Frisch Gehacktes: Gefundenes Fressen für Forensiker.
Beim deutschen Tatort wird die „SpuSi“ gerufen, in amerikanischen Serien kommen die knallharten Teams von der CSI. Forensiker sind aus den Krimiprogrammen nicht wegzudenken. In der IT gehören sie zu den meistgesuchten Spezialisten überhaupt. Bei Ermittlungsbehörden wie in Unternehmen. Denn zum einen wird die Wirtschaft massiv von Cyberkriminalität bedroht, zum anderen ist heute bei fast jeder Straftat das Smartphone Gegenstand der Spuren- und Beweissicherung. Hinzu kommen die zahlreichen Fälle, in denen bei Firmen Schäden entstehen, weil Mitarbeiter leichtsinnig oder fahrlässig mit Daten umgehen.
Es muss also nicht mal unbedingt kriminelle Energie im Spiel sein, wenn Christoph Boser oder Steffen Steitz alarmiert werden. Im wachsenden Team der IT-Forensiker bei Bechtle sind sie die Erfahrensten, in jedem Ermittlungsumfeld und auch als Sachverständige und Gutachter bei Gericht tätig. Leider schätzen die beiden übereinstimmend, dass neun von zehn Unternehmen nicht imstande wären, den Ursachen und Quellen von Datenverlusten oder anderen „Digitalschäden“ mit System nachzugehen. Tatsächlich ist ein streng methodisches Vorgehen nötig, schon um Ermittlungsmaßnahmen für mögliche Rechtsverfahren unangreifbar, mithin gerichtsfest zu machen. „Secure-Analyse-Present“ – kurz S-A-P – heißt das hierfür gegebene Verfahren. Dabei gilt es im ersten Schritt, von relevanten Daten ein forensisches Duplikat zu erstellen, das nachweislich mit dem Original übereinstimmt. Bei der Datenübertragung schließen deshalb „Write Blocker“ mögliche Manipulationen aus. Dieser Vorgang wird zusätzlich, wie viele weitere Arbeitsschritte auch, fotografiert und immer protokolliert. Eine umfassende Dokumentation ist wichtig, damit die Beweiskette nicht geknackt werden kann, wenn die Ergebnisse – gegebenenfalls vor Gericht – präsentiert werden müssen. Staatsanwaltschaft, Richter und Anwälte brauchen eine nachvollziehbare und wasserdichte Faktenlage – nicht jeder Jurist kann auch nebenbei noch IT-Experte sein. Die forensische Analyse selbst kann je nach Komplexität der Untersuchung Stunden, Tage oder auch Wochen dauern; unabhängig davon ist nach Artikel 33 DSGVO für datenschutzrelevante Incidents eine Meldepflicht von 72 Stunden einzuhalten. Ein umfangreiches Instrumentarium an forensischen Softwarestandards ermöglicht es, den Hergang zu rekonstruieren – und in vielen Fällen auch, verloren geglaubte Daten wiederherzustellen. Welches Equipment dabei zum Einsatz kommt, ist nicht zuletzt eine Frage von Erfahrung und Fingerspitzengefühl der Experten.
Tatsächlich geht manches bei Ermittlungen so zu, wie man sich das vorstellt. Steht zum Beispiel ein Mitarbeiter unter Verdacht oder ist auch nur sein PC betroffen, wird der „Tatort“ erstmal gesichert, das Büro abgeschlossen oder der Arbeitsplatz abgesperrt. In vielen Fällen ist es wichtig, dass der Rechner keinesfalls ausgeschaltet wird, weil bei Malware sonst häufig wichtige Spuren gelöscht werden – dann unwiederbringlich.
Die 1010 als digitale Notrufnummer gibt es noch nicht. Gleichwohl gilt für viele Zwischenfälle, die den Datenschutz betreffen, eine Pflicht zur Meldung an die Behörden innerhalb von 72 Stunden. Bei Nichteinhaltung dieser Meldepflicht muss mit empfindlichen Strafen gerechnet werden.
