Reaktion auf sicherheitsrelevante Vorfälle?

Moin Experten,

ich bin zur Zeit dabei, betriebsinterne Prozesse für die Reaktion auf sicherheitsrelevante Vorfälle zu entwerfen. So nach dem Muster „Wer tut was, wenn man merkt, dass an dem PC XYZ jemand versucht ein Hacker-Programm aufzurufen?“.

Also nicht die Pläne für die großen Katastrophen (so was findet man ja beim BSI), sondern für den alltäglichen Wahnsinn. Irgendwie muss man doch auch in so trivialen Fällen wie oben festlegen, welche Maßnahmen getroffen würden:
[] sofort standrechtlich erschießen
[] Abmahnung
[] Mail an Personalvorgesetzten
[] heute kein Nachtisch in der Kantine

Ok, Spaß beiseite…

Mein Problem: ich finde dafür keine Muster/Vorlagen/Beispiele im Netz. Kann natürlich auch sein, dass Tante Kugel und ich mit völlig falschen Begriffen suchen.

Wer kann mir helfen?

Gruß
Stefan

ich bin zur Zeit dabei, betriebsinterne Prozesse für die
Reaktion auf sicherheitsrelevante Vorfälle zu entwerfen. So
nach dem Muster „Wer tut was, wenn man merkt, dass an dem PC
XYZ jemand versucht ein Hacker-Programm aufzurufen?“.

Woran machst Du ein Hacker Programm fest? Hast Du eine magische Liste von sowas? Was machst Du, wenn jemand sich sowas selber schreibt? Evtl. solltest Du Dir lieber über Benutzerkonten und Rechteverwaltung einen Kopf machen. Oder mal konkreter Beschreiben, was Deine Probleme sind.

Hi,

Woran machst Du ein Hacker Programm fest?

Das war ein Beispiel!!! Meine Güte…

Hast Du eine magische Liste von sowas?

Ich nicht, aber McAfee. (über die Qualität kann man streiten…)

Was machst Du, wenn jemand sich
sowas selber schreibt? Evtl. solltest Du Dir lieber über
Benutzerkonten und Rechteverwaltung einen Kopf machen.

Keine Sorge, wir sind in dieser Hinsicht relativ gut geschützt. Darum schrieb ich ja auch im Beispiel „versucht … aufzurufen“ - er kann es nämlich nicht. Aber vergleiche das mal mit einer Panzerglasscheibe: klar kann ich einfach ignorieren, wenn einer mit dem Gummihämmerchen drauf eindrischt: er wird nicht durchkommen. Besser ist es aber doch, den Typen zu greifen, bevor er mit der Panzerfaust ankommt.

Meine Anfrage hier dreht sich nicht um technische Maßnahmen, sondern um organisatorische. Falsches Brett?

Gruß
Stefan

Hi,

Woran machst Du ein Hacker Programm fest?

Das war ein Beispiel!!! Meine Güte…

Ja, eben! Du hast Lorgans Ansatz nicht verstanden. Lies es nochmal.

Was machst Du, wenn jemand sich
sowas selber schreibt? Evtl. solltest Du Dir lieber über
Benutzerkonten und Rechteverwaltung einen Kopf machen.

Keine Sorge, wir sind in dieser Hinsicht relativ gut
geschützt. Darum schrieb ich ja auch im Beispiel „versucht …
aufzurufen“ - er kann es nämlich nicht. Aber vergleiche das
mal mit einer Panzerglasscheibe: klar kann ich einfach
ignorieren, wenn einer mit dem Gummihämmerchen drauf
eindrischt: er wird nicht durchkommen. Besser ist es aber
doch, den Typen zu greifen, bevor er mit der Panzerfaust
ankommt.

Meine Anfrage hier dreht sich nicht um technische Maßnahmen,
sondern um organisatorische. Falsches Brett?

Nein, richtiges. Aber Dein Ton macht auch die Musik.

