IT-Forensik: Den Tätern auf der Spur

Gelingt es Angreifern, in die IT-Systeme eines Unternehmens einzudringen und Daten zu stehlen, ist ein Sicherheitsvorfall, ein sogenannter Incident, eingetreten. Das gleiche gilt, wenn eigene Mitarbeiter Daten entwenden. Dann sind IT-Forensik-Experten gefragt, um die Auswirkungen zu ermitteln, die Systeme bei Bedarf wieder herzustellen und Maßnahmen zur Abwehr weiterer Angriffe zu treffen.

Gastbeitrag Ein Großteil deutscher Unternehmen aller Größen wurde in den letzten Jahren mindestens einmal Opfer eines Hackerangriffs. Das zeigt sich auch an der steigenden Zahl und der höheren Intensität von Cyber-Attacken. Dafür gibt es im Wesentlichen zwei Gründe: Auf der einen Seite haben die Angreifer ihre Methoden und Verfahren immer weiter verfeinert und auf der anderen Seite ist durch die zunehmende Digitalisierung die Komplexität der IT-Landschaften dramatisch angestiegen; damit haben sich auch die möglichen Angriffsflächen vervielfacht. Die Auswirkungen sind gravierend. Experten gehen davon aus, dass rund die Hälfte der erfolgreichen Angriffe zu Produktions- oder Betriebsausfällen führten.
IT-Forensik (Bild: Shutterstock)
In einigen Fällen werden Incidents sofort bemerkt; in anderen Fällen kann es mehrere Monate dauern, bis Unternehmen einen Sicherheitsvorfall entdecken. Aufgrund fehlender Ressourcen dauert es im Mittelstand oft besonders lang. In dieser Zeit befindet sich der Angreifer im Netzwerk und kann weitere Systeme kompromittieren oder Firmengeheimnisse stehlen – und das kann im schlimmsten Fall die Existenz kosten. Dabei muss der Täter nicht unbedingt von außen kommen, es können auch unzufriedene Mitarbeiter sein oder solche, die das Unternehmen bereits verlassen haben, die Daten entwenden. Nach Bekanntwerden eines Incidents sind IT-Forensik-Services gefragt, um den Schaden zu identifizieren und die Ursachen zu beseitigen.

Grundlegende Arten der IT-Forensik

Bei der IT-Forensik lassen sich zwei grundlegende Varianten unterscheiden: die Post-mortem-Analyse – auch als Offline-Forensik bezeichnet – und die Live-Analyse – bekannt auch unter den Begriffen Online-Forensik oder Incident Response. Die Post-mortem-Analyse untersucht ein ausgeschaltetes und gesichertes System. Der Sicherheitsvorfall muss noch nicht abgeschlossen sein. Dazu untersucht der IT-Forensiker unter anderem das Image eines Speichermediums auf nicht-flüchtige Spuren in einem vorgegebenen Zeitraum des Sicherheitsvorfalls. Die Suche konzentriert sich dabei unter anderem auf gelöschte, umbenannte sowie versteckte und verschlüsselte Daten auf Storage-Systemen. Im Mittelpunkt der Live-Forensik steht die Erfassung und Untersuchung flüchtiger Daten wie beispielsweise Hauptspeicherinhalt, Informationen über bestehende Netzwerkverbindungen und gestartete Prozesse.

Die Stunde der IT-Forensik

Aus einem Cyber-Angriff für die Verteidigung lernen – so lässt sich die Aufgabe der IT-Forensik mit wenigen Worten beschreiben. Dabei gibt es deutliche Analogien mit anderen Untergebieten der Forensik, etwa der Rechtsmedizin oder der forensischen Genetik. Die Gemeinsamkeit: Es geht immer um Methoden und Verfahren, um illegale Handlungen systematisch zu untersuchen. Das gilt auch für Computer- und Cyber-Kriminalität jeder Art, egal, ob Identitätsdiebstahl und -missbrauch von Bank- und Kreditkartendaten, Industriespionage, Datenklau durch Hacker und eigene Mitarbeiter oder Lösegelderpressung (Ransomware).

Forensische Analysen liefern Antworten auf die Kernfragen: Was ist passiert? Um welchen Datensicherheitsvorfall handelt es sich? Wie ist es geschehen? Wohin sind Daten abgeflossen? Lässt sich ein Täter ermitteln? Relevant ist dies etwa im Hinblick auf die Strafverfolgung. Und nicht zuletzt: Wie lässt sich eine Wiederholung vermeiden?

Angriffe erkennen

Um die Aktivitäten von Angreifern zu erkennen, nutzen Unternehmen beispielsweise Tools wie Intrusion-Detection-Systeme oder On-Access-Virenscanner, die weitgehend automatisiert ablaufen. Diese verändern Daten oder löschen sie teilweise, um eine Ausbreitung von Malware zu verhindern. Die von Forensikern genutzten speziellen Tools dürfen Daten nicht verändern, ansonsten sind sie nicht gerichtsverwertbar. Die unterschiedlichen Tools identifizieren beispielsweise Anomalien und Zwischenfälle in Betriebssystemen, Applikationen und Netzwerken. Zudem werden Endpoints und deren Arbeitsspeicher, Systemprozesse, Dateien und Speicher auf Anomalien, Angriffsspuren oder verdächtiges Verhalten mit einbezogen. Das gleiche gilt für abweichendes Verhalten in Applikationen und deren Nutzung.

