It- Notfall eine Handreichung zum Überleben

Gut, aber sehr Abstrakt hat das BSI die Schritte dargestellt und zusammengefaßt.

weitere Quellen:

Dokumentation

Eine gute Dokumentation der Systeme z.B. auf einen externen Wiki Server oder ähnlichen kann das Überleben vereinfachen. Sollten eine solche Möglichkeit nicht vorhanden sein, ist ein Aktenordner eine gute Hilfe.

Passwortmanager

Passwort-Manager stellen sicher, dass auf jedem System extra Passwörter exsistieren, die auf keinen Fall ein zweites mal vergeben werden dürfen. Wir benutzen Keepass2-Datenbanken dafür. Diese können z.B. über eine WEBDAV-Share auf praktisch allen modernen Geräten verwendet werden.

Damit sind zugleich die Passwörter immer und überall verfügbar. Das Backup der Passwort-Datenbank kann über Partner und Freunde per Signal, Threema und Notfalls auch über Whatsapp und co. einmal im Monat verteilt werden und ist damit dem Einflussbereich der Ransomware entzogen.

Für die Webdav-Bereitstellung benutzen wir unsere Nextcloud.

Stillstand ist ein sicherer Zustand

Bei Verdacht eines IT-Sicherheitsvorfalls ist der Stillstand der Systeme immer eine gute Ausgangsbasis um eine weitere Verbreitung zu verhindern. Dazu:

  • Netzwerk abschalten: WLAN aus, Netzwerkstecker ziehen, im Zweifel stromlos
  • Strom abschalten, nicht herunterfahren
  • Internetverbindung kappen, also Router stromlos.

Damit verliert die Praxis nun praktisch jede Möglichkeit nach außen zu kommunizieren. Evtl. bleiben die Moblitelefone noch verfügbar. ABER: Emails sind tot, Fax ist tot, Telefonie ist tot, denn es geht alles über den Router. Stellt also jemanden ab, der die Kommunikation mit den Patient*innen übernimmt. Leitet den Festnetzanschluß auf ein Mobiltelefon um. Der Anbieter des Internetanschlusses kann euch dabei helfen.

Ein weiterer Nachteil bei der radikalen Trennung vom Stromnetz ist dabei, dass die Inhalte des Arbeitsspeichers verloren gehen und damit die forensischen Möglichkeiten eingeschränkt werden.

Was dürfen wir nicht tun (DO NOT)

https://www.cmu.edu/iso/governance/procedures/compromised-computer.html

  • Kein Login auf den Systemen
  • Kein sauberes Herunterfahren
  • Keinen Virenscanner online im laufenden System starten
  • Keine Aktionen der online Virenscanner zu lassen
  • Keine Emails löschen
  • Kein online Backup machen

Online meint in diesem Kontext, dass laufende und ggf. kompromitierte System

Prüfung der Systeme

Welche Systeme sind betroffen. Die Frage klingt komplizierter als es ist. Dazu ein paar Tipps

  • Logfile Analyse
    • Welche Rechner haben miteinander kommuniziert
    • Gab es verdächtigen Datenverkehr in Richtung Internet
    • Was wurde auf den Rechner geändert
    • Prüfung der Logfiles der eMail-Systeme
    • Logs der Firewall Systeme
  • Prüfung der Benutzerverwaltung ADDS/LDAP
    • gibt es Benutzer im System, die dort nicht hingehören
    • gibt es Benutzer, die administrative Rechte haben.
    • gibt es Administratoren auf den Systemen die keiner angelegt hat.
    • gibt es Zugriffe zu ungewöhnlichen Zeiten

Prüfung der Arbeitsplatzrechner

Arbeitsplatzrechner werden grundsätzlich neu installiert. Eine Dekontamination scheidet bei einfachen PC’s aus. Eine Prüfung der Arbeitsplatzrechner ist allenfalls aus forensischen Gründen erforderlich und wird auch nur dazu durchgeführt. Sehr fortschrittliche Techniken wie das Infizieren von BIOS oder TPM – Modulen sind in der Fläche extrem selten. Ein Austausch der Hardware ist daher regelmäßig nicht erforderlich.

Prüfung der Server

Die Dekontaminierung und Prüfung der Server erscheint deutlich sinnvoller. Problematisch ist, dass moderne Schädlinge polymorph sind nund daher auch mit Signaturen nur schwer erkennbar sind. Aus meiner Sicht der Dinge ist der sichere Weg auch die Server neu zu installieren und nur wesentliche Daten zu migrieren.

Der unsichere Weg ist es die Server mit möglichst vielen Erkennungsmethoden zu behandeln. Dazu bietet sich die c’t Desinfec’t aus dem Heise Verlag an.