Wenn die Datenträger physikalisch nicht defekt sind, gelingt es den IT-Forensikern bei Bechtle in gut 90 % aller Fälle, verloren geglaubte Daten wiederherzustellen.
Die Spurensuche muss gegebenenfalls weite Teile einer IT-Infrastruktur durchleuchten. Besonders raffinierte Angriffswerkzeuge wie die neueste Generation von „Emotet“ können – meistens unbemerkt – weite Teile eines Netzwerks infizieren und tief in viele Anwendungsprogramme eindringen, zumal beispielsweise Emotet als „Dropper“ noch weitere modulare Malware nachlädt. So werden etwa Mails und Adressbücher ausgespäht und für nachfolgende Angriffe genutzt oder die abgefischten Dateien auch weiterverkauft. Ein solcher Angriff kann also riesige Kreise ziehen und erfordert eine forensische End-to-End-Analyse. Für diese integrierte Gesamtbetrachtung gibt es entsprechende Softwaretools wie X-Ways oder Nuix – im Rennen gegen die Angreifer gilt es aber noch leistungsfähiger zu werden. So wird intensiv an Standardisierung und Automatisierung, auch mittels künstlicher Intelligenz, gearbeitet. Im Gegensatz zu den klassischen SIEM (Security Information and Event Management)-Systemen können selbstlernende Lösungen den Netzwerkverkehr analysieren und sogar bislang unbekannte Angriffsmethoden detektieren und frühzeitig Alarm schlagen. Kreative Cyberkriminelle finden trotzdem immer wieder mögliche Angriffspunkte – und immer mehr Mittäter. Die digitale Verbrechenssparte ist längst, auch im Rahmen organisierter Kriminalität, hochlukrativ.
IT-Forensik kann hierbei viel zur Aufklärung und gelegentlich auch zur Überführung von Tätern beitragen. Bisher haben viele Unternehmen hauptsächlich in präventive Maßnahmen investiert. Als Spezialdisziplin muss Forensik ergänzender Teil eines nachhaltigen Sicherheitskonzepts von Prevention – Detection – Response sein. Dazu gehört noch viel mehr: die Ausprägung von Resilienz, die Sensibilität für Social Engineering wie beispielsweise auf den Vorseiten beschrieben und eine insgesamt noch viel eingehendere Beschäftigung mit IT-Sicherheit.
Christoph Boser ist Senior Consultant bei Bechtle in Offenburg und gleich dreifach zertifiziert: als Datenschutzbeauftragter, IT-Sachverständiger Forensik und IT-Datenschutzauditor. Steffen Steitz ist IT Solution Architect bei Bechtle in Chemnitz und berät und unterstützt wie sein Kollege Unternehmen und Behörden in Sachen IT-Sicherheit nicht nur generell, sondern auch speziell mit forensischen Einsätzen. Außerdem übernimmt er bei betroffenen Unternehmen auch das Krisenmanagement. Beide gehören zum schnell wachsenden Bechtle Competence Center Cyber Crime & Defense.
Die forensische Aufklärung geht in vielen Fällen mit einem gewaltigen Schock der betroffenen Organisation einher. Oft zeigt sich, wie wenig geschützt und vorbereitet man war. Insofern ist der Einsatz von Christoph Boser oder Steffen Steitz oft ein Weckruf. Spätestens dann wird über ein Sicherheitskonzept nachgedacht. Eins zu haben und auch konsequent umzusetzen, ist übrigens nicht zuletzt wichtig, um eine Cybercrime-Versicherung abschließen zu können. Damit Schäden abgedeckt werden, die trotz aller Schutzmaßnahmen noch entstehen können. Denn hundertprozentige Sicherheit gibt es nicht. Man kann nur best- möglich vorsorgen. IT-Forensiker können ein Lied davon singen.
Ansprechpartner.
Bechtle update Redaktion
update@bechtle.com
Zum Thema.
- Artikel: IT-Security. Vom Pflichtprogramm zum Zukunftsfaktor.
Newsletter.
Erhalten Sie die besten Artikel aus dem Bechtle update alle zwei Monate direkt in Ihr Postfach. Hier geht's zur Anmeldung:
