Trend
04.04.2016
Artikel drucken

Attacke auf unser Wetter!

Es gibt kaum jemanden, der dieser Tage nicht in irgendeiner Form mit dem Thema Hacking oder IT-Security durch die Medien konfrontiert wurde. Mit wenigen prominenten Ausnahmen wie z.B. Heartbleed sind diese Berichte für die meisten von uns seit langem keine Sensation mehr und gehen im Dschungel der Medienvielfalt eher unter. Als Verantwortungsträger einer IT-Abteilung, aber auch als IT-Administrator oder CISO begegnet man publizierten Hackerattacken vielleicht mit einer gewissen Ehrfurcht und hofft, in seiner beruflichen Laufbahn niemals selbiges
Schicksal erfahren zu müssen. Dennoch ist man davor in der Praxis leider nicht gefeit.

Tschabuschnig_MG_1538.jpg
DI Günther Tschabuschnig (IT-Leiter
der ZAMG, ADV-Vorstand)



Was also tun wenn der Hammer der Realität zuschlägt?
Dafür gibt es wohl keine eindeutige und klare Antwort  oder gar ein Kochrezept. Das Vorgehen muss einfach immer der jeweiligen Situation angepasst  werden. Die im folgenden Abschnitt erläuterten Punkte repräsentieren Erfahrungen der Zentralanstalt für Meteorologie und Geodynamik (ZAMG) aus einem tatsächlich widerfahrenen Cyber-Angriff im Jänner 2016.

Frühzeitiges Erkennen eines Angriffs.
Abhängig von der Motivation der AngreiferInnen manifestieren sich böswillige Handlungen in der Regel durch DDoS-Angriffe oder Spam-Wellen. Beides ist für affine AdministratorInnen ein leichtes zu detektieren.
Anders hingegen bei gezielten Attacken auf die jeweilige Infrastruktur bzw. deren Kernkomponenten. Gerät beispielsweise ein spezifischer Server ins Visier eines destruktiven Angreifers, einer destruktiven Angreiferin, lässt die Erfahrung in erster Linie auf einen Hardwaredefekt o.ä. schließen, wie es auch bei uns im ersten Moment den Anschein hatte. Erst bei genauerer Betrachtung von Logs (diese sollten natürlich so detailliert wie möglich vorhanden sein) kann ein mutwilliges Handeln nachgewiesen werden. Zu diesem Zeitpunkt wurde der Zustand des betroffenen Systems aber ggf. bereits verändert, was ein nachträgliches sichern von Beweisen erschwert bzw. unmöglich macht. Ein frühzeitiges Erkennen durch Monitoring das von Services als auch von Logdateien ist für die weitere Vorgangsweise (Beweissicherung) und damit auch für evtl. nachfolgende Ermittlungen von erheblichem Wert. Ferner können hierdurch auch weniger destruktive AngreiferInnen identifiziert werden.
Michael_Fuchssteiner.jpg
Michael Fuchssteiner, B.Sc. (CISO ZAMG)

Panikhandlungen vermeiden.
Wenn Zentrale-Systeme, welche für das Kerngeschäft des Unternehmens essentiell sind, funktionsunfähig sind, herrscht meist eine eher angespannte und hektische Stimmung unter den verantwortlichen AdministratorInnen. Handlungen beschränken sich in solchen Situationen für gewöhnlich darauf, den Schaden so schnell wie möglich zu minimieren bzw. betroffene Systeme wiederherzustellen. Ursachenforschung wird dabei mehrheitlich als sekundär eingestuft. Diese oder ähnliche Vorgangsweisen, deren Zielsetzung eine schnelle Wiederherstellung verfolgen, sind ohne Frage auch angebracht und nicht falsch. Bei Verdacht auf Fremdeinwirken darf indes adäquate Beweissicherung wie die Erstellung eines RAM-Images bzw. eines Disk-Images nicht versäumt werden  um überhaupt erst weiterführende forensische Analysen zu ermöglichen. Dies beansprucht hingegen wieder wertvolle Zeit und Ressourcen. Für VerantwortungsträgerInnen gilt es, aus dem gegebenen Umstand heraus einen prekären Balanceakt zur Verfolgung der jeweiligen Ziele zu vollziehen.

