zurück zur Übersicht

IT Forensik – Digitale Spurensuche

„Kalte“ Spuren?

Digitaler Tatort: Die IT-Forensik beschäftigt sich mit Spurensicherung im CyberspaceViele betroffene Unternehmen bemerken erst nach Wochen oder Monaten, dass sich jemand in ihr Netzwerk eingeschlichen hat. Um zu rekonstruieren und transparent darzustellen, was passiert ist, beschäftigt sich die IT-Forensik mit der Untersuchung von IT-Systemen nach bzw. während Angriffen. Sie dient der Sicherung von Spuren, der Aufklärung von Vorfällen, sowie der gerichtsverwertbaren Beweissicherung. Für viele Unternehmen stellt sich die Frage – Wie sollte im Ernstfall gehandelt und welche proaktiven Maßnahmen können ergriffen werden?

Wird bemerkt, dass beispielweise verschiedene Hosts mit Malware infiziert sind, personenbezogene oder geschäftskritische Daten entwendet wurden oder sich jemand unbefugten Zugriff auf die IT-Infrastruktur verschafft hat, ist es oft schon zu spät und die Informationen bereits in den Händen des Angreifers. In diesem Fall hilft die forensische IT den Sachverhalt aufzuklären. Wie konnte der Angreifer in das System eindringen? Welche Schwachstelle wurde ausgenutzt? Auf welche Informationen hat er zugegriffen? Wurden Daten exfiltriert oder manipuliert? Das alles sind Fragen, die für eine forensische Untersuchung eine zentrale Rolle spielen. Daraus ergibt sich auch der Änderungsbedarf, um es künftigen Einbrechern wesentlich schwerer zu machen.

Vom Verdacht zum Beweis

Sind Indizien für einen Angriff erkannt oder eine fragwürdige Aktion über einen Zeitraum beobachtet worden, müssen erste Spuren und Beweise gesichert werden. An dieser Stelle sollte sich jeder Administrator die Frage stellen: verfüge ich über das entsprechende Know-how und Werkzeug, diese Untersuchung durchzuführen? Wird diese Frage mit Nein beantwortet, sollten externe Spezialisten mit ins Boot geholt werden. In der IT-Forensik wird grundsätzlich zwischen einer gerichtsverwertbaren Analyse und einer Analyse, die vor Gericht keinen Bestand hat  unterschieden.

  • Für gerichtsverwertbare Forensik muss folgendes Gewährleistet sein:
  • Eine gerichtsfeste forensische Untersuchung muss von Experten durchgeführt werden
  • Des 4-Augen Prinzip muss beachtet werden: Jede Untersuchung ist zumindest doppelt unabhängig zu verifizieren
  • Für die Analyse von Beweismitteln sollten speziell für diesen Zweck betriebene Rechner und entsprechend anerkannte Software verwendet werden.
  • Die Beweismittel, z.B. kopierte Festplatten, dürfen auf keinen Fall verändert und müssen sicher verwahrt werden.
  • Um den ursprünglichen und unveränderten Zustand der Beweismittel sicherzustellen, bedarf es in der Regel entsprechender Hardware, z.B. einem Write-Blocker.
  • Zudem bedarf jeder Zugriff auf Beweismittel einer genauen Dokumentation, da sonst die Beweiskraft verloren geht.

Die gerichtsverwertbare Beweissicherung dient insbesondere der straf- und zivilrechtlichen Verfolgung des Angreifers nach abgeschlossener Analyse des Vorfalls. Da zu Beginn der Untersuchung zumeist unklar ist, ob Rechtsmittel sinnvoll sind, empfiehlt sich daher die gerichtsfeste Beweissicherung.

Die Spuren werden nun von einem Experten (-team) identifiziert und analysiert sowie die Analyseergebnisse verifiziert. In einem nachvollziehbaren Bericht wird dann das Ergebnis der Spezialisten zusammengefasst und präsentiert. Um genau feststellen zu können, welche Tätigkeiten auf den Angreifer und welche auf den Administrator, z.B. bei der ersten Spurensuche, zurückzuführen sind, sollte der Administrator bei Verdacht eines Angriffes alle seine durchgeführten Aktion detailliert dokumentieren. Die interne IT steht den Experten während der Analysephase unterstützend zur Seite und wird nach Abschluss der Analyse in das Recovery-Verfahren integriert. Die Gewinnung und die juristisch einwandfreie Behandlung von Beweismitteln sind die Grundlage einer erfolgreichen Ermittlung.

Welche proaktiven Maßnahmen können ergriffen werden?

Aufgrund der rasanten Entwicklung, ist es praktisch unmöglich ein System gegen alle Schwachstellen abzusichern. Fand ein erfolgreicher Angriff statt, ist es daher von hoher Bedeutung, zumindest das Vorgehen des Angreifers transparent darzustellen, um Beweise zu sichern und aus möglichen Fehlern zu lernen. Die Risikobewertung sollte frühzeitig als Teil der strategischen Vorbereitung berücksichtigt werden. Für das Unternehmen ist es relevant, im Vorfeld die Bedrohungssituation der IT-Systeme abzuschätzen.

Schlüsselbaustein der digitalen Forensik ist ein SIEM (Security Information & Event Management) für die Erkennung von Systemstörungen, Angriffen und entsprechender Warnfunktion im Netzwerk. Moderne SIEM Systeme archivieren auch Daten über größere Zeiträume, so dass Ereignisse, die zunächst harmlos erscheinen, auch im nachhinein noch einer Angriffskette zugeordnet werden können. Für ein erfolgreiches Incident Response Management sind sowohl die Qualität der Logquellen und die entwickelten Alarmierungsregeln, als auch die damit verbundene Threat Intelligence und Endpoint Detection von Bedeutung. Die Kombination der Systeme, unter Berücksichtigung des Datenschutzes, ermöglicht zum einen ein geringeres Gefahrenrisiko und zum anderen kurze Reaktionszeiten sowie eine ausführliche forensische Analyse.

Fazit: Infiltration ist in manchen Fällen unvermeidbar.

Nach einem Incident ohne Informationen dazustehen hingegen lässt sich sehr wohl vermeiden. Um die Aufklärungsrate bei Straftaten im Cyberspace endlich signifikant zu steigern, ist IT-Forensik der erste, wichtige Schritt.

 


Quellen:

„Computer Forensik – Computerstraftaten erkennen, ermitteln, aufklären“, Alexander Geschonneck, dpunkt.verlag, 6. Auflage

BSI – Leitfaden IT-Forensik, Version 1.0.1

Bild: ©iT-CUBE SYSTEMS AG 2017

Schreibe einen Kommentar