Aufgabe 4 – Sicherheitsvorfall - Analyse und Reaktion

Aufgaben – Verschlüsselung in der Praxis

Diese Aufgaben orientieren sich am Format und Anforderungsniveau der IHK-Abschlussprüfung für Fachinformatiker. Jede Aufgabe beschreibt eine realistische Arbeitssituation und enthält mehrere Teilaufgaben mit unterschiedlichen Aufgabentypen (Erklären, Auswählen, Planen, Bewerten).

Aufgabe 4 – Sicherheitsvorfall: Analyse und Reaktion (18 Punkte)

Handlungssituation: Bei der Techwerk GmbH wird ein Sicherheitsvorfall gemeldet. Der Webserver www.techwerk.de war für zwei Stunden nicht erreichbar. Im Nachgang stellt sich heraus, dass der private Schlüssel des TLS-Zertifikats auf einem kompromittierten Backup-Server lag. Zusätzlich wurde in den Server-Logs eine ungewöhnliche Anmeldeaktivität aus dem Ausland festgestellt.

Teilaufgabe 4a (4 Punkte)

Der Private Key des TLS-Zertifikats ist kompromittiert. Das Zertifikat läuft erst in 11 Monaten ab.

Beschreibt die sofort einzuleitenden Schritte in der richtigen Reihenfolge. Begründet, warum das Zertifikat nicht einfach weiter genutzt werden kann, bis es abläuft.

Teilaufgabe 4b (4 Punkte)

Ein Angreifer hat den verschlüsselten Datenverkehr des Webservers über die letzten 6 Monate aufgezeichnet und ist nun im Besitz des kompromittierten Private Keys.

a) Kann der Angreifer damit den aufgezeichneten Traffic entschlüsseln, wenn der Server Perfect Forward Secrecy eingesetzt hat? Begründet eure Antwort.

b) Wie überprüft ihr mit OpenSSL, ob die aktuelle TLS-Konfiguration des Servers PFS-fähige Cipher Suites nutzt?

Teilaufgabe 4c (6 Punkte)

In den Logs findet ihr folgende verdächtige Einträge:

[02:14:33] Failed password for root from 185.220.101.47 port 48223
[02:14:35] Failed password for root from 185.220.101.47 port 48224
[02:14:37] Failed password for root from 185.220.101.47 port 48225
[02:14:39] Failed password for root from 185.220.101.47 port 48226
...
[02:17:01] Accepted password for root from 185.220.101.47 port 48301

a) Um welchen Angriffstyp handelt es sich?

b) Welche drei Konfigurationsmaßnahmen hätten diesen Angriff verhindert? Nennt konkrete technische Maßnahmen.

c) Was muss als Sofortmaßnahme jetzt geschehen?

Teilaufgabe 4d (4 Punkte)

Nach dem Vorfall soll ein Sicherheitskonzept für die Administratoren-Zugänge erstellt werden. Der IT-Leiter möchte mindestens Zwei-Faktor-Authentifizierung für alle Admin-Logins.

Vergleicht TOTP und FIDO2 hinsichtlich Phishing-Resistenz und begründet, welche Methode ihr für Admin-Zugänge empfehlt.

Musterlösungen

Aufgabe 4a: Sofortmaßnahmen in Reihenfolge: (1) Zertifikat sofort bei der CA widerrufen (CRL/OCSP). (2) Neues Schlüsselpaar generieren. (3) Neues Zertifikat bei der CA beantragen. (4) Neues Zertifikat auf dem Webserver einrichten. Das kompromittierte Zertifikat kann nicht weitergenutzt werden, weil ein Angreifer mit dem gestohlenen Private Key aktive MITM-Angriffe durchführen kann – Browser würden das Zertifikat als gültig akzeptieren, obwohl die Kommunikation abgehört wird. Der Ablaufzeitpunkt ist irrelevant, sobald der Key in fremden Händen ist.

Aufgabe 4b: a) Nein. Bei PFS werden für jede Verbindung ephemere Schlüssel (z. B. ECDHE) erzeugt, die nach der Session gelöscht werden. Der Server-Private-Key dient nur zur Authentifizierung, nicht zur Ableitung der Session-Keys. Ohne die vergangenen ephemeren Schlüssel kann der Traffic nicht entschlüsselt werden. b) openssl s_client -connect www.techwerk.de:443 </dev/null 2>/dev/null | grep "Cipher" – PFS-fähige Cipher Suites enthalten DHE oder ECDHE im Namen (TLS 1.2) oder sind grundsätzlich PFS in TLS 1.3.

Aufgabe 4c: a) Brute-Force-Angriff (Passwortangriff durch wiederholtes Ausprobieren). b) (1) SSH-Schlüsselauthentifizierung aktivieren und Passwortanmeldung deaktivieren (PasswordAuthentication no). (2) PermitRootLogin no – direktes Root-Login verbieten. (3) Fail2ban oder ähnliches konfigurieren, um IPs nach mehreren Fehlversuchen zu sperren. c) Sofortmaßnahme: Zugriff für die kompromittierte Root-Session sofort sperren, alle aktiven Sessions beenden, Passwörter aller Konten ändern, System auf Veränderungen (Backdoors, neue Cron-Jobs, modifizierte Dateien) untersuchen.

Aufgabe 4d: TOTP-Codes können in Echtzeit abgephisht werden – ein Angreifer leitet den Code sofort an die echte Seite weiter. FIDO2-Authenticatoren binden den Private Key an eine spezifische Domain; auf einer Phishing-Domain verweigert der Authenticator die Signatur automatisch. Für Admin-Zugänge empfiehlt sich FIDO2 (z. B. YubiKey), da es die einzige echte Phishing-resistente 2FA-Methode ist. TOTP ist besser als kein 2FA, aber nicht ausreichend für privilegierte Zugänge.