Suchen

Digitale Forensik Wenn passiert, was nicht passieren darf

| Autor / Redakteur: Joachim A. Hader / Melanie Krauß

Auch Cyberkriminelle hinterlassen bei einem Angriff Spuren. Damit diese vor Gericht verwendet werden können, sollten Unternehmen bestimmte Fehler unbedingt vermeiden.

Firmen zum Thema

Genau wie bei klassischen Verbrechen, gilt auch digital: Der Tatort darf nicht verändert werden.
Genau wie bei klassischen Verbrechen, gilt auch digital: Der Tatort darf nicht verändert werden.
(Bild: ©exclusive-design - stock.adobe.com)

Wer das Wort Forensik hört, denkt vermutlich zuerst ganz klassisch an einen Gerichtsmediziner. Schon oft haben wir die Szenen im Krimi gesehen, in denen eine Leiche auf dem kalten Stahltisch obduziert wird. Das Ziel: Spuren zu finden, die der Täter womöglich hinterlassen hat.

Doch nicht nur in der realen Welt, lassen sich Spuren der Täter finden. Auch in der digitalen Welt, gibt es dafür Spezialisten. Die sogenannte digitale Forensik beschäftigt sich mit der Identifikation, Analyse und Rekonstruktion von strafbaren Handlungen. Dies betrifft zum einen jegliche Art von Datenverarbeitung vom Arbeitsplatzcomputer über die SPS bis zum Leitrechner. Zum anderen auch weitere digitale Geräte, wie zum Beispiel USB-Sticks, Mobiltelefone, Navis, Drucker, Scanner, Server oder sogar die Cloud.

Die Regel von Edmund Locard, einem der Begründer der klassischen Forensik, besagt: Jede Berührung hinterlässt eine Spur. Die gute Nachricht ist, dass analog dazu auch jede Aktion auf digitalen Medien Spuren hinterlässt. Die schlechte Nachricht ist, dass sich im Gegensatz zur klassischen Forensik solche Spuren beinahe rückstandslos entfernen lassen. Das ist vor allem dann ein Problem, wenn Unternehmen, die angegriffen wurden, proaktiv handeln. Denn was in erster Linie gut gemeint ist, führt letztendlich dazu dass eine gerichtsverwertbare Spurensuche und Beweissicherung unmöglich wird.

Diese Fehler sollten Sie unbedingt vermeiden

  • Der Verdachtsfall wurde im Unternehmen „an die große Glocke gehängt“. Im Verdachtsfall sollte die Kommunikation auf einen sehr engen Personenkreis beschränkt werden. Der Angreifer könnte im Unternehmen sitzen (virtuell oder physisch) und die Aufdeckung verschleiern.
  • Computer und Systeme wurden heruntergefahren. Lassen Sie das verdächtige System eingeschaltet, aber nehmen Sie es vom Netz beziehungsweise schalten Sie das WLAN im Gerät ab!
  • Das betroffene Gerät wurde weiter benutzt, nachdem der Vorfall bereits bekanntgeworden ist. Stellen Sie das Gerät in Quarantäne! Erlauben Sie keinen weiteren Zugriff!
  • Es wurde eine Datensicherung zurückgespielt oder das Gerät wurde neu installiert. Lassen Sie die Daten auf dem Gerät auf dem Stand, der den Vorfall zu Tage gebracht hat!
  • Der Virenschutz und andere Analysesoftware wurden vom IT-Personal auf den betroffenen Geräten aktiviert. Jeglicher, noch so gut gemeinter, Eingriff verfälscht oder vernichtet Spuren.
  • Man hat schon einmal selbst nach „Spuren“ gesucht und sich auf dem System „umgeschaut“. Jeglicher Eingriff auf ein verdächtiges System verändert dessen Zustand und hinterlässt neue Spuren.

Um Fehler bei der Spurensicherung zu vermeiden, sollte deshalb immer ein Spezialistenteam mit der forensischen Bearbeitung von Cyberkriminalität beauftragt werden. Dieses hat die notwendigen Mittel und das Wissen, um zum Beispiel Daten gerichtsverwertbar zu sichern und forensisch auszuwerten. So können zum Beispiel gelöschte Daten in manchen Fällen wieder hergestellt und analysiert werden. Sie arbeiten nach folgenden Grundprinzipien:

  • Keine Veränderung von Daten während der Untersuchung
  • Tiefe Kenntnisse über die Werkzeuge und deren Auswirkung auf das zu untersuchende Gerät
  • Alle Aktionen müssen akribisch dokumentiert werden und jederzeit nachvollziehbar sein

Was können Sie tun, um es den Forensikern im Fall der Fälle leicht zu machen, Stichwort „Forensic Readiness“?

  • Etablieren Sie ein Frühwarnsystem, beziehungsweise integrieren Sie dieses in ihr Notfallkonzept. Hierzu gehören Prozesse, Alarmierungswege und Verantwortlichkeiten.
  • Aktivieren Sie eine operative und forensische Protokollierung von Vorgängen im Tagesgeschäft, um diese gegebenenfalls für die Spurensuche bereitzustellen.
  • Für besonders schützenswerte Systeme empfiehlt es sich, ein automatisiertes Red-Flag-Management zu etablieren. Dieses stellt Auffälligkeiten fest und meldet sie. Auch hat sich ein digitaler Fahrtenschreiber bewährt, der laufend Daten über einen gewissen Zeitraum sichert.

* Joachim A. Hader ist Geschäftsführer der secudor GmbH in 91757 Treuchtlingen, Tel. (0 91 45) 83 94 31, joachim.hader @secudor.de, www.secudor.de, www.cluster-ma.de/sit-teams/production- security

(ID:46849745)