IT-Forensik: Richtige Verhaltensweise nach IT-Angriffen Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


18.04.2010 Magnus Kalkuhl*

IT-Forensik: Richtige Verhaltensweise nach IT-Angriffen

Wenn es zu einem IT-Zwischenfall in Ihrer Firma kommt, gilt zunächst: Keine Panik. Anschließend sollten Sie nicht selbst Detektiv spielen, sondern einen IT-Forensiker beauftragen. Wir sagen Ihnen, was zu tun ist, wenn der Hacker zuschlägt.

Wenn es um Computersicherheit geht, denken die meisten Menschen zuerst an Begriffe wie „Firewall“ oder „Virenscanner“ - „IT-Forensik“ hingegen, auch bekannt als Computer- oder Digital-Forensik, ist noch immer eine recht unbekannte Disziplin im Security-Sektor.

Ein Grund dafür ist häufig das tiefe Vertrauen in bereits vorhandene Sicherheitsvorkehrungen: Vertrauliche Dokumente werden durch ein durchdachtes User Rights Management, Passwörter, Türschlösser und wachsames Personal geschützt. Zusätzlich wachen Virenscanner darüber, dass sich keine Malware an den Systemen gütlich tun.

In vielen Fällen reichen diese Sicherheitsvorkehrungen aber nicht, in noch mehr Fällen sind die genannten Maßnahmen nicht konsequent umgesetzt – wenn also alle Stricke reißen und ein Angriff bereits erfolgt ist, liegt in der IT-Forensik die letzte Hoffnung, entstandenen Schaden zu begrenzen. Dabei geht es auch darum, den Angriff nachzuvollziehen, um Sicherheitslücken zu schließen oder die Schuldigen zu finden.

HINTER DEN KULISSEN In der öffentlichen Diskussion sind Viren ein beliebtes Thema - über gezielte Angriffe auf Unternehmen liest man jedoch recht wenig. Dabei sind gezielte Angriffe auf Firmen keine Ausnahmeerscheinung. Das Problem ist hier, dass viele Unternehmen gar nicht wissen, dass sie bereits ein Sicherheitsleck haben – ein gestohlenes Notebook ist ein offensichtliches Problem, die heimliche, verschlüsselte Übertragung kritischer Betriebsgeheimnisse hingegen wird vielleicht nie entdeckt.

Zudem haben betroffene Firmen in den meisten Fällen kein großes Interesse daran, solche Vorfälle an die große Glocke zu hängen und dadurch einen erheblichen Imageschaden zu riskieren. Letztlich sind die Medien vornehmlich an großen Meldungen interessiert, wo es um Millionenbeträge geht – was für ein mittelständisches Unternehmen eine Katastrophe sein kann, ist der Presse oft nur eine Meldung im Lokalteil wert.

Dennoch werden immer wieder Fälle bekannt, die aufhorchen lassen: Im Jahr 2002 rächte sich ein unzufriedener Administrator der renommierten Schweizer Bank UBS an seinem Arbeitgeber, indem er eine ganze Reihe von Servern lahm legte. Entstandener Schaden: rund drei Millionen Dollar. Letztes Jahr sorgte die Geschichte eines deutschen Programmierers für Schlagzeilen, der mit vermeintlichen Werbe-CDs Trojaner in zahlreiche israelische Unternehmen einschleuste. Die im Hintergrund gesammelten Daten (inklusive Screenshots) wurden für monatlich 1.500 britische Pfund an Mitbewerber verkauft.

Woher weiß man aber, ob eine forensische Untersuchung überhaupt Sinn macht? Bei direkter Erpressung oder dem plötzlichen, gleichzeitigen Ausfall wichtiger Systeme ist die Situation klar. Oft sind es aber nur Indizien, die auf Schlimmeres hindeuten. Ist ein Mitbewerber bei Ausschreibungen plötzlich viel erfolgreicher? Wurde nach dem Wechsel auf einen anderen Virenscanner Malware gefunden, es ist aber unklar, wie lange sich das Programm schon im Netzwerk befindet? Oder wurde kürzlich ein Mitarbeiter entlassen, der Zugriff auf wichtige Systeme oder Daten hatte, und dem eine Racheaktion zuzutrauen wäre? In sicherheitskritischen Bereichen kann auch eine routinemäßige forensische Untersuchung Sinn machen, ohne dass ein konkreter Verdacht besteht.

