IT-Forensik
Den Tätern auf der Spur
Nach einem Sicherheitsvorfall, ein sogenannter Incident, sind IT-Forensik-Experten gefragt, um die Auswirkungen zu ermitteln, die Systeme bei Bedarf wieder herzustellen und Maßnahmen zur Abwehr weiterer Angriffe zu ergreifen.
Ein Großteil deutscher Unternehmen aller Größen wurde in den letzten Jahren mindestens einmal Opfer eines Hackerangriffs. Das zeigt sich auch an der steigenden Zahl und der höheren Intensität von Cyber-Attacken. Dafür gibt es im Wesentlichen zwei Gründe: Auf der einen Seite haben die Angreifer ihre Methoden und Verfahren immer weiter verfeinert und auf der anderen Seite ist durch die zunehmende Digitalisierung die Komplexität der IT-Landschaften dramatisch angestiegen; damit haben sich auch die möglichen Angriffsflächen vervielfacht. Die Auswirkungen sind gravierend. Experten gehen davon aus, dass rund die Hälfte der erfolgreichen Angriffe zu Produktions- oder Betriebsausfällen führten.
In einigen Fällen werden Incidents sofort bemerkt; in anderen Fällen kann es Monate dauern, bis Unternehmen einen Sicherheitsvorfall entdecken. Aufgrund fehlender Ressourcen dauert es im Mittelstand oft besonders lang. In dieser Zeit befindet sich der Angreifer im Netzwerk und kann weitere Systeme kompromittieren oder Firmengeheimnisse stehlen – und das kann im schlimmsten Fall die Existenz kosten. Dabei muss der Täter nicht unbedingt von außen kommen, es können auch unzufriedene Mitarbeiter sein oder solche, die das Unternehmen bereits verlassen haben, die Daten entwenden. Nach Bekanntwerden eines Incidents sind IT-Forensik-Services gefragt, um den Schaden zu identifizieren und die Ursachen zu beseitigen.
Die Stunde der IT-Forensik
Aus einem Cyber-Angriff für die Verteidigung lernen – so lässt sich die Aufgabe der IT-Forensik mit wenigen Worten beschreiben. Dabei gibt es deutliche Analogien mit anderen Untergebieten der Forensik, etwa der Rechtsmedizin oder der forensischen Genetik. Die Gemeinsamkeit: Es geht immer um Methoden und Verfahren, um illegale Handlungen systematisch zu untersuchen. Das gilt auch für Computer- und Cyber-Kriminalität jeder Art, egal, ob Identitätsdiebstahl und -missbrauch von Bank- und Kreditkartendaten, Industriespionage, Datenklau durch Hacker und eigene Mitarbeiter oder Lösegelderpressung (Ransomware).
Forensische Analysen liefern Antworten auf die Kernfragen: Was ist passiert? Um welchen Datensicherheitsvorfall handelt es sich? Wie ist es geschehen? Wohin sind Daten abgeflossen? Lässt sich ein Täter ermitteln? Relevant ist dies etwa im Hinblick auf die Strafverfolgung. Und nicht zuletzt: Wie lässt sich eine Wiederholung vermeiden?
Angriffe erkennen
Um die Aktivitäten von Angreifern zu erkennen, nutzen Unternehmen Tools wie Intrusion-Detection-Systeme oder On-Access-Virenscanner, die weitgehend automatisiert ablaufen. Diese verändern Daten oder löschen sie teilweise, um eine Ausbreitung von Malware zu verhindern. Die von Forensikern genutzten speziellen Tools dürfen Daten nicht verändern, ansonsten sind sie nicht gerichtsverwertbar. Die unterschiedlichen Tools identifizieren beispielsweise Anomalien und Zwischenfälle in Betriebssystemen, Applikationen und Netzwerken. Zudem werden Endpoints und deren Arbeitsspeicher, Systemprozesse, Dateien und Speicher auf Anomalien, Angriffsspuren oder verdächtiges Verhalten hin untersucht. Das Gleiche gilt für abweichendes Verhalten in Applikationen und deren Nutzung. Verdächtige Endpoints können mit Einsatz von spezieller Hardware gesichert und untersucht werden.
Darüber hinaus werden bei Bedarf auch Datenbanken sowie das Verhalten von kritischen Accounts bei der Datenerfassung berücksichtigt. In einigen Fällen ist es ferner notwendig, eine detaillierte Netzwerkanalyse mit live mitgeschnittenen oder zuvor aufgezeichneten Daten durchzuführen.
- Den Tätern auf der Spur
- Umfassende Analyse relevanter Daten
- Hintergrund: Grundlegende Arten der IT-Forensik
Lesen Sie mehr zum Thema
