IT-Forensik: Spuren in der Unternehmens-IT

PrintMailRate-it

Wird ein Unternehmen Opfer einer IT-gestützten kriminellen Handlung (Hackerangriff, Innentäter etc.), ist schnelle Reaktion gefragt. Nur wenige Organisationen sind heute auf solche Vorfälle richtig vorbereitet. IT-Forensik kann helfen, Schäden zu vermeiden.


 

 

Es ist davon auszugehen, dass heute fast jede Organisation schon einmal Ziel eines Angriffs war, der durch die Nutzung von IT und deren Schwächen erst ermöglicht oder enorm vereinfacht wird. Die IT-Durchdringung unterstützt dabei die kriminelle Energie eines Angreifers, da Informationen oftmals mühelos abgegriffen, Personen getäuscht, Kontrollen ausgehebelt und dadurch ein Schaden in zum Teil erheblicher Höhe angerichtet werden kann, ohne sich dabei selbst in Gefahr zu bringen. Die Erfolgs­chancen eines externen Angreifers erhöhen sich bspw. dadurch, dass zu der Skalierbarkeit der IT (Botnetze) eine hohe Zahl an sorglosen Internet­nutzern hinzukommt. Darüber hinaus lassen sich einige Schädigungen durch Unternehmens­interne durch geschickte Manipulation der IT länger verschleiern. IT-Forensik hilft dabei, Spuren in der IT verwertbar zu machen, die Schadenshöhe zu verringern bzw. im Idealfall den Schaden zu verhindern.

 

Bedrohungen

Die Bedrohungen, die über oder mittels IT entstehen können, sind so vielfältig wie die Kreativität eines Angreifers. So lassen sich alle erdenklichen Betrugs- und Deliktfälle auch auf die IT über­tragen. Dabei kann grundlegend unterschieden werden, ob die IT-Infrastruktur eines Unter­nehmens Werkzeug ist (z.B. Erpessung, betrügerische Handlungen, Verschleierung von Unterschlagungen, Wissens- und Datendieb­stahl etc.) oder ob die IT-Infrastruktur selbst das Angriffsziel ist (Sabotage, Betriebsausfall, fehlerhafte Prozesse etc.).

 

Täter

Die Motivation eines Täters im IT-Umfeld ist häufig vergleichbar mit jenen im „klassischen” kriminellen Umfeld und kann höchst unterschiedlich sein:
  • Sozial: Der Angreifer will sich mit einem erfolgreichen Angriff brüsten oder Rache üben.
  • Technisch: Der Angreifer will technische Lücken ausnutzen und auf sie aufmerksam machen.
  • Politisch: Der Angreifer will seinen politischen Glauben demonstrieren und umsetzen.
  • Finanziell: Der Angreifer verfolgt mit dem Angriff eigene oder fremde finanzielle Ziele.

 

Es wird hierbei kaum unterschieden, ob der Täter ein Außen- oder Innentäter ist, also ein Bestandteil der anzugreifenden Organistation ist oder nicht. Das ist wichtig, denn oftmals kommt die Gefahr nicht ausschließlich von außen. Gerade Innentäter, die die Organisation sehr gut kennen, die Neigung haben und sich in einer Situation befinden, die die kriminelle Handlung auslöst, können erheblichen Schaden anrichten.

 

Methodik der IT-Forensik

Ein wesentlicher Bestandteil der IT-Forensik ist es, einen Vorfall zunächst zu erkennen und zu beurteilen. Wenn entscheidende Hinweise wie definitive Fehlzahlungen über die Bank oder Erpressungen – z.B. über den Verschlüsselungstrojaner Locky – vorliegen, ist die Beurteilung einfach. Idealziel der IT-Forensik ist es aber, Vorfälle aufzudecken, bevor ein effektiver Schaden entsteht. Das führt dazu, dass Vorfälle bei einem Incident-Response-Prozess dahingehend beurteilt werden müssen, ob es sich tatsächlich um einen Angriff handelt oder nicht.

 

Die Einrichtung eines solchen Prozesses empfiehlt sich in jedem Fall, da der Umfang und die Komplexität der Angriffe in Summe derart gestiegen sind, dass es eher unwahrscheinlich ist, dass eine Organisation nicht davon betroffen sein wird – es ist nur eine Frage der Zeit.

 

Steht ein Vorfall als definitiver Angriff fest, gilt es entsprechende organisatorische Vorbe­reitungen zu treffen (Informations­politik nach innen wie nach außen, Einrichtung einer Top-Level-Lenkungsgruppe, operative Einheiten, grobes Konzept über die Herangehens­weise etc.) und ein Team zusammenzustellen. Anschließend heißt es, Auffälligkeiten zu erfassen und beweissicher zu dokumentieren. Ebenso vielfältig, wie die Angriff­sarten sein können, muss auch die Beweis­sicherung alle betroffenen Systeme umfassen:
  • Netzwerkinfrastruktur (Protokolle über zu hohen Traffic, unbekannte Nutzer, hohe Anzahl von Regelverstößen etc.);
  • Server (Analyse zu unbekannten Prozessen, Absturz von Diensten, ungewöhnliche erfolgreiche und erfolglose Anmeldungen etc.);
  • Endgeräte (Analyse in Bezug auf auffällige Dateien und Partitionen, Hinweise auf Verwischung von Spuren etc.).

 

Dabei ist es wesentlich, dass dem Schutz der Beweismittel in Bezug auf deren Gerichts­verwertbarkeit hohe Bedeutung beigemessen wird. Das erfordert, dass Werkzeuge zur Beweissicherung verwendet werden, die das ggf. korrumpierte oder zum Angriff genutzte System nicht verändern, sondern exakt den Zustand abbilden, der durch den Angreifer verursacht wurde.

 

Interdisziplinarität in der Unterstützung

Werden System­schwächen vermutet oder liegen konkrete Verdachtsfälle vor, muss umsichtig und interdisziplinär gehandelt werden. Systemnahe IT-Kompetenzen, juristische Fachkenntnisse (z.B. im Datenschutz- und Strafrecht) sowie zielführende Aufarbeitungs­methoden (z.B. Daten­analysen und Interviewtechniken) müssen miteinander in Einklang gebracht werden. Gegen Angriffe hilft v.a. Prävention. Wir unterstützen Sie, Lücken in Ihren Kontroll- und Sicher­heits­systemen zu finden und zu schließen. Gezielte Schädigungen lassen sich dennoch nie ganz ausschließen. Treten sie doch ein, ist schnelles Handeln geboten – ein Konzept dazu liegt idealerweise bereits in Ihrer Schublade und das passende Incident-Response-Team ist zusammengestellt.


 

zuletzt aktualisiert am 11.01.2017
Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu