IT-Forensik
Den Tätern auf der Spur
Fortsetzung des Artikels von Teil 1
Umfassende Analyse relevanter Daten
Wichtig ist, die im definierten Umfeld gespeicherten und potenziell forensisch bedeutsamen Daten zu erfassen. Dazu zählen etwa auch Hardwaredaten, die durch Betriebssysteme und Applikationen nicht oder nur sehr eingeschränkt verändert werden. Beispiele dafür sind Virtualisierungsdaten, die von einem Host-Betriebssystem, nicht aber durch das Betriebssystem eines Clients modifiziert werden können.
Erfasst werden bei einer umfassenden forensischen Untersuchung sowohl persistente als auch flüchtige Metadaten, etwa die MAC-Zeiten von Dateien oder Sequenznummern von Netzwerkpaketen. Dazu kommen die Konfigurationsdateien von Hardware, Betriebssystemen und Applikationen. Deren Auswertung zählt zu den Kernbestandteilen der IT-Forensik. Von Interesse sind einerseits die Daten der aktiven Konfigurationen und andererseits Logdaten, die wichtige Erkenntnisse über die jeweils protokollierten Ereignisse liefern, beispielsweise über Datenabflüsse ins Internet oder das Einbinden beziehungsweise die Entfernung portabler Storage-Systeme.
Bedeutsam sind darüber hinaus Protokolldaten, die die Kommunikationsbeziehungen der Hardware und Software untereinander dokumentieren. Dies beinhaltet auch Netzwerkkonfigurationsdaten. Dazu kommen Session-Daten, die ein System während einer Sitzung sammelt, die von einem Betriebssystem, einer Anwendung oder einem Benutzer, der Websites aufruft, initiiert wurde. Relevant sind ferner Aufzeichnungen von Netzwerk- und Systemmanagement-Tools. Anhand einer intensiven Auswertung all dieser Daten können IT-Forensiker beispielsweise die Ausbreitung sowie die Wege von eingeschleuster Malware verfolgen und Antworten auf die zentralen W-Fragen liefern: Was ist geschehen? Wie ist es passiert? Wohin sind Daten abgeflossen? Wer ist dafür verantwortlich?
Allerdings nutzen Unternehmen das Potenzial und die Erkenntnisse, die in einer systematischen Untersuchung digitaler Angriffe steckt, bislang nur in einem geringen Umfang. Selbst dann, wenn das Sicherheitsbewusstsein vorhanden ist, folgen oft noch keine Taten. Das belegen unterschiedliche Studien immer wieder. Bei einer beachtlichen Zahl von Unternehmen reichen die implementierten Maßnahmen kaum über Standardlösungen hinaus. In anderen Fällen wird – oft aufgrund fehlender interner Ressourcen – die vorhandene anspruchsvolle Software nicht effizient genutzt. Vor allem aber können sich mit dem Inkrafttreten der EU-Datenschutz-Grundverordnung unzureichende Maßnahmen in ihren Auswirkungen als fatal erweisen.
Sofortmaßnahmen und Präventionsberatung
Den Abschluss der forensischen Analyse eines Sicherheitsvorfalls bilden Sofortmaßnahmen und eine Präventionsberatung. Dazu gehört etwa die Durchführung einer Bestandsaufnahme und einer Risikoanalyse durch erfahrene Experten für Informationssicherheit und Risikomanagement. Dem sollte eine eingehende und in besonders sensiblen Unternehmensbereichen auch wiederkehrende Mitarbeiterschulung zur Stärkung des Sicherheitsbewusstseins folgen. Darüber hinaus sollten Unternehmen ein ganzheitliches Konzept für Cyber-Defense einführen, das Prävention, Erkennung, Abwehr sowie die schnelle und richtige Reaktion auf Angriffe jeder Art umfasst.
Sebastian Fuchs ist IT Security Consultant bei NTT Security
- Den Tätern auf der Spur
- Umfassende Analyse relevanter Daten
- Hintergrund: Grundlegende Arten der IT-Forensik
Lesen Sie mehr zum Thema
