Gelingt es Angreifern, in die IT-Systeme eines Unternehmens einzudringen und Daten zu stehlen, ist ein Sicherheitsvorfall, ein sogenannter Incident, eingetreten. [...]
Das gleiche gilt, wenn eigene Mitarbeiter Daten entwenden. Dann sind IT-Forensik-Experten gefragt, um die Auswirkungen zu ermitteln, die Systeme bei Bedarf wieder herzustellen und Maßnahmen zur Abwehr weiterer Angriffe zu treffen.
Ein Großteil deutscher Unternehmen aller Größen wurde in den letzten Jahren mindestens einmal Opfer eines Hackerangriffs. Das zeigt sich auch an der steigenden Zahl und der höheren Intensität von Cyber-Attacken. Dafür gibt es im Wesentlichen zwei Gründe: Auf der einen Seite haben die Angreifer ihre Methoden und Verfahren immer weiter verfeinert und auf der anderen Seite ist durch die zunehmende Digitalisierung die Komplexität der IT-Landschaften dramatisch angestiegen; damit haben sich auch die möglichen Angriffsflächen vervielfacht. Die Auswirkungen sind gravierend. Experten gehen davon aus, dass rund die Hälfte der erfolgreichen Angriffe zu Produktions- oder Betriebsausfällen führten.
In einigen Fällen werden Incidents sofort bemerkt; in anderen Fällen kann es mehrere Monate dauern, bis Unternehmen einen Sicherheitsvorfall entdecken. Aufgrund fehlender Ressourcen dauert es im Mittelstand oft besonders lang. In dieser Zeit befindet sich der Angreifer im Netzwerk und kann weitere Systeme kompromittieren oder Firmengeheimnisse stehlen – und das kann im schlimmsten Fall die Existenz kosten. Dabei muss der Täter nicht unbedingt von außen kommen, es können auch unzufriedene Mitarbeiter sein oder solche, die das Unternehmen bereits verlassen haben, die Daten entwenden. Nach Bekanntwerden eines Incidents sind IT-Forensik-Services gefragt, wie sie etwa NTT Security anbietet, um den Schaden zu identifizieren und die Ursachen zu beseitigen.
Die Stunde der IT-Forensik
Aus einem Cyber-Angriff für die Verteidigung lernen – so lässt sich die Aufgabe der IT-Forensik mit wenigen Worten beschreiben. Dabei gibt es deutliche Analogien mit anderen Untergebieten der Forensik, etwa der Rechtsmedizin oder der forensischen Genetik. Die Gemeinsamkeit: Es geht immer um Methoden und Verfahren, um illegale Handlungen systematisch zu untersuchen. Das gilt auch für Computer- und Cyber-Kriminalität jeder Art, egal, ob Identitätsdiebstahl und -missbrauch von Bank- und Kreditkartendaten, Industriespionage, Datenklau durch Hacker und eigene Mitarbeiter oder Lösegelderpressung (Ransomware).
Forensische Analysen liefern Antworten auf die Kernfragen: Was ist passiert? Um welchen Datensicherheitsvorfall handelt es sich? Wie ist es geschehen? Wohin sind Daten abgeflossen? Lässt sich ein Täter ermitteln? Relevant ist dies etwa im Hinblick auf die Strafverfolgung. Und nicht zuletzt: Wie lässt sich eine Wiederholung vermeiden?
Angriffe erkennen
Um die Aktivitäten von Angreifern zu erkennen, nutzen Unternehmen beispielsweise Tools wie Intrusion-Detection-Systeme oder On-Access-Virenscanner, die weitgehend automatisiert ablaufen. Diese verändern Daten oder löschen sie teilweise, um eine Ausbreitung von Malware zu verhindern. Die von Forensikern genutzten speziellen Tools dürfen Daten nicht verändern, ansonsten sind sie nicht gerichtsverwertbar. Die unterschiedlichen Tools identifizieren beispielsweise Anomalien und Zwischenfälle in Betriebssystemen, Applikationen und Netzwerken. Zudem werden Endpoints und deren Arbeitsspeicher, Systemprozesse, Dateien und Speicher auf Anomalien, Angriffsspuren oder verdächtiges Verhalten mit einbezogen. Das gleiche gilt für abweichendes Verhalten in Applikationen und deren Nutzung.