Also: Es gibt vom BSI auch hierzu einen Notfallmassnahmenplan (Notfallhandbuch).
Darüberhinaus ist die Vorgehensweise: Feststellung DAS es sich um Problem XY handelt - Problem kategorisieren (z.B. A, B, C) - Je anch Kategorie massnahme X, Y, Z durchführen (also einfach strukturiert vorgehen).
Wo liegt hierbei jetzt das Problem?

Hy,

Mein Problem: ich finde dafür keine Muster/Vorlagen/Beispiele
im Netz. Kann natürlich auch sein, dass Tante Kugel und ich
mit völlig falschen Begriffen suchen.

Gibt es nicht. Ist Firmensache. Es gibt Vorgaben (Grundschutzhandbuch) dessen man dann seine eigenen Policys anpassen kann unter Zuhilfenahme der gesetze aussenrum. Das ist nun male in thema für sich

gruß
h.

Hallo h.,

Gibt es nicht. Ist Firmensache. Es gibt Vorgaben
(Grundschutzhandbuch) dessen man dann seine eigenen Policys
anpassen kann unter Zuhilfenahme der gesetze aussenrum. Das
ist nun male in thema für sich

Das einzige, was ich beim BSI finde, was auch nur annähernd in meine Richtung geht, ist ein Musteraushang im Stil „Bei Feuer rufen Sie die 112, bei Virusbefall rufen Sie den Sicherheitsbeauftragten,…“

Das nützt mir allerdings nichts. Was ich suche (bzw. was ich versuche zu erstellen) ist eine Prozessbeschreibung, wie man auf Meldungen der diversen Sicherheitssysteme reagiert.

Konkret: Ich bekomme, die Meldungen, dass Benutzer X in den letzten 10 Minuten nacheinander versucht hat winguggle, keyfinder und rockxp aufzurufen - und natürlich jedesmal gescheitert ist. Was mache ich? Abwarten bis er das Tool findet, das unsere Sicherheitslösung nicht kennt und daher nicht blockt? Das kann es ja nicht sein. Also muss ja als Reaktion ein Prozess anlaufen, der nicht nur definiert sein muss, sondern bei dem vor allem alle Beteiligten (z.B. Betriebsrat, Personalstelle, „Chefs“) ihre Rolle kennen und im Vorfeld akzeptiert haben.

Ich hoffte halt, ich müsste das Rad nicht neu erfinden, sondern könnte auf Muster zurückgreifen. Ok, wenn nicht ist, dann ist nicht…

Trotzdem Danke!

Gruß
Stefan

Ja, eben! Du hast Lorgans Ansatz nicht verstanden. Lies es
nochmal.

Ich hab schon verstanden, was er geschrieben hat - allerdings hatte ich das Gefühl, dass er meine Ausgangsfrage nicht verstanden hat. Er wollte mir technische Lösungen anbieten für ein organisatorisches Problem.

Nein, richtiges. Aber Dein Ton macht auch die Musik.

Sorry, aber wenn man mir auf eine Frage, bei der ich mich bemüht habe klar zu machen, dass es *nicht* um ein technisches Problem geht, ein „mach’ erst mal deine Hausaufgaben und deine Rechner dicht!“ hingeworfen bekommen, werde selbst ich leicht gereizt.

Aber ich vermute, dass ist alles mal wieder ein Problem der unklaren Kommunikation und eines gründlichen gegenseitigen Missverstehens.

Wenn ich einem von Euch beiden auf den Schlips getreten habe, bitte ich um Entschuldigung. Keine Absicht.

Wo liegt hierbei jetzt das Problem?

Siehe meine Antwort an Dich weiter oben.

