Und was machen Sie im Ernstfall?
Sind Sie auf Hackereinbrüche vorbereitet?
Copyright (C) 01/2001 by Howard Fuhs
Beunruhigende Meldungen machten in den letzten Monaten die Runde. Israelische Hacker bekriegen sich im Internet mit palästinensichen Hackern, indische Hacker greifen erfolgreich Computer in Pakistan an, worauf pakistanische Hacker angemessen zu reagieren wissen. Es herrscht also auch im Internet Krieg, wenn auch mit anderen Mitteln und Opfern. Dabei wird von den Hackern nicht gerade zimperlich vorgegangen. Jede Web-Seite und jeder Computer, der sich ihnen "in den Weg stellt", wird angegriffen. Die dabei gecrackten Systeme sind mitunter für Wochen vom Netz verschwunden. Hinzu kommt noch die Nachricht, dass wohl das Firewall-Produkt eines renommierten Anbieters bedingt durch fundamentale Designschwächen bei weitem nicht so sicher ist, wie es die Marketingabteilung einem Glauben machen möchte. Fachleute haben in den letzten 6 Monaten zwei solcher Fehler feststellen müssen. Weiß eigentlich noch jemand, wie Firewalls früher schematisch unter UNIX installiert waren? Dann wären solche Fehler wohl nicht passiert.
Damit stellt sich eigentlich jedem Unternehmensverantwortlichen die Frage, was zu tun ist, wenn der Ernstfall eintritt und Hacker durch die Firewall hindurch auf das interne Netzwerk Zugriff haben. Einfach den Netzwerkstecker ziehen und Off-Line gehen? Oder die Hacker aktiv angreifen? Vielleicht die Eindringlinge erst einmal beobachten? Haben Sie überhaupt einen Notfallplan für diese möglichen Vorkommnisse parat? Bedenken Sie, es stellt sich heute nicht mehr die Frage, ob man angegriffen wird, wenn das Netzwerk am Internet hängt, sondern vielmehr die Frage, wann es passieren wird.
Wie bereits kurz erwähnt, wäre es sinnvoll, wenn das Management zusammen mit der IT-Abteilung einen Notfallplan ausarbeitet, in dem klar definiert wird, was zu tun ist, wer was zu tun hat und welche externe Hilfe hinzu gezogen werden sollte. Die Erfahrung aus der Praxis hat gezeigt, dass die Verantwortlichen sehr schnell in Panik geraten, wenn ein Angriff eines Hackers erfolgreich ist und wer in Panik ist macht Fehler, trifft übereilte Fehlentscheidungen und erhöht damit unnötig den Schaden, der bereits angerichtet wurde.
Ein Hackereinbruch in ein Netzwerk muss von Spezialisten untersucht werden, denn es muss festgestellt werden, wie der Hacker eindringen konnte (über welchen Weg und mit welcher Technik), welche Veränderungen der Hacker am System und an den Daten vorgenommen hat, ob er Backdoors installiert hat, über die er sich wieder Zutritt verschaffen kann, wie lange er bereits unbefugten Zutritt zum Netzwerk hat und auf welche Daten er Zugriff hatte. Diese Art der Untersuchung nennt man Computer Forensics und korrekt angewandt können mit solchen Untersuchungen auch Beweismittel für spätere Gerichtsprozesse gesichert werden.
Der schlimmste Fehler überhaupt ist kurzerhand den "Stecker" zu ziehen. Denn dann wäre der Hacker gewarnt, dass er entdeckt wurde und würde entweder nicht mehr das System betreten, was dazu führen würde, dass man mitunter nicht einmal sicher feststellen kann, wie er Zugang zum Netzwerk erlangte oder er kommt einfach über ein bisher unentdecktes Backdoor in das Netzwerk zurück, was ebenfalls die Aufklärung des Falles erschwert oder gar unmöglich macht, denn der Hacker könnte versuchen alle seine Spuren in dem System zu vernichten.
Für den Ernstfall sollte man aber noch eine andere Vorkehrung bereithalten - ein sogenanntes Honey Pot System. Wie der Honig die Bären anlockt, ist ein Honey Pot System ein Server, der den Hacker glauben lässt, er sei ein lohnendes und relativ leichtes Angriffsziel und der dem Hacker vorgaukelt, er hätte ein ganzes Netzwerk inklusive (gefälschter) Daten gehackt, in dem er sich vermeintlich unbeobachtet nach Lust und Laune umschauen kann. Ein solcher Honey Pot Server kann im Notfall dazu dienen, den Eindringling in ein elektronisches Gefängnis einzuschließen, in dem er keinen Schaden anrichten kann, er ständig beobachtet werden kann und zur Aufklärung des Einbruchs und Ermittlung des Täters wertvolle Zeit gewonnen wird. Doch was so einfach klingt, ist nicht gerade einfach aufzusetzen. Honey Pot Systeme müssen sehr sorgfältig erdacht und installiert werden, damit dem Eindringling nicht auffällt, dass er sich in einem Honey Pot System befindet und darüber hinaus auch noch unter Aufsicht steht. Deshalb sollte ein solches System bereits vor dem Ernstfall installiert und konfiguriert sein, denn während der Aufklärung eines gerade laufenden Hacks ist dafür nicht mehr die Zeit. Gerade im Hinblick auf die hohen Anforderungen was die Unauffälligkeit anbelangt, sollte bei der Erstellung eines Honey Pot Systems fachkundiger Rat eines Sicherheitsexperten eingeholt werden, denn ein falsch konfiguriertes System kann von einem guten Hacker sehr schnell als sogenanntes Fake-System entlarvt werden.
Auch wer außer einer Firewall noch zusätzlich ein Intrusion Detection System am laufen hat, kann von einem installierten Honey Pot profitieren. Was gibt es besseres als ein ständig unter Beobachtung stehendes System, über das ein Hacker versucht in das Netzwerk einzudringen, aber das System ihn ständig weiter beschäftigt, ohne dass er dabei Schaden anrichten kann. Wer Kinder hat, sollte diese Vorgehensweise kennen, wenn die Kinder zu sehr quengeln, dann gibt man ihnen was zum spielen, dann sind sie beschäftigt und man hat seine Ruhe.
Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.
Copyright (C) 01/2001 by Howard Fuhs