz damit, so schnell
es geht!Kompromittierte Systeme vom Netz neh-
men und die Angreifer aussperren, das
besitzt auch laut BSI Priorität. Allerdings
ist das eher graue Theorie: Obwohl 97
Prozent der Internetnutzer in Deutsch-
land bei Umfragen der IT-Sicherheit
größte Bedeutung beimessen, informiert
sich nur jeder Dritte tatsächlich regelmä-
ßig zum Thema. Ein sicherheitsbewuss-
tes Verhalten ist das nicht – gute Zeiten
für Hacker und viel Nachholbedarf. In
Unternehmen schaut es ein wenig besser
aus (Abbildung 4).Beispiel 2: Memcached
Das BSI dient oft als Anlaufstelle, wenn
es um konkrete Hilfestellung bei neuen,
über CERT-Bund veröffentlichten Sicher-
heitswarnungen [7] geht. Die Behörde
stellt auch für Linux-Admins Gegenstra-
tegien als Howtos bereit [8].
Schon im Februar 2018 berichtete das
Institut beispielsweise, wie Admins die
Memcached-UDP-Lücke in Linux schlie-
ßen. „Alle großen deutschen Hosting-An-
bieter haben zügig reagiert, sodass die
Anzahl der für Angriffe in Deutschland
ausnutzbaren Memcached-Instanzen
von anfänglich über 2700 auf unter 130
(Stand 31. Mai 2018) geschrumpft ist.teilnehmer schicken, das VM-Image für
weitere Analysen sichern, die virtuelle
Maschine ohne eine Netzwerkverbin-
dung neu starten und eine Live-Analyse
des laufenden Systems anstoßen. Je nach
dem zu erwartenden Schaden darf der
Admin selbst entscheiden, wie viel Zeit
er investieren möchte.
Dem Hoster reichte aber die Information
„Schwaches Passwort oder durch Teil-
nehmer initiierter, falsch konfigurierter
TCP-Scan auf Schulungsrechner, virtuelle
Maschine dauerhaft deaktiviert“ – und
nach wenigen Minuten war das Subnetz
wieder online.
Ein anderer namhafter Hoster wusste auf
Nachfrage des Linux-Magazins Ähnli-
ches zu berichten. Meist seien hier unge-
pflegte Wordpress-, Joomla- oder Typo3-
Instanzen die Ursache für ungewöhnliche
Aktivitäten im Netzwerk.
In diesem Fall sucht der Administrator
bei einer Amok laufenden Maschine ge-
wöhnlich ein paar Schadskripte für den
Kunden heraus. Anschließend sichert er
dessen Dateien, löscht die zugehörigenAbbildung 3: Adobe Flash, der Linux-Kernel, OS X, Windows, der Internet Explorer und MS Office erreichten
die höchste Anzahl an CVE-Einträgen im Jahr 2017, so berichtet das BSI.Geheimdienste und Administratoren in Behör-
den, Parlamenten oder in sicherheitskritischen
Bereichen mögen ein berechtigtes Interesse
an und die Ressourcen für eine Attributierung
haben. Für die meisten IT-Abteilungen in Unter-
nehmen ist eine solche in der Regel nicht mit
vertretbarem Aufwand zu erreichen.
Die Internet-Aktivistin Quinn Norton formulierte
es einmal so [5]: „Das liegt daran, dass wir an
einem Punkt angekommen sind, wo es einfa-
cher ist, erdgroße Exoplaneten zu finden als denSchuldigen an einem Hack auszumachen. Das ist
zutreffend, obwohl wir Strafverfolger haben, die
mehr Zeit, Energie und Geld denn je zuvor für die
Aufklärung dieser Attacken aufwenden.“
Sicherheitsexperten wie Felix von Leitner (Fefe,
[6]) haben die Hoffnung in die Strafverfolger
indes noch nicht ganz aufgegeben, seine Tipps
„aus dem Bauch heraus“ lauten:
n Schritt 1: Für Beweissicherung Snapshot
ziehen.
n Schritt 2: Polizei rufen.n Schritt 3: Schaden herausfinden.
n Schritt 4: Einbruchsweg recherchieren,
wenn möglich.
n Schritt 5: Bugs schließen.
Hier sieht von Leitner aber noch nicht das Ende
der Pflichten: „Und sobald der Vorstand es zu-
lässt, die Kunden informieren. Nicht nur die
betroffenen. Auch die anderen.“
Für die anfangs erwähnten Betreiber kritischer
Infrastrukturen greifen zudem die im Artikel
genannten SOFORT- und KRITIS-Pflichten.AttributionTitelthema26
http://www.linux-magazin.deMaßnahmen