computerwoche.de

Archiv

Ratgeber: Was Firmen bei Attacken tun sollten

Notfallpläne für den Virenernstfall

11.06.2004
MÜNCHEN (fn) - Wenn Viren oder Würmer in Firmennetze eingedrungen sind, zahlt sich besonnenes Handeln aus. IT-Verantwortliche sollten nach einem vorher aufgestellten Notfallplan vorgehen. Unbedachtes Eingreifen in die IT-Systeme kann größere Schäden verursachen als das Störprogramm selbst.

Obwohl es mittlerweile zahlreiche Methoden gibt, Virenattacken abzuwehren, werden Unternehmen immer wieder von Angriffen heimgesucht. Jüngstes Beispiel war der Wurm "Sasser". Es wäre ein Trugschluss anzunehmen, Antiviren-Software und Firewalls könnten den Befall des Firmennetzes vollständig verhindern. Daher sollten Unternehmen für den Ernstfall gerüstet sein und einen Notfallplan ausarbeiten. Nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) reduziert das Vorgehen nach einem solchen Regelwerk die Gefahr längerer Systemausfälle. Notfallpläne haben den Zweck, die volle IT-Verfügbarkeit möglichst schnell wieder herzustellen. Zudem sollen vorher definierte Handlungsanweisungen Überreaktionen und Panik verhindern.

Mitarbeiter nicht vergessen

Rainer Prehn, Leiter des Sophos-Support-Center beim norddeutschen Security-Spezialisten Novir Data GmbH, weist darauf hin, dass alle Mitarbeiter im Unternehmen auf bestimmte Maßnahmen im Falle eines Virenangriffs eingeschworen werden sollten. "Es nutzt wenig, wenn Anwender aus Angst oder Unwissenheit eine Virusmeldung am Bildschirm wegklicken und so eine zeitnahe Reaktion der Systemverwalter behindern." Die Mitarbeiter müssen schon deshalb Teil des Reaktionsplans sein, weil sie durch ihr Handeln großen Einfluss auf den Erfolg der Virenbekämpfung haben. So sollten sie beispielsweise wissen, welche E-Mails sie besser gleich ungeöffnet löschen, weil sie einen Wurm enthalten könnten.

Ist der Virus bekannt oder neu?

Wenn ein Virus oder Wurm auf einem oder mehreren Computern im Firmennetz entdeckt wird, gilt es, Ruhe zu bewahren und abzuklären, ob es sich wirklich um eine Bedrohung oder um eine Falschmeldung (Hoax) handelt. Eine einfache Methode empfiehlt Toralv Dirro vom Antiviren-Tool-Hersteller McAfee: "Die Firma sollte sich über den Virus kundig machen, und zwar am Besten auf den Websites mehrerer Antiviren-Tool-Anbieter." Zudem müssen die Anwender wissen, wer im Falle von Virenattacken ihr Ansprechpartner im Haus ist.

Wann der Rechner vom Netz muss

Haben sich bekannte Viren oder Würmer auf die Rechner geschmuggelt, müssten sie die installierten Viren-Scanner unschädlich machen können, vorausgesetzt sowohl die Signaturen als auch die Software selbst ist auf dem aktuellen Stand. Konnte der Rechner desinfiziert werden, sollten Anwender die betroffenen Dateien schleunigst durch eine nicht beschädigte Kopie ersetzen (etwa über Backup/Restore). Viren können Informationen verändern oder Dateninkonsistenzen hervor gerufen haben.

Konnte der Rechner nicht desinfiziert werden, sollten die Verantwortlichen die genaue Bezeichnung des Störprogramms feststellen und den Rechner schleunigst herunterfahren oder vom Netz trennen. Allerdings muss speziell bei Servern schon vor dem Ernstfall feststehen, wer dazu befugt ist. Wenn es erst eines Abstimmungs- und Genehmigungsverfahrens bedarf, bis eine Entscheidung fällt, hat der Wurm sich bereits ausgebreitet und die Maßnahme überflüssig gemacht. Andererseits darf das Herunterfahren nicht eigenmächtig und ohne Vorwarnung erfolgen, denn unter Umständen verursacht dieser Schritt mehr Schaden als der Virus selbst.

