Was tun nach dem Cyberangriff?
Wiederherstellungs-Maßnahmen nach einem Cyberangriff: Das Beispiel Bundestag zeigt, dass beim Thema IT-Sicherheit die Strategie zur Datenwiederherstellung nicht außen vor bleiben darf
Schnelle Wiederherstellung der Systeme sollten in Organisationen und Unternehmen in der IT-Sicherheitsstrategie verankert sein
(07.07.15) - Der Hackerangriff auf den Deutschen Bundestag in Berlin ist einer der spektakulärsten Angriffe auf eine öffentliche Organisation. Bemerkenswert ist vor allem, dass der Angriff seither ungemindert andauert. Laut Medienberichten ist das Ausmaß unklar und es wird befürchtet, dass die komplette IT-Infrastruktur ausgetauscht werden muss. Um einem solchen Horrorszenario vorzubeugen, sollte die Wiederherstellung von komplexen Systemen fest in der IT-Sicherheitsstrategie verankert sein. Die SEP AG gibt auf Basis des Einsatzes ihrer eigenen Lösung "SEP sesam" folgende Ratschläge. Diese ermöglichen in einem solchen Fall die zügige Wiederherstellung des laufenden Betriebs.
1. Vorbeugende Maßnahmen
Neben den klassisch einzuhaltenden Backup-Szenarien, also wöchentliche Komplettsicherung aller Daten (Full-Backup) und täglichen Sicherung der zwischenzeitlich geänderten Daten (Inkrementelles Backup) sind weitere Maßnahmen nötig. So ist es essenziell, dass die Backup-Daten verschlüsselt abgelegt werden, inklusive einer sicheren Passwortablage. Der Backup-Server und die Backup-Speichermedien sollten zudem vom Internet getrennt sein, damit ein externer Angriff erschwert wird. Dies ist beispielsweise auch durch eine Vervielfältigung (Replizierung) der Backup-Sätze durch Migration auf Offline-Medien wie Bandspeicher oder verteilten (Cloud-)Standorten möglich. Der Backup-Server selbst sollte keinen Zugriff auf das Internet haben, was bei einigen Anbietern durch die Abfrage der Lizenzschlüssel über das Internet problematisch werden kann. Noch sicherer ist es, wenn die Backup-Infrastruktur in einem eigens dafür, logisch vom Internet abgetrennten Netzwerk (VLAN) betrieben wird.
2. Schritte nach dem Angriff
Ist, wie im Fall Bundestag, ein Angriff erkannt worden, besteht zügiger Handlungsbedarf. So muss zunächst der Zeitpunkt des Angriffs eingegrenzt werden. Dann setzt die Datenwiederherstellung an. Die Lösung von SEP ist in der Lage, einzelne Backups eines beliebigen Sicherungszeitpunktes auf einem abgeschotteten System wiederherzustellen. Im so genannten Read-Only-Modus können die Daten gelesen und analysiert werden, ob darin doch noch ein Befall zu verzeichnen ist.
"SEP sesam" unterstützt dabei Forensik-Linux-Distributionen wie beispielsweise Kali, die speziell für die Analyse nach einem Cyber-Angriff entwickelt wurden. So ist es möglich, dass jedes Backup, egal von welcher Quelle, auf einem Linux- oder Windows Backup-Server oder auch Remote-Device-Server geöffnet werden kann und überprüfbar ist. Die Schadsoftware hat während der Forensik-Analyse keine Möglichkeit, das integrere System zu infizieren. Ist der letzte sichere Datensatz gefunden, werden die Systeme damit sauber wiederhergestellt und der Betrieb der IT-Systeme kann wieder normal anlaufen. Vorher sollten die Abwehrmechanismen nochmals überprüft werden, um einen neuerlichen Angriff auszuschließen. (SEP: ra)
SEP: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.