Technische Kompromittierung
aus Wikipedia, der freien Enzyklopädie
Ein System, eine Datenbank oder auch nur ein einzelner Datensatz wird als kompromittiert betrachtet, wenn Daten manipuliert sein könnten und wenn der Eigentümer bzw. Administrator des Systems keine Kontrolle über die korrekte Funktionsweise oder den korrekten Inhalt mehr hat bzw. ein Angreifer ein anderes Ziel der Manipulation erreicht hat. Unter Angreifer wird hier ein zum Zugriff auf das System nicht berechtigter Nutzer verstanden, welcher sich jedoch Zugriff verschafft hat. Dabei ist nicht entscheidend, ob der unberechtigte und unkontrollierte Zugriff in mißbräuchlicher Absicht oder unbeabsichtigt geschieht. Wesentlich ist, dass die Integrität der gespeicherten Information nicht mehr gewährleistet ist.
Bei öffentlich zugänglichen Daten (Beispiel: Wikipedia) kann eine Kompromittierung nur durch (die Möglichkeit einer) Manipulation erfolgen. Bei Daten, die in irgend einer Weise geheim sind, bedeutet dagegen auch die Möglichkeit, dass ein Angreifer Lesezugriff erhalten hat, bereits eine Kompromittierung, weil ja zuvor geheime Informationen hinterher Dritten zugänglich sein könnten. Die Kompromittierung muss also nicht zwangsläufig die Manipulation von Daten implizieren. Wenn es einem Angreifer z. B. gelingt, den Schlüssel eines Kryptosystems zu bekommen, ist dieses System kompromittiert, ohne dass der Angreifer Daten geändert hat. Auch ein ausschließlich beobachtender Angreifer kann ein System kompromittieren. Typischerweise tritt dies nach einem Befall durch einen Computervirus oder durch einen gezielten Einbruch durch Cracker auf. Ein derartig manipuliertes System ist als nicht mehr vertrauenswürdig anzusehen.
Folgemaßnahmen: Wird ein System als kompromittiert angesehen, so sollten Maßnahmen durchgeführt werden, um weitere Schäden zu verhindern:
Inhaltsverzeichnis |
[Bearbeiten] Abschaltung und Trennung des Rechners vom Netz
In der Regel wird empfohlen, kompromittierte Rechner sofort vom Internet oder Local Area Network zu trennen. Dies hat den Zweck, dem Angreifer die Möglichkeit zu nehmen, weiteren Schaden anzurichten oder gegebenenfalls seine Spuren zu verwischen. Die Trennung vom Netz kann jedoch unterbleiben, wenn ein Computerforensiker dem Angreifer auf die Spur kommen will und die weiteren Schritte des Angreifers beobachtet.
Eine sofortige Abschaltung des kompromittierten Rechners kann kontraproduktiv wirken. Durch die Abschaltung werden ggf. Spuren vernichtet, die sich im flüchtigen Speicher befinden können. Auf der anderen Seite könnten weitere kritische Aktionen der laufenden Schadprogramme durch sofortige Abschaltung unterbunden werden.
Zur Sicherung der Spuren vor dem Abschalten sollte ein Kopie der im RAM befindlichen Daten gemacht werden. Die Daten, die man noch aus dem laufenden System heraus gewinnt, können prinzipiell jedoch niemals vertrauenswürdig sein, da die Programmfunktionen, die zur Datengewinnung genutzt werden, ebenfalls durch das Schadprogramm manipuliert sein können.
[Bearbeiten] Handhabung privater Daten
Der Angreifer kann in den Besitz aller auf dem kompromittierten System gespeicherten Daten gelangt sein. Hierzu gehören auch sensible Informationen wie Passwörter für Betriebssystem, Online-Banking, Datenbanken, personenbezogene Daten, Geschäftsgeheimnisse, etc. Der Nutzer sollte solche z.B. Passwörter möglichst zeitnah ändern und andere Betroffene darüber informieren.
[Bearbeiten] Systemabbild
Nach dem Abschalten des Systems sollten zur Beweissicherung und zur Analyse Images der Festplatte(n) gemacht werden. Die Images der Festplatten sowie des RAMs sollten einer eingehenden forensischen Analyse unterzogen werden. Hierdurch kann man unter Umständen feststellen, mit welchen Mitteln der Angreifer in das System eindringen konnte. Diese Analyse hilft, die Schwachstellen aufzudecken und die Fehler bei der Neuinstallation ggf. zu vermeiden.
Hinweis: Die Analyse eines Antivirenprogramms ist in der Regel unzureichend, um Aussagen über das System zu machen. Sie kann aber als Hilfsmittel eingesetzt werden. Dazu muss der Virenscanner jedoch von einem nicht kompromittierten System oder einem Wechseldatenträger aus aufgerufen werden.
[Bearbeiten] Neuaufsetzen des Systems
[Bearbeiten] Neuinstallation
Hinweis: Wenn eine Datensicherung existiert, kann in Betracht gezogen werden, den nächsten Schritt zu überspringen.
Nutzer tendieren meist dazu, die Kompromittierung durch eigene Reparaturarbeiten zu beheben. Dies ist jedoch meist nicht von Vorteil, da der Angreifer volle Kontrolle über das System hatte. Dies ermöglichte es ihm unter Umständen auch Schadprogramme zu installieren, die Virenscanner oder andere Werkzeuge nicht erkennen.
Ein Weg, um Folgeschäden zu vermeiden, ist daher eine Neuinstallation. Sofern die vorher genutzte Hardware wieder zum Einsatz kommt, müssen alle Daten und Programme durch eine Formatierung und/oder Partitionierung gelöscht werden. Dies betrifft unter Umständen sogar Einträge in Firmware-Speicher, BIOS, Parameter-RAM usw. Die Installation darf ausschließlich von Originalmedien erfolgen. Schließlich sollte man das Betriebssystem sowie die zu nutzende Software auf bekannte Sicherheitslücken untersuchen. Diese können in der Regel durch das Einspielen sog. Patches geschlossen werden. Nach der Konfiguration des Systems kann es wieder an das Netzwerk angeschlossen werden.
[Bearbeiten] Benutzerkonten
Die Passwörter, die zur Anmeldung an das Betriebssystem verwendet wurden, müssen neu ausgewählt werden, da die alten Passwörter als bekannt angesehen werden müssen.
[Bearbeiten] Daten
Um das System zu komplettieren, müssen nun die Daten (Datenbanken, Bilder, Schriftstücke etc.) aus einem nicht kompromittierten Backup eingespielt werden. Gibt es kein Backup, das garantiert nicht veränderte Daten enthält, oder Prüfsummen über einen garantiert sauberen Datenbestand, so kann nur mit Einschränkungen mit dem alten Datenbestand weitergearbeitet werden. Lässt sich der Zeitpunkt der Kompromittierung nicht feststellen, so müssen alle Daten als manipuliert angesehen werden.
