Langzeit-Paketaufzeichnung

Voraussetzung für eine effiziente IT-Forensik

15. Februar 2018, 13:49 Uhr | Autor: Aleš Mahler / Redaktion: Axel Pomper

Der Schutz ihrer Daten wird für Unternehmen zu einer immer größeren Herausforderung. Zur Einhaltung der DSGVO benötigen sie in Zukunft neben umfassenden Maßnahmen zum Schutz personenbezogener Daten vor allem auch Strategien und Lösungen zur retrospektiven Untersuchung von Sicherheitsverletzungen.

Denn nach den Vorschriften der DSGVO müssen Unternehmen zukünftig innerhalb von 72 Stunden die nationale Aufsichtsbehörde über Verletzungen des Schutzes personenbezogener Daten informieren und in der Lage sein, das Ausmaß der Datenrechtsverletzung zu ermitteln. Eine effektive forensische Strategie zur Gewährleistung der Netzwerksicherheit kann Unternehmen dabei helfen, nach einer Sicherheitsverletzung die notwendigen Informationen entsprechend den Vorschriften der DSGVO bereitzustellen.

Was müssen Unternehmen im Falle einer Datenrechtsverletzung tun?

Im Fall einer Datenrechtsverletzung müssen Unternehmen wissen, welche Art und Menge von Daten sowie welche Personen betroffen sind und welchem Risiko Letztere aufgrund der Sicherheitsverletzung ausgesetzt sind. Dazu müssen sie in der Lage sein, die kompromittierten Daten zu ermitteln sowie festzustellen, wann, wo und warum es im Netzwerk zu diesem Vorfall gekommen ist und wie der unbefugte Zugriff auf die Daten erfolgte. Hierzu stehen ihnen eine Reihe unterschiedlicher Hilfsmittel zur Verfügung, wie zum Beispiel Systeme zur Verhinderung von Angriffen (IPS), Systeme zum Management von sicherheitsrelevanten Vorfällen und Ereignissen (SIEM) sowie Log-Analysen von Drittanbietern. Diese Systeme nutzen entweder kennzahlbasierte Daten, wie System-Log-Dateien, oder Flussdaten zum Erkennen und Analysieren. Während diese Hilfsmittel Sicherheitsverletzungen überwachen, verhindern und melden können, weisen sie jedoch Grenzen hinsichtlich ihrer Nutzung für eine retrospektive forensische Untersuchung auf. Häufig basieren ihre Informationen lediglich auf Kennzahlen sowie Schätzungen, zudem kann die Qualität der verfügbaren Logging-Daten schwanken. Solche Einschränkungen erschweren es, die Art und das Ausmaß des Angriffs korrekt einzuschätzen und eindeutige Aussagen darüber zu treffen, ob ein Missstand bereits behoben und die Daten gesichert wurden. Abhilfe kann hier ein Langzeit-Monitoring und eine lückenlose Paketaufzeichnungslösung schaffen.

Die Überwachungskamera für das Netzwerk: Lückenlose Langzeit-Paketaufzeichnung

Um Sicherheitsverletzungen in vollem Umfang nachzuvollziehen und beheben zu können, benötigen Unternehmen eine historische Paketaufzeichnungslösung sowie die aus den Paketen abgeleiteten Metadaten. Ähnlich einer Überwachungskamera kann eine Observer-Plattform dabei die Aufnahme, Speicherung, Wiedergabe und Analyse des gesamten Netzwerkverkehrs gewährleisten und ein vollständiges Bild davon zeigen, was bei einer Sicherheitsverletzung passiert ist. Mithilfe der Datenpakete ist die IT-Abteilung anschließend in der Lage, die Netzwerkkonversationen zu rekonstruieren. Dies ermöglicht nach Bekanntwerden des Angriffs eine umgehende DSGVO-konforme forensische Sicherheitsuntersuchung.

Anforderungen an die Langzeitaufzeichnung

Eine geeignete Paketaufzeichnungslösung zeichnet sich durch Kriterien, wie eine leichte Einbindung und Handhabung sowie ausreichender Speicherkapazität, der Fähigkeit zur Erfassung von Paketdaten und einer schnellen Fehlerdiagnose, aus. Die Langzeitaufzeichnung von Paketdaten erfolgt am besten mit Hilfe spezieller Technik, die im Netzwerk installiert wird und den gesamten Netzwerkverkehr nach AES-256 verschlüsselt und speichert. Sie erlaubt es, alle Datenpakete ohne Verluste, Slicing oder sonstige Manipulationen aufzuzeichnen und zu sichern. Dabei ist besonders die lückenlose Dokumentation aller Netzwerkpakete entscheidend: Sämtliche Pakete müssen aufgezeichnet, verschlüsselt und sicher gespeichert werden, um die Netzwerkkonversationen zur forensischen Untersuchung rekonstruieren zu können. Denn fehlende oder verworfene Pakete können zu einer unvollständigen Analyse und Sicherheitsbewertung führen, deren Ergebnisse möglicherweise keine Aussagekraft besitzen. Um ein zukünftiges Wachstum des Netzwerks zu ermöglichen, empfiehlt sich zudem die lückenlose Paketaufzeichnung von eingehendem Netzwerkverkehr bis 40 Gbit/s.

Vorteile der forensischen Analyse für Unternehmen

Im Fall einer DSGVO-Untersuchung können Unternehmen mithilfe der Langzeitaufzeichnung beispielsweise nachweisen, dass sie ausreichend vorbeugende Maßnahmen ergriffen haben, um sich vor derartigen Sicherheitsverletzungen zu schützen. Außerdem kann die Aufzeichnung belegen, dass angemessene Verfahren zur effektiven Untersuchung von Sicherheitsverletzungen eingerichtet wurden. Durch die Langzeit-Paketaufzeichnung und forensische Analyse können Unternehmen sämtliche Informationen und notwendige Beweise erhalten, um in vollem Umfang und zeitnah (innerhalb von 72 Stunden) mit der Aufsichtsbehörde zusammenzuarbeiten und dem Verstoß abzuhelfen. Hinsichtlich der Fehlerdiagnose ermöglicht die forensische Analyse zudem zu ermitteln, welche Daten kompromittiert wurden, wie der Zugriff gelang und zu welchem Zeitpunkt die Datenrechtsverletzung erfolgte. Unternehmen können so den Ursprung des Angriffs sowie an der Sicherheitsverletzung beteiligte Nutzer identifizieren. Mit Hilfe der Anzeige von Anwendungsabhängigkeiten, die aus den Paketdaten abgeleitet wurden, lassen sich die Geräte identifizieren, die in die Aufzeichnung, Analyse und Speicherung personenbezogener Daten eingebunden sind. Damit ist es möglich, die Netzwerknachrichten für einen ausgewählten Zeitraum vor dem Angriff wiederherzustellen, um nachzuweisen, dass die Datenrechtsverletzung nicht durch unzureichende Sicherheitsmaßnahmen eingetreten ist, sondern durch schädliche externe Einflüsse zum Zeitpunkt des Angriffes verursacht wurde. Die forensische Analyse liefert zudem Nachweise darüber, dass eventuell vorhandene Schadsoftware entfernt sowie Maßnahmen ergriffen wurden, um den Schaden für die betroffenen Personen zu mindern. Zusätzlich kann das Image des Unternehmens geschützt werden: Im Fall einer DSGVO-Untersuchung kann die IT-Forensik einen vorsätzlichen Verstoß ausschließen und Beweise für unvorhersehbare Umstände liefern.

Aleš Mahler ist Account Executive bei Viavi Solutions