Gruß
Stefan

Hallo h.,

Gibt es nicht. Ist Firmensache. Es gibt Vorgaben
(Grundschutzhandbuch) dessen man dann seine eigenen Policys
anpassen kann unter Zuhilfenahme der gesetze aussenrum. Das
ist nun male in thema für sich

Das einzige, was ich beim BSI finde, was auch nur annähernd in
meine Richtung geht, ist ein Musteraushang im Stil „Bei Feuer
rufen Sie die 112, bei Virusbefall rufen Sie den
Sicherheitsbeauftragten,…“

Siehe https://www.bsi.bund.de/ContentBSI/grundschutz/katal…

Das Konzept ist doch das entscheidende.

Konkret: Ich bekomme, die Meldungen, dass Benutzer X in den
letzten 10 Minuten nacheinander versucht hat winguggle,
keyfinder und rockxp aufzurufen - und natürlich jedesmal
gescheitert ist. Was mache ich?

Falsche Fragestellung: Das System meldet (

Nein Du hast meine Frage offenbar nicht verstanden. Es ist sehr, sehr schwierig eine Blacklist für derartige Programme zu pflegen. Das ist es insbesondere, wenn die Benutzer direkt in Deinem Lan an Deinen Rechnern sitzen und lokal von allein böse Dinge tun können. Das wollte damit sagen, daß Du Dich evtl. in falscher Sicherheit wiegst, wenn Du allein auf so eine Liste baust, je nach dem was bei Deiner Klientel so alles abgeht.

Dir wird einzig helfen, in die Systemlogs zu schauen, die Meldungen Deiner wie auch immer gearteten Schutzsoftware zu schauen und mit gesundem Menschenverstand abzuschätzen, wo jemand mit Absicht böse Dinge tut. Da ich Deine Gegebenheiten, Sicherheitsanforderungen und Benutzer nicht kenne, kann ich dazu leider nicht konkreter Stellung beziehen.

Nein Du hast meine Frage offenbar nicht verstanden.

Yup. Missverständnis - wie ich sagte.

Das wollte damit sagen, daß Du Dich evtl. in
falscher Sicherheit wiegst, wenn Du allein auf so eine Liste
baust, je nach dem was bei Deiner Klientel so alles abgeht.

Nö, wirklich nicht. Ich hab’ den CEH Kurs mitgemacht und mache mir seitdem nicht mehr viel Illusionen über Sicherheit. Hängen wir uns auch nicht an diesem einen Beispiel auf, dass der Virenschutz rumplärrt. Genauso gut könnte eine Meldung vom Content-Scanner, vom Firewall, vom Cacti, vom NAC - oder vom dienst-beflissenen Denunzianten vom Nachbar-Schreibtisch kommen.

Aber wie erwähnt: mein jetziges Problem ist ein organisatorisches. Little h. erwähnt oben so schön „fülle aus was deine Firma vorschreibt“ - sie schreibt aber (noch) nichts vor! Ich bin noch viel weiter am Anfang. Wir haben zwar festgeschriebene Regeln, was die MA’s alles nicht dürfen, aber keine Regeln, was passieren soll, wenn sie doch mal dabei erwischt werden. Gesetze helfen nur bei eindeutig illegalen Handlungen.

Stefan62: „Chef! Was machen wir wenn mal was passiert? Wie sind da die Firmen-Vorschriften?“
Chef: „Tja, Herr S62, dann entwerfen Sie doch mal Vorschriften. Die werden dann der GL zur Genehmigung vorgelegt“
Stefan62: *panisch* „Vorschriften? Entwerfen?! Ich???“
Chef: „Ja wer denn sonst? Sie sind doch für den Sicherheitskram zuständig!“
Stefan62: O_________O

Gruß
Stefan
(geht jetzt mal eine Runde in die Auslegware beißen)

Was tun, wenn´s brennt?
Hallo,

1.) Handfeste Policy aufsetzen

In dieser ist klar geregelt, was erlaubt und verboten ist und auch, dass, wenn objektiv von einer Gefährdung ausgegangen werden kann, der Admin alle Maßnahmen treffen darf, um Schaden abzuwenden.