Besonders trickreich: der SQL Slammer

Parallel zur Virenbeseitigung auf infizierten Rechnern ist zu prüfen, ob der Virus oder Wurm bereits andere Systeme befallen hat. Die Viren-Scanner auf allen Computern sollten hierzu aktualisiert (Signaturen herunterladen) und aktiviert werden. Trotz der Sofortmaßnahmen könnte sich ein Wurm zum Zeitpunkt des Virenalarms schon längst im Netz verbreitet haben. Der Grund: Datei-basierende Viren-Checker melden sich meist erst zu Wort, wenn sich ein Störprogramm im Dateisystem niederlässt. Je nach Machart kommt es oft aber erst dazu, nachdem sich der Wurm auf andere Rechner kopiert hat. Nicht einfacher wird die Bestandsaufnahme dadurch, dass bestimmte Schädlinge wie beispielsweise "SQL Slammer" sich im Hauptspeicher einnisten und so nur schwer auszumachen sind. Dieser Wurm nutzt eine bereits behobene Schwachstelle von Microsofts "SQL Server" aus und bringt die Datenbank zum Absturz.

Während sich die Anwender ein Bild über den Verbreitungsgrad des Wurms im Firmennetz machen, ist es ratsam, über einen besonders geschützten Rechner (er sollte beispielsweise mit einer Desktop-Firewall ausgestattet sein) auf den Websites der Antiviren-Spezialisten nach aktuellen Gegenmaßnahmen Ausschau zu halten, um den Parasiten unschädlich zu machen beziehungsweise ihn an der Ausbreitung zu hindern. Wichtig ist ferner, nach Sicherheits-Updates für Betriebssysteme sowie der installierten Software zu suchen und diese einzuspielen - allzu oft nutzen Würmer bereits bekannte Sicherheitslöcher aus. Unter Umständen ist es erforderlich, Computer isoliert vom lokalen Netz beziehungsweise dem Internet von der Plage zu befreien beziehungsweise Patches einzuspielen, da ansonsten ein bereits geheiltes System sich erneut infiziert.

Geschäftspartner sind zu schützen

Gerade beim Auftreten von Internet-Würmern sollten es die Experten nicht versäumen, die Firewall so zu konfigurieren, dass nicht auch Geschäftspartner und andere mit dem Unternehmen verbundene Organisationen in Mitleidenschaft gezogen werden. Auch das ist nicht unproblematisch, wenn hierzu beispielsweise erforderliche Ports geschlossen werden müssen. Die Sicherheitshersteller nennen als mögliche Abhilfe Intrusion-Prevention-Verfahren: Sie seien in der Lage, den Wurm am Port zu blocken, ohne gleichzeitig alle regulären Verbindungen sperren zu müssen.

Befallene Computer sollten nach einer Säuberung beziehungsweise dem Einspielen eines Sicherheits-Updates erneut auf Viren gescannt werden. "Zudem ist es ratsam, die Systeme auf verdächtige Einstellungen hin zu überprüfen, etwa auf für Viren typische Einträge in derRegistry von Windows", bemerkt Virenexperte Prehn.

Schließlich empfiehlt es sich festzustellen, woher der Virus oder Wurm kam und, falls noch nicht erfolgt, die Sicherheitslücke, etwa an der Firewall oder am E-Mail-Server beseitigen. Wurde das Unternehmen jedoch von einem noch völlig unbekannten Wurm heimgesucht, bleibt dem Anwender nichts anderes übrig als zu versuchen, seine Ausbreitung einzudämmen (siehe Kasten "Unbekannte Würmer ").

Individuelle Risikoanalyse

Die genannten Schritte beschreiben nur ein sehr allgemeines Prozedere. Letztlich sollte sich jede Firma einen auf die jeweilige IT-Situation zugeschnittenen Notfallplan zurechtlegen, der wiederum Bestandteil der Sicherheitsrichtlinien ist. Ein Notfallplan muss deshalb individuell gestaltet sein, weil er Auswirkungen auf die Geschäftsprozesse haben kann - und die sind so unterschiedlich wie die Unternehmen selbst. Ein Webshop kann nicht ohne weiteres alle Netzverbindungen stundenlang unterbrechen, weil die IT-Systeme befallen sind. Unternehmen sollten sich zunächst einer individuellen Risikoanalyse unterziehen, in der sie die für sie wichtigsten IT-Systeme identifizieren. Hierbei ist festzustellen, welche Rechner besonders verwundbar sind und welche auf keinen Fall oder zumindest nicht über einen längeren Zeitraum ausfallen dürfen. "Eine solche Analyse ist ohnehin empfehlenswert, denn ohne sie lassen sich auch keine sinnvollen Notfallpläne für Stromausfälle, Feuer oder Wasserschäden aufstellen", erläutert Stefan Strobel, Geschäftsführer des auf IT-Sicherheit spezialisierten Dienstleisters Cirosec aus Heilbronn. Brigitte Salm, IT-Security-Beauftragte der Allianz Dresdner Informationssysteme (Agis), teilt diese Auffassung. "Notfallpläne kommen dann zum Einsatz, wenn Business-Applikationen nicht mehrgroßflächig zur Verfügung stehen. In einem solchen Fall spielt es keine Rolle, ob die Ursache ein Virus oder ein anderer Vorfall ist." Bei der Agis greift dann ein Business-Continuity-Plan, anhand dessen versucht wird, das Problem zu beseitigen und gleichzeitig die Arbeitsfähigkeit der Systeme zu erhalten oder wiederherzustellen.

