Technisches Vorgehen im Ernstfall
... von Heiko Wruck
BERICHT
Berlin/gc. Wenn ein Unternehmen oder eine Behörde einem IT-Angriff ausgesetzt ist, heißt es, schnell und zielgerichtet zu handeln. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schlägt hierfür folgenden Ablauf vor.
Incidence Response
Technisches Vorgehen
● Wo beginnen?
● Forensische Beweissicherung
● Umgang mit Logdaten
● Netzverkehranalyse
● Wie loggen?
● Aktueller Netzplan
● Dezidiertes Logsystem
● Proxies und DNS
● Bereinigung
Alle diese Einzelschritte müssen akribisch ausgeführt werden, um das Problem einzugrenzen, unwirksam zu machen und schließlich für die Zukunft verlässlich zu verhindern. Dabei sollten sich die Verantwortlichen darüber klar sein, dass es eine hundertprozentige Sicherheit nicht geben kann.
Dessen ungeachtet sollten aber alle Bemühungen darauf hinaus laufen, so viel Sicherheit wie möglich und so viel Risiko wie unbedingt nötig herzustellen beziehungsweise einzugehen. Niemandem ist geholfen, wenn vor lauter Sicherheitseinrichtungen keiner mehr seine Arbeit ausführen kann. Andererseits ist aber niemandem geholfen, wenn zu laxe Sicherheitsbestimmungen das Problem immer wieder neu schaffen. Ausgewogenheit ist hier das Mittel der Wahl.
Kontakt:
Heiko.Wruck@t-online.de
__________________________________