Verdächtige Endpoints können mit Einsatz von spezieller Hardware gesichert und untersucht werden. Darüber hinaus werden bei Bedarf auch Datenbanken sowie das Verhalten von kritischen Accounts bei der Datenerfassung berücksichtigt. In einigen Fällen ist es ferner notwendig, eine detaillierte Netzwerk-Analyse mit live mitgeschnittenen oder zuvor aufgezeichneten Daten durchzuführen.

Umfassende Analyse relevanter Daten

Wichtig ist, die im definierten Umfeld gespeicherten und potentiell forensisch bedeutsamen Daten zu erfassen. Dazu zählen etwa auch Hardwaredaten, die durch Betriebssysteme und Applikationen nicht oder nur sehr eingeschränkt verändert werden. Beispiele dafür sind Virtualisierungsdaten, die von einem Host-Betriebssystem, nicht aber durch das Betriebssystem eines Clients modifiziert werden können.
Erfasst werden bei einer umfassenden forensischen Untersuchung sowohl persistente als auch flüchtige Metadaten, etwa die MAC-Zeiten von Dateien oder Sequenznummern von Netzwerkpaketen. Dazu kommen die Konfigurationsdateien von Hardware, Betriebssystemen und Applikationen. Deren Auswertung zählt zu den Kernbestandteilen der IT-Forensik. Von Interesse sind einerseits die Daten der aktiven Konfigurationen und andererseits Logdaten, die wichtige Erkenntnisse über die jeweils protokollierten Ereignisse liefern, wie beispielsweise Datenabflüsse ins Internet oder das Einbinden beziehungsweise die Entfernung portabler Storage-Systeme.

Bedeutsam sind darüber hinaus Protokolldaten, die die Kommunikationsbeziehungen der Hardware und Software untereinander dokumentieren. Dies beinhaltet auch Netzwerkkonfigurationsdaten. Dazu kommen Session-Daten, die ein System während einer Sitzung sammelt, die von einem Betriebssystem, einer Anwendung oder einem Benutzer, der Websites aufruft, initiiert wurde. Relevant sind ferner Aufzeichnungen von Netzwerk- und Systemmanagement-Tools. Anhand einer intensiven Auswertung all dieser Daten können IT-Forensiker beispielsweise die Ausbreitung und die Wege von eingeschleuster Malware verfolgen und Antworten auf die zentralen W-Fragen liefern: Was ist geschehen? Wie ist es passiert? Wohin sind Datenabgeflossen? Wer ist dafür verantwortlich?

Allerdings nutzen Unternehmen das Potenzial und die Erkenntnisse, die in einer systematischen Untersuchung digitaler Angriffe steckt, bislang nur in einem geringen Umfang aus. Selbst dann, wenn das Sicherheitsbewusstsein vorhanden ist, folgen dem oft noch keine Taten. Das belegen unterschiedliche Studien immer wieder. Bei einer beachtlichen Zahl von Unternehmen reichen die implementierten Maßnahmen kaum über Standardlösungen hinaus. In anderen Fällen wird – oft aufgrund fehlender interner Ressourcen – die vorhandene anspruchsvolle Software nicht effizient genutzt. Vor allem aber können sich mit dem Inkrafttreten der EU-Datenschutz Grundverordnung unzureichende Maßnahmen in ihren Auswirkungen als fatal erweisen.

Sofortmaßnahmen und Präventionsberatung

Den Abschluss der forensischen Analyse eines Sicherheitsvorfalls, bilden Sofortmaßnahmen und eine Präventionsberatung. Dazu gehört etwa die Durchführung einer Bestandsaufnahme und einer Risikoanalyse durch erfahrene Experten für Informationssicherheit und Risikomanagement. Dem sollte eine eingehende, und in besonders sensiblen Unternehmensbereichen auch wiederkehrende Mitarbeiterschulung zur Stärkung des Sicherheitsbewusstseins folgen. Darüber hinaus sollten Unternehmen ein ganzheitliches Konzept für Cyber-Defense einführen, das Prävention, Erkennung, Abwehr sowie die schnelle und richtige Reaktion auf Angriffe jeder Art umfasst.

AUTOR

Sebastian Fuchs

ist Consultant für IT-Security bei NTT Security. Zu seinen Aufgaben gehören die Durchführung von Penetrationstests, Vulnerability Assessments sowie die Aufklärung von Sicherheitsvorfällen. Vor seiner Zeit bei NTT Security war Sebastian Fuchs bei einem mittelständischen Wirtschaftsprüfungsunternehmen tätig und dort für die Durchführung von IT-Forensik und eDiscovery Projekten zuständig. Weiterhin fungierte er als technischer Experte bei forensischen Befragungen.

Themenseiten: Security

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu IT-Forensik: Den Tätern auf der Spur

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *