Auf Spurensuche: IT-Forensik

Der IT-Sicherheitsvorfall wurde erkannt, die Maßnahmen zur Eindämmung abgeschlossen und der Betrieb kann wieder wie gewohnt weiterlaufen? Ganz so leicht ist es nicht. Sofern nicht alle Hintertüren geschlossen sind bzw. der Lerneffekt bei der betroffenen Organisation nicht eingesetzt hat, dauert es oftmals nicht lange, bis sie wieder Opfer von cyberkriminellen Angreifenden wird.

Nun kommt das IT-Forensikteam zum Einsatz. Erst wenn seine Untersuchungen abgeschlossen sind und klar ist, wie es zum Vorfall kommen konnte, können die Lücken gestopft und kann der Regelbetrieb wiederaufgenommen werden.

Doch auch weitere sogenannte digitale Spuren sind für die Aufklärung eines IT-Sicherheitsvorfalls relevant: Metadaten wie beispielsweise Zeitstempel im Dateisystem, das Verändern und Löschen von Dateien sowie Zuordnungen zu einzelnen Benutzern können Rückschlüsse auf das Tatgeschehen zulassen. Mit der Windows-Registrierdatenbank, welche verschiedene Einstellungen des Betriebssystems und von installierten Programmen beinhaltet, lassen sich unter anderem Abweichungen vom Soll-Zustand feststellen und mögliche Manipulationen erkennen. Neben dem Betriebssystem selbst dienen auch Anwendungen wie bspw. ein Webserver, Netzwerkkomponenten wie ein Router oder Sicherheitssysteme wie eine Firewall als Quelle digitaler Spuren.

Hierbei hat das Team der CSBW den Anspruch, dass das Vorgehen über den gesamten Ablauf der Vorfallbehandlung den forensischen Grundsätzen entspricht, um ein qualitativ hochwertiges und belastbares Ergebnis zu erzielen. Das bedeutet:

• Jeder Schritt ist nachvollziehbar und wiederholbar.
• Die Integrität der Daten ist gewährleistet (die Daten wurden nicht nachträglich verändert).
• Die Analyseergebnisse sind gerichtsverwertbar.

Für die IT-Forensik gibt es unterschiedliche Vorgehensmodelle. Beispielsweise das Modell des Bundesamts für Sicherheit in der Informationstechnik (kurz BSI) oder das Modell des National Institute of Standards and Technology (NIST). Vereinfacht dargestellt handelt es sich jedoch immer um die Arbeitsschritte des S-A-P Prozesses (Secure, Analyse, Present): Die Aufgabe der IT-Forensik ist es, sämtliche Quellen digitaler Spuren zu erfassen und diese dann schnellstmöglich zu sichern, auszuwerten und die Ergebnisse verständlich allen Beteiligten zu präsentieren.

Die verwendeten Werkzeuge bei Angriffen werden stets raffinierter: Viren und Trojaner passen sich an, um ihre Erkennungsmerkmale zu verschleiern. Dies bringt klassische Antiviren-Lösungen an ihre Grenzen. Bis vor einigen Jahren war es in den meisten Fällen noch ausreichend, im Nachgang die Daten aus den für die dauerhafte Speicherung ausgelegten Medien (bspw. Festplatten) zu sichern. Da moderne Angriffswerkzeuge ihre Spuren verwischen, ist deren Anwesenheit teilweise nur noch in flüchtigen Daten ersichtlich. Diese sind bspw. im Arbeitsspeicher ansässig und verschwinden nach jedem Neustart.

Moderne Sicherheitsarchitekturen umfassen eine immer größer werdende Anzahl an Systemen zur Erkennung von Angriffen. Diese liefern zwar hilfreiche Informationen, erdrücken aber ihre Benutzerinnen und Benutzer in einer Datenflut. Die Bewertung, ob es sich bei auftretenden Warnungen um tatsächliche Alarme oder False-Positives handelt, ist zeitaufwendig und komplex. Nur wer einen kühlen Kopf bewahrt und sich auf das Wesentliche konzentriert, behält hier den Überblick.

Auch wenn Maßnahmen der IT-Forensik meist erst dann ergriffen werden, wenn bereits ein Vorfall geschehen ist: Ohne die daraus gewonnenen Erkenntnisse könnte eine Kompromittierung der Systeme jederzeit wieder stattfinden. Auf diese Weise tragen sie zum erklärten Ziel der CSBW teil: Die Cybersicherheit im Land Baden-Württemberg nachhaltig zu verbessern.