Auf Spurensuche: IT-Forensik
© Adobe Stock
IT-Forensik als Bestandteil der Vorfallbehandlung
Der IT-Sicherheitsvorfall wurde erkannt, die Maßnahmen zur Eindämmung abgeschlossen und der Betrieb kann wieder wie gewohnt weiterlaufen? Ganz so leicht ist es nicht. Sofern nicht alle Hintertüren geschlossen sind bzw. der Lerneffekt bei der betroffenen Organisation nicht eingesetzt hat, dauert es oftmals nicht lange, bis sie wieder Opfer von cyberkriminellen Angreifenden wird.
Nun kommt das IT-Forensikteam zum Einsatz. Erst wenn seine Untersuchungen abgeschlossen sind und klar ist, wie es zum Vorfall kommen konnte, können die Lücken gestopft und kann der Regelbetrieb wiederaufgenommen werden.
Keine Tat ohne Spuren
Jegliche Handlung auf einem IT-System hinterlässt digitale Spuren. Unabhängig davon, ob diese von einer legitimen Person oder durch einen Angriff durchgeführt wurde ‒ eine Vielzahl an Protokolldateien (engl. "log files") führt genau Buch darüber, was geschehen ist. Welche konkreten Ereignisse die Protokolle umfassen, ist jedoch stark vom verwendeten Betriebssystem und den entsprechenden Einstellungen abhängig.
Manipulationen erkennen
Doch auch weitere sogenannte digitale Spuren sind für die Aufklärung eines IT-Sicherheitsvorfalls relevant: Metadaten wie beispielsweise Zeitstempel im Dateisystem, das Verändern und Löschen von Dateien sowie Zuordnungen zu einzelnen Benutzern können Rückschlüsse auf das Tatgeschehen zulassen. Mit der Windows-Registrierdatenbank, welche verschiedene Einstellungen des Betriebssystems und von installierten Programmen beinhaltet, lassen sich unter anderem Abweichungen vom Soll-Zustand feststellen und mögliche Manipulationen erkennen. Neben dem Betriebssystem selbst dienen auch Anwendungen wie bspw. ein Webserver, Netzwerkkomponenten wie ein Router oder Sicherheitssysteme wie eine Firewall als Quelle digitaler Spuren.
In allen Schritten: Forensische Grundsätze einhalten
Hierbei hat das Team der CSBW den Anspruch, dass das Vorgehen über den gesamten Ablauf der Vorfallbehandlung den forensischen Grundsätzen entspricht, um ein qualitativ hochwertiges und belastbares Ergebnis zu erzielen. Das bedeutet:
- Jeder Schritt ist nachvollziehbar und wiederholbar.
- Die Integrität der Daten ist gewährleistet (die Daten wurden nicht nachträglich verändert).
- Die Analyseergebnisse sind gerichtsverwertbar.
Arbeitsabläufe in der IT-Forensik
Für die IT-Forensik gibt es unterschiedliche Vorgehensmodelle. Beispielsweise das Modell des Bundesamts für Sicherheit in der Informationstechnik (kurz BSI) oder das Modell des National Institute of Standards and Technology (NIST). Vereinfacht dargestellt handelt es sich jedoch immer um die Arbeitsschritte des S-A-P Prozesses (Secure, Analyse, Present): Die Aufgabe der IT-Forensik ist es, sämtliche Quellen digitaler Spuren zu erfassen und diese dann schnellstmöglich zu sichern, auszuwerten und die Ergebnisse verständlich allen Beteiligten zu präsentieren.
Hohes Maß an technischer Expertise
Hierfür wird ihnen ein erhebliches Maß an technischer Expertise abverlangt. Das Forensik-Expertenteam muss dabei fundierte Kenntnisse über digitale Speichermethoden, Betriebssysteme, Netzwerktechnik und in der Analyse schadhafter Programme besitzen. Darüber hinaus muss das Team mit den Methoden der Angreifer vertraut sein – und diese am besten auch noch verständlich erklären können. Damit nicht genug: Die Vorgehensweisen bei potenziellen Angriffen verändert sich rasch. Somit ist in der IT-Forensik eine Philosophie unabdingbar, bei der die stetige persönliche und fachliche Weiterentwicklung im Vordergrund steht. Die Mitarbeitenden der CSBW-Vorfallbehandlung besuchen daher regelmäßig international anerkannte Weiterbildungen auf höchstem Niveau.
Komplexe Herausforderungen
Die verwendeten Werkzeuge bei Angriffen werden stets raffinierter: Viren und Trojaner passen sich an, um ihre Erkennungsmerkmale zu verschleiern. Dies bringt klassische Antiviren-Lösungen an ihre Grenzen. Bis vor einigen Jahren war es in den meisten Fällen noch ausreichend, im Nachgang die Daten aus den für die dauerhafte Speicherung ausgelegten Medien (bspw. Festplatten) zu sichern. Da moderne Angriffswerkzeuge ihre Spuren verwischen, ist deren Anwesenheit teilweise nur noch in flüchtigen Daten ersichtlich. Diese sind bspw. im Arbeitsspeicher ansässig und verschwinden nach jedem Neustart.
Doch auch der Wandel in der IT-Infrastruktur beinhaltet viele Herausforderungen: Systeme verlagern sich zunehmend von statischen Serverlandschaften hin zu dynamischen Cloud-Plattformen. Gerade in Zeiten des ortsunabhängigen Arbeitens ist es nicht immer einfach, den Überblick über das interne Netzwerk zu behalten. Die zunehmende Vernetzung und Mobilität erleichtern die tägliche Arbeit, vergrößern allerdings gleichzeitig auch die Angriffsfläche.
Moderne Sicherheitsarchitekturen umfassen eine immer größer werdende Anzahl an Systemen zur Erkennung von Angriffen. Diese liefern zwar hilfreiche Informationen, erdrücken aber ihre Benutzerinnen und Benutzer in einer Datenflut. Die Bewertung, ob es sich bei auftretenden Warnungen um tatsächliche Alarme oder False-Positives handelt, ist zeitaufwendig und komplex. Nur wer einen kühlen Kopf bewahrt und sich auf das Wesentliche konzentriert, behält hier den Überblick.
Cybersicherheit im Land nachhaltig verbessern
Auch wenn Maßnahmen der IT-Forensik meist erst dann ergriffen werden, wenn bereits ein Vorfall geschehen ist: Ohne die daraus gewonnenen Erkenntnisse könnte eine Kompromittierung der Systeme jederzeit wieder stattfinden. Auf diese Weise tragen sie zum erklärten Ziel der CSBW teil: Die Cybersicherheit im Land Baden-Württemberg nachhaltig zu verbessern.
Interessiert? ‒ Werden Sie Teil des Teams!
Sie sind auf der Suche nach einer neuen beruflichen Herausforderung? Wir sind regelmäßig auf der Suche nach neuen Mitgliedern für uns breit aufgestelltes Team. Bei den aktuellen Stellenausschreibungen ist nichts Passendes für Sie dabei? Dann bewerben Sie sich initiativ!