M 6.54 Verhaltensregeln nach Verlust der Netzintegrität

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator, IT-Benutzer

Falls sich das Netz in nicht vorgesehener Weise verhält (z. B. Server sind nicht verfügbar, Zugriff auf Netzressourcen ist nicht möglich, Netzperformance bricht dauerhaft ein), kann ein Verlust der Netzintegrität vorliegen. Dieser kann durch missbräuchliche Nutzung des Netzes verursacht worden sein, z. B. durch Veränderungen der Konfigurationen der aktiven Netzkomponenten oder deren Beschädigung.

Dann sollten die Benutzer folgende Punkte beachten:

• Sicherung der Arbeitsergebnisse und ggf. Beendigung aktiver Programme.
• Der Administrator muss über eine geeignete Eskalationsstufe (z. B. User Help Desk) von den Benutzern benachrichtigt werden. Dabei ist sicherzustellen, dass der Administrator durch den Benachrichtigungsprozess in seiner Arbeit nicht wesentlich behindert wird.

Der Netzadministrator sollte folgende Schritte durchführen:

• Eingrenzen des fehlerhaften Verhaltens auf ein Netzsegment bzw. eine Netzkomponente,
• Überprüfen der Konfigurationen der dort vorhandenen aktiven Netzkomponenten (darunter fällt auch die Kontrolle der Passwörter),
• Sichern aller Dateien, die Aufschluss über die Art und Ursache des aufgetretenen Problems geben könnten (z. B. ob tatsächlich ein Angriff erfolgt ist und auf welche Weise der Angreifer eindringen konnte), d. h. insbesondere Sichern aller relevanten Protokolldateien,
• ggf. Wiedereinspielen der Original-Konfigurationsdaten (siehe M 6.52 Regelmäßige Sicherung der Konfigurationsdaten aktiver Netzkomponenten),
• ggf. Überprüfung der eingesetzten Hardware (Verkabelung, Steckverbindungen, aktive Netzkomponenten usw.) auf Defekte,
• Benachrichtigung der Benutzer mit der Bitte, ihre Arbeitsbereiche auf Unregelmäßigkeiten zu prüfen.

Wenn Anzeichen auf einen vorsätzlichen Angriff gegen das Netz vorliegen, ist für die Schadensminimierung und weitere Schadensabwehr sofortiges Handeln notwendig. Hierzu ist ein Alarmplan erforderlich, in dem die einzuleitenden Schritte aufgeführt werden und festgelegt wird, welche Personen über den Vorfall zu unterrichten sind (siehe auch M 6.60 Verhaltensregeln und Meldewege bei Sicherheitsvorfällen). Der Alarmplan enthält ggf. auch Informationen darüber, ob und wie der Datenschutzbeauftragte und die Rechtsabteilung zu beteiligen sind.

• Wie ist sichergestellt, dass der Administrator effektiv benachrichtigt wird?
• Wird diese Regelung auch angewendet?
• Ist ein Verfahren zur schnellen Vergabe von Passwörtern etabliert und getestet?

© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000.