sche Untersuchung des Vorfalls ansteht.
Wenn ja, ist vor weiteren Maßnahmen
eine forensische Kopie der Datenträger
und des Hauptspeichers anzufertigen. Da
die meiste Organisationen für diese Pro-
zesse keine ausreichenden Erfahrungen
besitzen, empfiehlt es sich in der Regel,
einen Experten hinzuzuziehen. Dieser
kann sicherstellen, dass die erzeugten
Images technisch für eine weitere Unter-
suchung geeignet sind.
Gibt es keine weiteren Vorgaben, bei-
spielsweise von einer Versicherung, sollte
die geschädigte Firma im Einzelfall ent-
scheiden, ob eine solche forensische Un-
tersuchung überhaupt Sinn ergibt. Dabeisind die Kosten und der erreichbare Nut-
zen gegeneinander abzuwägen. Den Ein-
brecher zu beobachten ist üblicherweise
keine sinnvolle Option, sondern poten-
ziell sogar gefährlich, denn niemand
kann sicher wissen, was dieser bereits
an Mechanismen im System eingebaut
hat und was er im weiteren Verlauf noch
unternehmen wird.
Eine Attribution ist zwar interessant,
bringt der betroffenen Organisation aber
in der Regel keinen echten Mehrwert.
Viel wichtiger dagegen ist es, die Ursa-
che der Kompromittierung zu ermitteln
und so eine Wiederholung eines solchen
oder ähnlich gelagerten Vorfalls effektiv
zu verhindern. nInfos
[1] Studie IT-Sicherheit 2018 (Zugang nur für
Eco-Mitgliedsunternehmen): [https:// http://www.
eco. de/ members/ # download-id/ 52196/]
[2] Ralf Spenneberg, „Komfortable Intrusion
Detection mit Snort, Snorby, Open FPC und
Pulled Pork“: Linux-Magazin 04/ 11, S. 80
[3] Martin Grimmer, Jörn Hoffmann, Martin
Max Röhling, „Exploids: Host-basierte
An griffserkennung auf Linux-VMs“:
Linux-Magazin 03/ 18, S. 74
[4] Tobias Eggendorfer, „Mit Host Based
Intrusion Detection Systems Einbrüche
erkennen“: Linux-Magazin 10/ 15, S. 22
[5] Jürgen Quade, „Spitzel im Inneren“:
Linux-Magazin 10/ 12, S. 34lige Hinweise, denen der Admin unbe-
dingt nachgehen sollte. Ein Host In tru-
sion Detection System ([2], [3], [4])
leistet bei der Erkennung von verdächti-
gen Aktivitäten gute Dienste.
Ein fähiger Angreifer wird sich aber eher
unauffällig verhalten und versteht es
auch, seine Aktivitäten beispielsweise
mittels Rootkit-Technologien [5] so gut
zu verstecken, dass der Administrator
zumindest mit Bordmitteln des Betriebs-
systems keine Spuren finden wird.
Linux-Magazin: Welche sind die häufigsten Feh-
ler, die Admins ... begehen?
Christoph Wegener: Häufig fällen Betroffene
in Panik eine falsche Entscheidung und
installieren beispielsweise einfach alle
Systeme neu. Damit gehen aber alle In-
formationen zur Art und Weise der Kom-
promittierung verloren, und keiner kann
mehr aufklären, was alles betroffen war,
und etwas für die Zukunft aus dem Vor-
fall lernen. Um Panikentscheidungen zu
vermeiden, sollte sich eine Organisation
bereits im Vorfeld auf den Fall des Fal-
les vorbereiten und festlegen, was beim
Verdacht einer Kompromittierung zu tun
und wer zu involvieren ist.
Linux-Magazin: Welche prinzipielle Vorgehens-
weise empfiehlst Du? ...
Christoph Wegener: Besteht der Verdacht
auf eine Kompromittierung des Systems,
ist zunächst zu klären, ob eine forensi-
Christoph Wegener ist promovierter Physiker und
seit 1999 mit der wecon.it-consulting als Berater
und Gutachter für die Themen Informationssicher-
heit und Datenschutz unterwegs.35http://www.linux-magazin.deTitelthemaExpertenrat