Sie haben Fragen?

+49 6321 48446-0
|
info@8com.de
|
KARRIERE
|
EN

IT-Forensik - Digitale Spurensuche

27. August 2020

Bei der IT-Forensik werden Computersysteme auf verdächtige Vorfälle untersucht und digitale Spuren von Angriffen oder Tätern ausgewertet. Um herauszufinden, welche Angriffsvektoren verwendet und welche Schwachstellen ausgenutzt wurden, analysieren IT-Forensiker Daten und Informationen aus den verschiedensten Quellen. Ob Festplatten, USB-Sticks, E-Mail-Postfächer, Browser-Verläufe oder Firewall-Logs: Überall können sich Hinweise verbergen.

Ein Fall für unsere IT-Forensiker liegt beispielsweise vor, wenn ein Unternehmen von einer Malware-Infektion betroffen ist. Hat es die Infektion festgestellt, meldet es sich bei uns, damit wir grundlegende Fragen zum Vorfall aufklären:

  • Wie konnte es zu dem erfolgreichen Angriff kommen?
  • Wie weit sind die Kriminellen vorgedrungen?
  • Welche Systeme sind betroffen?
  • Welche Daten wurden gestohlen? (Oder, falls der Angriff erfolglos war und nichts gestohlen wurde: Worauf hatten es die Angreifer vermutlich abgesehen?)
  • Was bedeutet das konkret für das Unternehmen?

Die weitreichenden Konsequenzen eines erfolgreichen Angriffs können für betroffene Unternehmen verheerend sein. Wurden z. B. Finanzdaten gestohlen, muss mit Betrügereien gerechnet werden. Sind Firmengeheimnisse, etwa Forschungsdaten oder die geheime Rezeptur eines Lebensmittels, betroffen, könnten diese Informationen entweder verkauft oder zur Erpressung des Opfers genutzt werden. Dabei kann es schnell um Beträge in Millionenhöhe gehen. Nicht selten wird im Erpressungsfall mit der Verschlüsselung durch Schadsoftware gedroht, welche angeblich bereits im System versteckt ist und bei Nicht-Zahlung des Lösegeldes aktiviert wird.

Was wie ein Szenario aus einem Hollywood-Film klingt, ist inzwischen ein Big Business für Cyberkriminelle. Doch vergleicht man eine Cyberattacke aus einem Film mit der Realität, fallen schnell große Unterschiede auf. Gehackte Unternehmen benötigen durchschnittlich 280 Tage, um ein Datenleck zu entdecken und einzudämmen (Quelle: „Cost of Data Breach“-Report des Ponemon Institute, 2020). Danach folgt die Analyse der Situation durch einen IT-Forensiker: Wie konnte es zum Vorfall kommen? Welche digitalen Spuren wurden hinterlassen? Und wie sind die Täter genau vorgegangen? Sicherheitslücken werden dabei ebenfalls aufgespürt, jedoch nicht vorrangig, sondern lediglich fallbezogen. All das benötigt Zeit und geht nicht wie im Film in wenigen Minuten oder Stunden.

Zum einen geht es also darum, gerichtsverwertbare Beweise zu sichern. Zum anderen untersuchen und erkennen IT-Forensiker die Vorgänge rund um sicherheitsrelevante Ereignisse auf IT-Systemen. Darauf basierend führen sie anschließend strukturierte und methodische Analysen durch. Nachdem der Vorfall dann lückenlos dokumentiert ist, erhält der Kunde zusätzlich zu den gewonnenen Erkenntnissen Handlungsempfehlungen zur Absicherung seiner IT-Infrastruktur. Somit wird weiteren Sicherheitsvorfällen vorgebeugt.

Die Analysen werden ausschließlich auf Kopien der betroffenen Systeme durchgeführt. Wodurch sichergestellt wird, dass mögliche Beweismittel nicht verfälscht werden und betroffene Unternehmen dies später zweifelsfrei nachweisen können. Relevant ist dieses Vorgehen vor allem bei Fällen, die vor Gericht landen.

Was IT-Forensikern hilft

IT-Forensik ist kein Thema, mit dem sich Unternehmen erst beschäftigen sollten, wenn der Ernstfall bereits eingetreten ist. Forensik sollte Bestandteil jedes Incident-Response-Prozesses sein. Davon abgesehen können Sie die Voraussetzungen für eine erfolgreiche IT-forensische Untersuchung schaffen, indem Sie u. a. die folgenden Punkte berücksichtigen:

  • Optimieren Sie Ihre Back-up-Routine und sorgen Sie für regelmäßige, vollständige Back-ups (inkl. Zwischenspeicher).
  • Aktivieren Sie PowerShell Logging und das Logging für neu erstellte Prozesse (Event ID 4688).
  • Leiten Sie wichtige Event-Logs (Firewall, Mailserver, DCs etc.) weiter und archivieren Sie diese oder erhöhen Sie den Default-Speicherplatz der Event-Logs, damit diese nicht frühzeitig überschrieben werden.
  • Halten Sie einen vollständigen Netzplan bereit.
  • Setzen Sie nach Möglichkeit ein SIEM zur Gefahrenerkennung und -meldung ein.

Bild (c) 8com

Zurück zur Blog-übersicht

Erhalten Sie regelmäßig Informationen aus der Welt der Cyber Security und wertvolle Sicherheitstipps.