1.) Die Verantwortlichkeiten klären

D.h., dass die IT entsprechende Befugnisse erhalten muss.

Ich sperre im Zweifelsfall lieber den Account des Geschäftsführers, als mir die Pest ins LAN zu holen. Und selbst bei einem Fehlalarm sollte der betreffende User dafür Verständnis haben.

Wenn unter einer verschlossenen Toilettentür Rauch herausquillt, würde auch jeder zur Gefahrenabwendung die Tür eintreten. Es liegt in der Natur der Sache, dass man so eine Entscheidung ggf. fälschlicherweise trifft, weil man nur über begrenzte Informationen und Entscheidungszeiträume verfügt. Aber man lässt es ja nicht brennen, nur weil ggf. oder vielleicht oder eventuell doch nur jemand mit Rauchgranaten in der Toilette spielen könnte.

Kurzum: Derjenige, der die Verantwortung für die IT Sicherheit trägt, muss die Entscheidungsfreiheit haben, bei erkennbaren Risiken alles vertretbare einzuleiten. Grundlage dafür ist eine eindeutige Policy und klare Befugnisse und Verantwortlichkeiten.

Spätestens nachdem man den Entscheidern die Gefahren und Risiken sachlich vermittelt hat, sollte die entsprechende Kompetenz für die IT problemlos erteilt werden.

Gruß

S.J.

Hallo,

Stefan62: „Chef! Was machen wir wenn mal was passiert? Wie
sind da die Firmen-Vorschriften?“
Chef: „Tja, Herr S62, dann entwerfen Sie doch mal
Vorschriften. Die werden dann der GL zur Genehmigung
vorgelegt“
Stefan62: *panisch* „Vorschriften? Entwerfen?! Ich???“
Chef: „Ja wer denn sonst? Sie sind doch für den
Sicherheitskram zuständig!“

Das ist doch eine Super Ausgangsposition!
D.h. DU darfst entscheiden, was passieren soll
Habt Ihr bereits Vorschriften, was die Nutzer dürfen und was nicht?
Dann kannst du danach ja mal Vorschläge machen, z.B.
(nichtsicherheitsrelevante, geringfügige) Verstöße gegen die Vorschrift - Abmahnung
sicherheitsrelevante Verstöße oder wiederholte geringfügige Verstöße - Entlassung
oder einfach nur Information an den Vorgesetzten bzw. die Geschäftsleitung, und der hat dann zu entscheiden.

Ich kann nur mal erzählen, wie es bei uns läuft: wir stellen häufig Verstöße gegen unsere Vorschriften fest.
Das kann z.B.eine Installation von Programmen durch den Mitarbeiter sein. Üblicherweise stellen wir in einem solchen Fall einfach den Urzustand für den PC her, der nur die Standardprogramme enthält und führen ein belehrendes Gespräch. Meist handelt es sich hier nämlich eher um Unkenntnis des Mitarbeiters.
In einem Fall gab es eine Kündigung, da ging es um Manipulation von Daten durch einen unberechtigten Mitarbeiter. Das ist aber letztendlich immer eine Einzelfallentscheidung der Geschäftsleitung.

LG Beatrix

Hallo, aus aktuellem Anlass
http://www.uni-kiel.de/?Brand_in_der_Stromversorgung…

und daraus resultierender Langeweile konnt ichs mir nicht verkneifen

Gruß burli
in Zwangsurlaub zu Haus

Hallo,

bevor Du weiter selbst rummurkst und im Zweifelsfall alles mögliche falsch machst, hol Dir doch lieber einen qualifizierten Berater ins Haus. Wenn Probleme mit der Definition einer simplen Prozedur für den Fall eines entdeckten Hackerangriffs bestehen, dann sind sicher noch ganz viele viel wichtigere Dinge ganz fürchterlich im Argen.

Lieber ein paar Tagessätze für eine sinnvolle gap Analyse bezahlen, als weiter im Nebel stochern.

Gruß

Fritze