Verdächtige Endpoints können mit Einsatz von spezieller Hardware gesichert und untersucht werden. Darüber hinaus werden bei Bedarf auch Datenbanken sowie das Verhalten von kritischen Accounts bei der Datenerfassung berücksichtigt. In einigen Fällen ist es ferner notwendig, eine detaillierte Netzwerk-Analyse mit live mitgeschnittenen oder zuvor aufgezeichneten Daten durchzuführen.
Umfassende Analyse relevanter Daten
Wichtig ist, die im definierten Umfeld gespeicherten und potentiell forensisch bedeutsamen Daten zu erfassen. Dazu zählen etwa auch Hardwaredaten, die durch Betriebssysteme und Applikationen nicht oder nur sehr eingeschränkt verändert werden. Beispiele dafür sind Virtualisierungsdaten, die von einem Host-Betriebssystem, nicht aber durch das Betriebssystem eines Clients modifiziert werden können.
Erfasst werden bei einer umfassenden forensischen Untersuchung sowohl persistente als auch flüchtige Metadaten, etwa die MAC-Zeiten von Dateien oder Sequenznummern von Netzwerkpaketen. Dazu kommen die Konfigurationsdateien von Hardware, Betriebssystemen und Applikationen. Deren Auswertung zählt zu den Kernbestandteilen der IT-Forensik. Von Interesse sind einerseits die Daten der aktiven Konfigurationen und andererseits Logdaten, die wichtige Erkenntnisse über die jeweils protokollierten Ereignisse liefern, wie beispielsweise Datenabflüsse ins Internet oder das Einbinden beziehungsweise die Entfernung portabler Storage-Systeme.
Bedeutsam sind darüber hinaus Protokolldaten, die die Kommunikationsbeziehungen der Hardware und Software untereinander dokumentieren. Dies beinhaltet auch Netzwerkkonfigurationsdaten. Dazu kommen Session-Daten, die ein System während einer Sitzung sammelt, die von einem Betriebssystem, einer Anwendung oder einem Benutzer, der Websites aufruft, initiiert wurde. Relevant sind ferner Aufzeichnungen von Netzwerk- und Systemmanagement-Tools. Anhand einer intensiven Auswertung all dieser Daten können IT-Forensiker beispielsweise die Ausbreitung und die Wege von eingeschleuster Malware verfolgen und Antworten auf die zentralen W-Fragen liefern: Was ist geschehen? Wie ist es passiert? Wohin sind Datenabgeflossen? Wer ist dafür verantwortlich?
Allerdings nutzen Unternehmen das Potenzial und die Erkenntnisse, die in einer systematischen Untersuchung digitaler Angriffe steckt, bislang nur in einem geringen Umfang aus. Selbst dann, wenn das Sicherheitsbewusstsein vorhanden ist, folgen dem oft noch keine Taten. Das belegen unterschiedliche Studien immer wieder. Bei einer beachtlichen Zahl von Unternehmen reichen die implementierten Maßnahmen kaum über Standardlösungen hinaus. In anderen Fällen wird – oft aufgrund fehlender interner Ressourcen – die vorhandene anspruchsvolle Software nicht effizient genutzt. Vor allem aber können sich mit dem Inkrafttreten der EU-Datenschutz Grundverordnung unzureichende Maßnahmen in ihren Auswirkungen als fatal erweisen.
Sofortmaßnahmen und Präventionsberatung
Den Abschluss der forensischen Analyse eines Sicherheitsvorfalls, wie sie beispielsweise NTT Security anbietet, bilden Sofortmaßnahmen und eine Präventionsberatung. Dazu gehört etwa die Durchführung einer Bestandsaufnahme und einer Risikoanalyse durch erfahrene Experten für Informationssicherheit und Risikomanagement. Dem sollte eine eingehende, und in besonders sensiblen Unternehmensbereichen auch wiederkehrende Mitarbeiterschulung zur Stärkung des Sicherheitsbewusstseins folgen. Darüber hinaus sollten Unternehmen ein ganzheitliches Konzept für Cyber-Defense einführen, das Prävention, Erkennung, Abwehr sowie die schnelle und richtige Reaktion auf Angriffe jeder Art umfasst.
* Sebastian Fuchs ist IT Security Consultant bei NTT Security.
Be the first to comment