[5] Quinn Norton, „Attribution is hard“:
[https:// medium. com/ message/
attribution-is-hard-4164f8389eb8]
[6] Fefes Blog: [https:// blog. fefe. de]
[7] Sicherheitswarnungen: [https:// http://www.
cert-bund. de/ overview/ AdvisoryShort]
[8] BSI-CERT-Bund-Reports:
[https:// http://www. bsi. bund. de/ DE/ Themen/
Cyber-Sicherheit/ Aktivitaeten/ CERT-Bund/
CERT-Reports/ reports_node. html]
[9] BSI-Hilfe zu Memcached: [https:// http://www.
bsi. bund. de/ DE/ Themen/ Cyber-Sicherheit/
Aktivitaeten/ CERT-Bund/ CERT-Reports/
HOWTOs/ Offene-Memcached-Server/
Offene-Memcached-Server_node. html]
[10] Markus Feilner, „Security Theater and the
mostly unknown OSI Layers 8 and above“:
[https:// http://www. youtube. com/ watch?
v=qUGaI46jjDo]
[11] Active-Directory-Angriffe: [http:// blog.
ptsecurity .com/ 2018/ 10/ advanced-
attacks-on-microsoft-active. html]
[12] Basic Steps in Forensic Analysis of Unix
Systems: [https:// staff. washington. edu/
dittrich/ misc/ forensics/]
[13] Autopsy:
[https:// http://www. sleuthkit. org/ autopsy/]
[14] Jonathan Hassel, „Checklist: 11 things to
do after a hack“:
[https:// searchsecurity. techtarget. com/
tip/ Checklist-11 -things-to-do-after-a-hack]
[15] Hakan Tanriverdi, „Na wer hat hier ge-
hackt?“: [https:// http://www. sueddeutsche. de/
digital/ it-sicherheit- na-wer-hat-hier-ge-
hackt-1. 3772873]
[16] Hakan Tanriverdi, „Wie "Lucky" demas-
kiert wurde“:
[https://www.sueddeutsche.de/digital/
darknet-amoklauf-muenchen-1.4208802]
[17] Lagezentrum Cyber- und Informations-
raum: [https:// http://www. bmvg. de/ de/ aktuelles/
lagezentrum- cyber-und-informations-
raum-19284]
[18] „Contingency Planning Guide for Federal
Information Systems“, NIST Special Publi-
cation 800-34 Rev. 1:
[https:// nvlpubs. nist. gov/ nistpubs/ Legacy/
SP/ nistspecialpublication800-34r1. pdf]
[19] BSI-Standard 100-4 – Notfallmanagement:
[https:// http://www. bsi. bund. de/ DE/ Themen/
ITGrundschutz/ ITGrundschutzStandards/
Standard04/ ITGStandard04_node. html]
[20] Dirk von Suchodoletz, „Diskless Clients
mit Linux – eine Handlungsanleitung“:
Linux-Magazin 01/ 03, S. 74,
[http:// http://www. linux-magazin. de/ ausgaben/
2003/ 01/ die-netzstarter/]einschlägige Auskunft. Diese zugeknöpfte
Kommunikationsstrategie passt wenig
zum modernen IT-Sicherheitsdenken, das
Offenheit und Transparenz zur Grundlage
für Vertrauen und Security macht.
Abseits der bundesdeutschen Cyber-Ab-
wehr gilt meist: Erfolgreiche Angriffe auf
die eigene Infrastruktur verschweigen ist
die beste Strategie, um das Vertrauen der
Kommunikationspartner zu untergraben.
Auf die Dauer – und da sind sich viele
Security-Experten einig – helfe nach dem
Hack nur eine ehrliche, transparente und
zügige Kommunikation. (kki) nInfos
[1] BSI-Sicherheitsbericht 2018, „Die Lage
der IT-Sicherheit in Deutschland 2018“:
[https:// http://www. bsi. bund. de/ SharedDocs/
Downloads/ DE/ BSI/ Publikationen/
Lageberichte/ Lagebericht2018. pdf]
[2] Webauftritt von KRITIS:
[https:// http://www. kritis. bund. de]
[3] TÜV Süd über kritische Infrastrukturen:
[https:// http://www. tuev-sued. de/
anlagenbau-industrietechnik/
technikfelder/ risikomanagement/
kritische-infra strukturen]
[4] Meldevorschriften für die Verwaltung:
[http:// http://www. verwaltungsvorschriften-
im-internet. de/ bsvwvbund_08122009_
IT5606000111. htm]Meist lassen sich nur über die Spur des
Geldes Rückschlüsse auf Urheber zie-
hen. Oft passieren auch hier Fehler auf
menschlicher Ebene, dank denen sich
Angreifer verraten. Auch die meisten Er-
mittlungserfolge im Darknet basieren auf
menschlichen Fehlern. So wurde Alexan-
der U., Betreiber eines Darknet-Forums,
in dem der Münchner Amokläufer seine
Waffe besorgt hatte, über seine Bitcoin-
Überweisungen aufgespürt [16].Schweigen im Cyber
Bei der Artikelrecherche nahm der Autor
auch Kontakt zum frisch geschaffenen
Lagezentrum Cyber- und Informations-
raum [17] sowie zu diversen Stellen der
neuen deutschen Cyber-Abwehr auf und
fragte um Rat. Leider kam von den Stel-
len nur wenig Gehaltvolles. „Wir geben
doch den Hackern keine Informationen
über unsere Maßnahmen nach einem
Hack!“ und „Wir wollen ja nicht, dass
die unsere Schwachstellen kennen“, lau-
teten die Antworten. Auch die Frage, ob
man plane, sich mit der militärischen
Cyber-Expertise an den CERT-Howtos des
BSI zu beteiligen, blieb in der Sache un-
beantwortet.
Zu gefährlich sei das am Ende – und
überhaupt, man dürfe und wolle dazu
auch keinesfalls zitiert werden, so dieAbbildung 6: Der Klassiker Autopsy aus Sleuth Kit macht Computerforensik einfach.© Sleuthkit.OrgTitelthema30
http://www.linux-magazin.deMaßnahmen