Koordiniertes Handeln.
Um beschlossene Ziele möglichst effizient zu erreichen und unkoordinierte Aktionen zu unterbinden bedarf es einer spontanen sachdienlichen Rollen- bzw. Aufgabenaufteilung von personellen Ressourcen. Für spezielle Aufgaben, wie etwa der forensischen Aufarbeitung des Vorfalls, ist es ratsam externe Expertise hinzuzuziehen. Des Weiteren erleichtert ein Miteinbinden aller Beteiligten in einem sehr frühen Stadium die Organisation und Kommunikation bzw. erhöht den Informationsstand jedes Einzelnen. Ein weiterer Aspekt betrifft die Information von etwaig betroffenen KundInnen und ggf. der Medien. Hier wirkt sich eine zu introvertierte Kommunikationspolitik nach außen in den meisten Fällen negativ aus. Regelmäßige Zusammenkünfte der Beteiligten für mündliche Statusupdates und besprechen der weiteren Schritte stellen ein sehr hilfreiches Werkzeug zur Organisation in solchen, von Chaos gekennzeichneten Situationen dar.
Im Falle des Angriffs auf die ZAMG wurde daher eine eher extrovertierte Rolle eingenommen. Ein Krisenteam rund  um den IT-Leiter und den Direktor, verstärkt durch alle Bereiche der ZAMG und der Public-Relations-Abteilung wurde gebildet, um auch die Kommunikation nach außen und gegenüber Medien zu koordinieren. Dieses Team bildet auch die direkte Schnittstelle zu den ermittelnden Behörden.

Aufgaben- und Rollenverteilung.
Die Aufgaben- bzw. Rollenverteilung wurde in Form einer Wiederherstellungsgruppe und einer Security- bzw. Forensikgruppe gebildet. Letztere wird in erster Linie die Fragen “WAS“, also „Welche Ereignisse sind wann eingetreten?“ und “WIE“, „Wo ist die eigentliche Sicherheitslücke?“, abklären müssen. Die Frage “WER“ ist hauptsächlich Gegenstand von nachträglichen Ermittlungen der Behörden. Das Team rund um die Wiederherstellung arbeitete natürlich in enger Abstimmung mit der Forensik. Mit Nachtschichten und einem grandiosen Teamwork konnte so eine Parallelinfrastruktur geschaffen werden, die es dem Forensikteam ermöglichte ihre Aufgabe voll und ganz zu erfüllen, ohne durch Aufräumarbeiten Spuren zu gefährden.

Zusammenfassend: Die genannten Punkte umreißen im Grunde ein etabliertes Krisenmanagement.
Koordination und Abstimmung, wie auch Kommunikation mit den ermittelnden Behörden ist essentiell. Jeder wusste im Fall ZAMG, was zu tun ist und wann er gebraucht wurde. Das IT-Team, verstärkt durch den Support, der nachts für Essen und Getränke sowie regelmäßige Pausen sorgte, war eine essentielle Hilfe. Lessions Learned und Nachbereitungen runden den Prozess, der erst 2 Monate nach dem Angriff abgeschlossen werden konnte, ab.
Trotz großer Anstrengung konnte der Täter oder die Täterin noch nicht gefasst werden – Ermittlungen laufen und werden von den Behörden und dem IT-Team unterstützt. Es sei gesagt, dass jedes Rädchen der IT ineinandergegriffen hat und nur dadurch einerseits eine schnelle Wiederherstellung der Systeme, als auch andererseits eine komplette Forensik durchgeführt werden konnte. Die IT-Leitung und die Security der ZAMG zollen Ihrem IT-Team für Einsatzbereitschaft und Zuverlässigkeit große Anerkennung.

von Dipl.-Ing. Mag. Günther Tschabuschnig und Michael Fuchssteiner, B.Sc.
ADV auf Xing
ADV auf Facebook
© 2015, ADV Arbeitsgemeinschaft für Datenverarbeitung