Auch die Hypovereinsbank ist für den Fall der Fälle vorbereitet. Hier überwacht ein Security-Response-Team rund um die Uhr die Systeme der Bank. Die Experten werden frühzeitig von den Antiviren-Herstellern über Bedrohungen informiert. "Wir können so unser Netz abschotten, noch bevor ein Internet-Wurm unsere Rechner befallen kann", so Mark Boenke, Verantwortlicher für Virenschutz bei dem Geldhaus. Allerdings mussten auch die Münchner nach dem Auftauchen des "Nimda"-Wurms einzelne Computer vom Netz trennen. Dies war allerdings der bisher einzige Fall dieser Art.

Unbekannte Würmer

Anwender neigen dazu, ihre Notfallpläne nur auf bekannte Virentypen abzustellen. Doch aus Sicht des Sicherheitsexperten Stefan Strobel vom Dienstleister Cirosec reicht das nicht aus, da der nächste Störenfried sich möglicherweise völlig anders verhält als seine Vorgänger. Fast täglich spüren Sicherheitsprogramme Viren im Unternehmensnetz auf, doch das ist laut Strobel der einfache Fall. Problematischer sei hingegen, wenn Anwender Anomalien feststellen, die auf noch unbekannte Viren oder Würmer schließen lassen.

Flexibles Handeln

Aus diesem Grund muss nach Ansicht Strobels der Notfallplan so abstrakt sein, dass er auch für noch nicht identifizierte Schädlinge geeignet ist. Zum Beispiel könnte eine Maßnahme bei einem neuen E-Mail-Wurm sein, so schnell wie möglich Filterregeln für den E-Mail-Server zu definieren, damit sich der noch unbekannte Wurm nicht weiter verbreitet. Üblicherweise befallen die Störprogramme nämlich die Mail-Software auf den Desktops, nicht jedoch den zentralen Server. Gleichwohl nutzen die infizierten Clients diesen Rechner zum Weiterleiten der Schadensroutine. Solche E-Mail-Regeln können beispielsweise Nachrichten aufgrund des Absenders, der Betreffzeile oder von Anhängen filtern.

Beim Aufspüren noch unbekannter Würmer helfen Softwareprodukte wie etwa "Wormscout". Das Programm versucht, wurmtypische Aktivitäten im Firmennetz ausfindig zu machen und die Verbreitung des Eindringlings zu verhindern. Bereits infizierte Rechner lassen sich identifizieren und hindern den Wurm daran, sich auf andere Computer zu replizieren. Auf diese Weise, so das Argument des amerikanischen Herstellers Forescout, gewinnen Firmen Zeit, um Patches einzuspielen beziehungsweise die von den Antivirenherstellern empfohlenen Gegenmaßnahmen zu ergreifen, sobald diese verfügbar sind.

Glossar

Virus: Ein Computervirus infiziert einen Rechner, indem sein Code ausgeführt wird.

Wurm: Würmer sind Programme, die sich selbst reproduzieren, indem sie Anwendungen oder Betriebssysteme manipulieren. Sie verbreiten sich mitunter innerhalb von Stunden über Millionen von Rechnern über Netzverbindungen beziehungsweise -protokolle. Manche Würmer enthalten Schadroutinen. Sie sind aber auch dann lästig, wenn das nicht der Fall ist, weil sie für ihre Weiterverbreitung Rechnerressourcen binden.

Trojanisches Pferd: Ein vermeintlich harmloses Programm, das einen Virus oder Wurm enthält. Der versteckte Code dient dazu, den befallenen Rechner für Hacker zu öffnen oder ihn beispielsweise als Wirt für eine Denial-of-Service-Attacke auf andere Computer zu konfigurieren.

Intrusion Detection: Technik zum Erkennen von Eindringlingen in Computer oder Netze. Intrusion-Detection-Systeme überwachen beispielsweise Kommunikationsschnittstellen und untersuchen Protokolldateien (System Logs).

Intrusion Prevention: Nutzt die Technik von Intrusion Detection, versucht jedoch Angriffe von Hackern oder Würmern über definierte Regeln abzublocken.