M 6.31 Verhaltensregeln nach Verlust der Systemintegrität

Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Benutzer

Falls sich das Unix-System in nicht vorgesehener Weise verhält (zum Beispiel undefiniertes Systemverhalten, nicht auffindbare Daten, veränderte Dateiinhalte, ständige Verringerung des freien Speicherplatzes, ohne dass etwas abgespeichert wurde), kann ein Verlust der Systemintegrität vorliegen. Dieser kann durch missbräuchliche Nutzung des Systems verursacht worden sein, zum Beispiel durch Veränderungen der Systemeinstellungen, Einspielen eines Trojanisches Pferdes oder eines Computer- Virus.

Dann sollten die Benutzer folgende Punkte beachten:

• Ruhe bewahren!
• Benachrichtigen Sie den Administrator.
• Beenden Sie laufende Programme.

Der Administrator sollte folgende Schritte durchführen:

• Herunterfahren des Systems,
• Hochfahren des Systems, so dass nur Zugriff von der Konsole aus möglich ist (z. B. Single-User- Modus),
• Anfertigung einer Komplettdatensicherung (Dies ist beispielsweise hilfreich, wenn bei der nachfolgenden Untersuchung Daten oder Spuren zerstört werden.),
• Überprüfung der ausführbaren Dateien auf sichtbare Veränderungen, z. B. Erstellungsdatum und Dateigröße (Da diese von einem Angreifer auch wieder auf ihre Ursprungswerte zurückgesetzt werden können, sollte die Integrität der Dateien mit Prüfsummenverfahren wie tripwire überprüft werden.),
• Löschen der ausführbaren Dateien und Wiedereinspielen der Original-Dateien von schreibgeschützten Datenträgern (vgl. M 6.21 Sicherungskopie der eingesetzten Software) (keine Programme aus der Datensicherung wiedereinspielen),
• Überprüfen und ggf. Wiedereinspielen der Systemverzeichnisse und -dateien und ihrer Attribute (z. B. /etc/inetd.conf, /etc/hosts.equiv, cron- und at-jobs, etc.),
• Überprüfung der Attribute aller Benutzerverzeichnisse und -dateien z. B. mit Prüfsummenverfahren wie tripwire und ggf. Zurücksetzen auf Minimal-Einstellungen (nur Rechte für den Eigentümer, keine root -Dateien in Benutzerbereichen, .rhost - und .forward -Dateien, auch gesperrte Accounts),
• Änderung aller Passwörter,
• Benachrichtigung der Benutzer mit der Bitte, ihre Bereiche auf Unregelmäßigkeiten zu prüfen.

Nach der Änderung aller Passwörter müssen diese den betroffenen Benutzern mitgeteilt werden. Hierbei sollte kein allen Benutzern bekanntes Passwort oder Ableitungsschema benutzt werden. Besser ist es, die Passwörter zufällig zu erzeugen und den Benutzern auf zuverlässigem Weg mitzuteilen, z. B. in versiegelten Umschlägen. Diese Passwörter sollten unmittelbar nach der Erstanmeldung geändert werden.

Wenn Anzeichen auf einen vorsätzlichen Angriff gegen ein Unix-System vorliegen, ist für die Schadensminimierung und weitere Schadensabwehr sofortiges Handeln notwendig. Hierzu ist ein Alarmplan erforderlich, in dem die einzuleitenden Schritte aufgeführt werden und festgelegt wird, welche Personen über den Vorfall zu unterrichten sind (siehe auch M 6.60 Verhaltensregeln und Meldewege bei Sicherheitsvorfällen). Der Alarmplan enthält ggf. auch Informationen darüber, ob und wie der Datenschutzbeauftragte und die Rechtsabteilung zu beteiligen sind.

Falls sich Probleme ergeben, können Sie sich an die Hotline des BSI wenden unter Tel. 0228-9582-444 oder E-Mail cert@bsi.de.

Falls Daten gelöscht oder unerwünscht geändert wurden, können diese aus den Datensicherungen wiedereingespielt werden.

• Werden die Benutzer regelmäßig darüber informiert, dass bei Auftreten von Unregelmäßigkeiten sofort der Administrator benachrichtigt werden muss?
• Wird diese Regelung auch angewendet?
• Gibt es Administratoren mit entsprechenden Kenntnissen?
• Ist ein Verfahren zur schnellen Vergabe von Passwörtern etabliert und getestet?

© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000.