Eindämmung

Oft ist eine abschließende Lösung des Problems nicht sofort möglich. So ist z.B. das Einspielen von Patches während des Betriebs nicht gestattet (Service Level Agreements) oder man möchte laufende Jobs / Experimente nicht abbrechen. Dennoch gilt es, weiteren Schaden, speziell bei Dritten, zu verhindern (z.B. durch Würmer, DDoS-Angriffe, usw.). Manchmal ist Eindämmen sogar die einzige verbleibende Option, weil es keine "endgültige" Lösung gibt, z.B. während eines DDoS Angriffs.

Grundsätzlich steht hinter Eindämmungsmaßnahmen immer die Abwägung zwischen dem eigenen Schaden durch die Maßnahmen (z.B. durch Abschaltung von Diensten) und dem (potentiellen) Schaden anderer durch Untätigkeit. Einige Maßnahmen werden nur kurzfristig ergriffen, bis eine Wartung des Systems möglich ist.

Lokale Eindämmungsmaßnahmen können sein:

  • Entfernen gehosteter Daten (Malware, Warez),
  • Sperren kompromittierter Accounts,
  • Abschalten angegriffener / gefährdeter Dienste,
  • Oberflächliches Säubern des Systems mit Virenscannern, Anti-Spyware und Ähnlichem,
  • Entfernen erkannter Hintertüren im System.

Eindämmungsmaßnahmen im Netz umfassen:

  • Beschränken des betroffenen Systems auf ein Quarantänenetz,
  • Sperren bestimmter Dienste oder Protokolle,
  • Einsetzen eines Rate Limit für bestimmte IP-Adressen oder Protokolle (lokal oder beim ISP),
  • Sperren ausgewählter eigener IP-Adressen beim ISF oder Upstream-ISF.