grafische Auflösung der IP-Adressen an-
hand einschlägiger Datenbanken hilft bei
der Identifikation.Linux-Magazin: Welche sind die häufigsten Feh-
ler, die Admins ... begehen?
Ralf Spenneberg: Eigentlich werden die
Fehler vorher begangen. Das häufigste
Versäumnis ist fehlende Vorbereitung.
Die Unternehmen beziehungsweise die
Admins haben sich dann nicht gedank-
lich auf den Fall vorbereitet und entschie-
den, wie sie damit umgehen wollen. Hier-
durch geraten sie in eine unvorbereitete
Situation. Der einhergehende Stress und
die scheinbare Dringlichkeit verführt sie
häufig zu Handlungen, die sich im Nach-
gang als falsch erweisen.
Besonders wichtig ist es für den Admin,
im Vorfeld geklärt zu haben, ob eine Wei-
tergabe an die Strafverfolgungsbehörden
gewünscht ist oder ob der Betrieb Vorrang
hat. In vielen Geschäftsbereichen sind die
Betreiber inzwischen dazu verpflichtet,
bestimmte Ereignisse zu melden (KRITIS,
DSGVO). Den Umgang mit gravierenden
Sicherheitsvorfällen beobachten auch
übergeordnete Regulierungsbehörden
und die Öffentlichkeit genau.Meldepflicht nach DSGVO
Sind durch den Einbruch personenbezo-
gene Daten betroffen, muss das Unter-
nehmen den Vorfall melden. Eine Mel-depflicht gab es bereits zuvor durch das
Bundesdatenschutzgesetz (BDSG), doch
trat 2018 die Europäische Datenschutz-
grundverordnung (DSGVO) und mit ihr
die verschärfte Meldepflicht in Kraft.
Unternehmen haben jetzt höchstens 72
Stunden Zeit, um eine Datenschutzverlet-
zung der zuständigen Aufsichtsbehörde
zu melden (Artikel 33).
Hierbei betrifft die Meldepflicht alle per-
sonenbezogenen Daten, und fast immer
sind welche abhandengekommen. Daher
ist es besonders wichtig, sich mit entspre-
chenden Vorbereitungen zu rüsten. Ein
derartige Vorfall kann übrigens bereits
simpel durch den Verlust eines Laptops
oder USB-Sticks eintreten.Linux-Magazin: Welche prinzipielle Vorgehens-
weise empfiehlst Du? ...
Ralf Spenneberg: Dies hängt zunächst sehr
stark von dem Unternehmen beziehungs-
weise dem betroffenen System ab. Wie
eben erwähnt sind viele Geschäftsbe-
reiche hier inzwischen auch gesetzlich
reguliert. Daher sollte das Unternehmen
immer prüfen, ob es solchen Regelungen
unterworfen ist.
Ist dies nicht der Fall, hängt alles Wei-
tere von den Zielen des Admin oder des
Unternehmens ab. Plant der Geschädigte
die Kosten für den Ausfall zivilrechtlich
geltend zu machen? Auch dann sind eine
saubere Planung und möglicherweise ex-
terne Unterstützung sinnvoll, damit die
Attribution einwandfrei ist. In allen ande-
ren Fällen darf der Admin dies ganz nach
seinem Gutdünken entscheiden.
Eine genauere Analyse erscheint jedoch
immer dann geboten, wenn der genutzte
Angriffsweg nicht bekannt ist. Ansonsten
läuft der Admin Gefahr, dass das System
direkt nach dem Neuaufsetzen wieder
kompromittiert wird.E Dr. Christoph Wegener
Linux-Magazin: An welchen Merkmalen oder
Effekten erkennst Du, dass ein Linux-Server
vermutlich kompromittiert ist?
Christoph Wegener: Eine Kompromittierung
ist nicht immer leicht zu erkennen. Am
einfachsten ist es, wenn der Angreifer
sich zu wenig Mühe gegeben hat, seine
Aktivitäten zu verstecken. Dann liefern
eine ungewöhnliche CPU-Auslastung oder
unbekannte Netzwerkaktivitäten auffäl-leicht anzufertigen – das hilft, wenn der
Geschädigte erst später erkennt, wonach
er eigentlich suchen muss. Gut ist es in
diesen Fällen auch, wenn sich der Zu-
stand des Servers zur Laufzeit, das heißt
zusammen mit den aktiven Programmen,
sichern lässt.
Am Ende muss der Administrator ent-
scheiden, ob eine tiefgehende Analyse
des Servers lohnt: War der Angriff ziel-
gerichtet, ein echter Hack also, bei dem
man mit allem rechnen muss? Oder han-
delt es sich nur um den üblichen Mas-
senschaden im Webspace? Dazu zählt
natürlich auch die Bewertung, wie sen-
sibel das kompromittierte System war:
Sind interne Daten oder nur eine Web-
visitenkarte betroffen? Wie wahrschein-
lich ist, dass sich neben dem Schadcode
des Angreifers weitere Modifikationen
auf dem System befinden?
Wer sich als besonders gefährdet ansieht
und annehmen muss, er wäre das echte
Target des Angreifers gewesen, braucht
professionelle Hilfe eines Forensikers,
bevor er selbst den Tatort aufräumt und
Beweise vernichtet.E Ralf Spenneberg
Linux-Magazin: An welchen Merkmalen oder
Effekten erkennst Du, dass ein Linux-Server
vermutlich kompromittiert ist?
Ralf Spenneberg: Das beste Anzeichen ist
ungewöhnlicher und unerklärlicher Netz-
werkverkehr. Somit ist auch eines der
besten Erkennungsmittel eine sinnvolle
und stark eingeschränkte Konfiguration
der Gateways zum Internet. Fast sämtli-
che Malware ist darauf angewiesen, Code
nachzuladen, oder sie versucht anschlie-
ßend Command-and-Control-Server zu
erreichen. Eine sinnvolle Netzwerkseg-
mentierung mit starken ACLs kann dies
verhindern und erkennen.
Befinden sich alle Drucker in einem ei-
genen Subnetz und baut ein Drucker
plötzlich Verbindungen ins Internet auf,
ist dies ein starker Hinweis. Viele Server
kommunizieren nur LAN-intern und grei-
fen regulär aufs Internet nur zu, wenn sie
Updates beziehen wollen. Selbst diese
Verbindungen lassen sich über einen lo-
kalen Paketspiegel reduzieren.
Mit entsprechenden ACLs und mit Log-
ging auf den Gateways erkennt der Admin
ungewöhnliche Verbindungen. Eine geo-Ralf Spenneberg ist Geschäftsführer der Open
Source Security GmbH. Sein Unternehmen berät
Behörden und Unternehmen im Bereich Informa-
tionssicherheit. Hierbei prüfen seine Mitarbeiter
und er im Auftrag von Kunden auch die Wider-
standsfähigkeit von Industriesteuerungen und IoT
gegenüber Angriffen.Titelthema34
http://www.linux-magazin.deExpertenrat