Informationen für IT-Personal: Erste Hilfe bei einem schweren IT-Sicherheitsvorfall

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Januar 2020 ein Arbeitspapier veröffentlicht, in dem die geordnete Behandlung eines schweren Sicherheitsvorfalls durch das zuständige IT-Personal beschrieben wird.

Diese Information richtet sich an IT-Personal, nicht an Endanwendende.

Die Originalveröffentlichung finden Sie hier: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware_Erste-Hilfe-IT-Sicherheitsvorfall.pdf?__blob=publicationFile&v=3

Das Dokument umfasst 28 Seiten.

An dieser Stelle die wesentlichen Punkte als Kurzzusammenfassung:

Vorweg: bei einem schweren IT-Sicherheitsvorfall informieren Sie bitte auf jeden Fall den CIO der TU Braunschweig und das Gauß-IT-Zentrum unter der E-Mail-Adresse informationssicherheit@tu-braunschweig.de und/oder den IT-Service-Desk unter Telefon (0531-391-)555555.

Kurzfassung

Organisation

  • Bewahren Sie Ruhe und handeln Sie nicht übereilt.
  • Richten Sie einen Krisenstab (oder eine Projektgruppe) ein.
  • Klären Sie regelmäßig folgende Fragen:
    • Wer macht was bis wann?
    • Welche Tagesaufgaben können für die Bewältigung des Vorfalls liegen gelassen werden?
    • Wer trifft die relevanten Entscheidungen?
    • Sollen Systeme schnell wieder aufgesetzt oder Spuren gesichert werden?
    • Wer kommuniziert was wann an wen?
    • Wollen Sie Anzeige erstatten?
  • Denken Sie an Meldepflichten.
  • Holen Sie sich bei Bedarf frühzeitig externe Unterstützung.
  • Kurzfristig für den Notbetrieb wichtige Daten können sich auch an ggf. abgesetzten Außenstellen oder auf Systemen von Mitarbeitern im Urlaub befinden, welche (noch) nicht betroffen sind.

Technik

  • Oberste Regel: Keinesfalls darf eine Anmeldung mit privilegierten Nutzerkonten (Administratorkonten) auf einem potenziell infizierten System erfolgen, während das System sich noch im internen produktiven Netzwerk befindet oder mit dem Internet verbunden ist!
  • Potenziell infizierte Systeme sollten umgehend vom Netzwerk isoliert werden, um eine weitere Ausbreitung der Schadsoftware im Netz durch Seitwärtsbewegungen (Lateral Movement) zu verhindern.
    • Dazu das Netzwerkkabel ziehen.
    • Gerät nicht herunterfahren oder ausschalten.
    • Gegebenenfalls forensische Sicherung inkl. Speicherabbild für spätere Analysen (eigene, durch Dienstleister oder Strafverfolgungsbehörden) erstellen.
  • Identifizieren Sie das/die Schadprogramm/e. Für Ransomware können Sie etwa die Seiten „No More Ransom“ https://www.nomoreransom.org/  und „ID Ransomware“ https://id-ransomware.malwarehunterteam.com/ nutzen. Sollte es für die Ransomwarebereits Entschlüsselungstools geben wird dies dort angezeigt – die Wahrscheinlichkeit hierfür ist jedoch gering.
    In einigen Fällen steht der Name der Ransomware auch in dem üblicherweise angezeigten Erpresserschreiben oder dieser wird den verschlüsselten Dateien als Dateinamenserweiterung hinzugefügt.
    Zu einer bekannten Ransomware können Sie dann mit Hilfe gängiger Suchmaschinen Informationen finden.
  • Die Schadprogramme nehmen teilweise tiefgreifende (sicherheitsrelevante) Änderungen am infizierten lokalen System vor, die nicht einfach rückgängig gemacht werden können.
    Das BSI empfiehlt daher grundsätzlich, infizierte lokale Systeme als vollständig kompromittiert zu betrachten und neu aufzusetzen.
  • Fortschrittliche Schadsoftware-Varianten wie Trickbot können sich mit ausgespähten Zugangsdaten für Benutzerkonten (ggf. mit administrativen Rechten) lateral im Netzwerk ausbreiten.
    Beachten Sie die Problematik eines „Golden Tickets“ und Kompromittierungen von Domaincontrollern und Serversystemen (Active Directory und alle domain-joined Systeme neu aufsetzen).
    Sollte das nicht schnell möglich sein, muss das Passwort des eingebauten Key Distribution Service Accounts (KRBTGT) zweimal zurückgesetzt werden. Dies invalidiert alle Golden Tickets welche mit dem zuvor gestohlenen KRBTGT-Hash und allen anderen Kerberos Tickets erzeugt wurden http://cert.europa.eu/static/WhitePapers/UPDATED%20-%20CERT-EU_Security_Whitepaper_2014-007_Kerberos_Golden_Ticket_Protection_v1_4.pdf – insbesondere Kap. 3.2.
  • Alle auf betroffenen Systemen gespeicherten bzw. nach der Infektion eingegebenen Zugangsdaten sollten als kompromittiert betrachtet und die Passwörter geändert werden.
    Dies umfasst u. a. Webbrowser, E-Mail-Clients, RDP/VNC-Verbindungen sowie andere Anwendungen wie PuTTY, FileZilla, WinSCP, etc.
  • Blockieren Sie jede nicht unbedingt benötigte Remote-Verbindung, beobachten Sie den Netzwerkverkehr und lassen Sie Antiviren-Scans laufen um weitere Infektionen und Täterzugriffe auszuschließen.
  • Prüfen Sie, ob Sie saubere, integre Backups haben.
  • Im Fall einer bereits erfolgten Verschlüsselung sollten Sie grundsätzlich nicht auf die Erpressung eingehen und kein Lösegeld bezahlen. Stattdessen sollten die Daten in ein sauberes Netzwerk aus Backups zurückgespielt werden.
  • Eine Persistenz von Schadsoftware im BIOS oder gar der Hardware ist sehr selten und wird bislang nicht von breit verteilter Schadsoftware angewandt.
  • Um einen zukünftigen weiteren Zugriff der Täter auf das interne Netzwerk und eine erneute Ausbreitung von Schadsoftware auszuschließen, sollte im Fall einer Kompromittierung des AD das Netz unbedingt komplett neu aufgebaut werden. Dies kann nach einer schnellen Bereinigung u.U. auch langfristig nach Sicherstellung der Betriebsfähigkeit erfolgen.