VERHALTEN IM VERDACHTSFALL Nehmen wir an, Sie haben einen Verdacht und ziehen eine entsprechende Untersuchung in Betracht. In jedem Fall sollten Sie einige Grundregeln beachten. Der Grund, warum IT-Forensik immer von einem externen Dienstleister durchgeführt werden sollte, ist simpel: In vielen Fällen kommt ein Angriff aus den eigenen Reihen. Wird nun also ein Administrator mit der Lösung des Falls beauftragt, für den er vielleicht selbst verantwortlich ist, wird der Schuldige nie gefunden.

Und selbst wenn man seinem Mitarbeiter hundertprozentig vertraut, besteht doch die Gefahr, dass er mangels Erfahrung relevante Spuren übersieht oder sogar unbeabsichtigt verwischt und damit eine spätere professionelle Untersuchung erschwert. Sind Sie der Entdecker des Zwischenfalls, dann sind folgende Punkte zu beachten:

• Wenden Sie sich direkt an den Geschäftsführer • Erzählen Sie niemandem sonst von Ihrem Verdacht • Kontaktieren Sie einen professionellen IT-Forensik-Dienstleister • Versuchen Sie keinesfalls, selbst Spurensuche zu betreiben • Erstellen Sie eine Liste der möglicherweise betroffenen Systeme

Nun nehmen die Dinge ihren Lauf. Im ersten Schritt wird sich ein professioneller Dienstleister ein genaues Bild über die Situation machen und prüfen, welche Systeme eventuell betroffen sind, bevor er diese überhaupt untersucht. In manchen Fällen ist es sinnvoll, mit weiteren Schritten bis zum Wochenende zu warten, damit Mitarbeiter nicht in die laufenden Untersuchungen involviert werden und aus Angst oder Unbehagen hastig potentielle Spuren verwischen.

RECHNEN SIE MIT UNGLAUBLICHEN DATENMENGEN Die Wichtigkeit einer Situationsanalyse wird deutlich, wenn man sich vor Augen hält, wie viele Datenträger – und damit potentielle Beweismittel – sich durchschnittlich in einem Unternehmen befinden: Festplatten, USB-Sticks, CD-ROMs, PDAs, Mobiltelefone etc. Bei 500 Rechnern mit jeweils 80 GByte kämen alleine hier schon 40 TByte zusammen – das vollständige Kopieren dieser Datenmassen würde Tage dauern, weshalb es so wichtig ist, Prioritäten zu setzen.

Ein Profi wird zudem berücksichtigen, dass Spuren nicht nur in digitaler Form vorliegen können, und – wenn es die Situation erfordert – seinem Kunden empfehlen, die Polizei zur Sicherung und Auswertung physischer Spuren.

Achten Sie außerdem darauf, dass der Dienstleister all seine Schritte sorgfältig protokolliert – und zwar von Anfang an. Am Ende der Untersuchung wird dann ein Abschlussbericht stehen, der idealerweise in zwei Fassungen angeboten wird: einmal für technisch versierte Personen, zum anderen in einer auch für Laien verständlichen Form. Denn sollte es nach der Untersuchung zu einem Gerichtsverfahren kommen, werden Richter und Anwälte Einsicht in die Ergebnisse nehmen und natürlich auch verstehen wollen.

Schließlich wird ein Notfallplan erstellt: Welche Systeme sollten umgehend mittels eines Backups wiederhergestellt werden? Welche Computer müssen vorerst komplett abgestellt werden? Ist es notwendig, einzelnen Mitarbeitern den Zugang zu bestimmten Bereichen vorerst nicht mehr zu gestatten? Der Sinn des Notfallplans ist es, weitere Risiken zu minimieren, dabei aber den Betrieb des Unternehmens sicherzustellen.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • ETC - Enterprise Training Center

    ETC - Enterprise Training Center E-Learning, Datenschutz, B2B Dienste und Lösungen, Outsourcing, IT-Personalbereitstellung, Aus- und Weiterbildung mehr
  • DBConcepts GmbH. Die Oracle Experten.

    DBConcepts GmbH. Die Oracle Experten. Enterprise Application Integration, Datenbanken, Business Intelligence und Knowledge Management, Tools, Server-Betriebssysteme, Middleware, Betriebssysteme für PCs,... mehr
  • Anexia

    Anexia Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, RZ-Dienstleistungen, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines mehr
  • T-Systems Austria GesmbH

    T-Systems Austria GesmbH WLAN-Systeme, VPN, Voice Mail Dienste, Videokonferenz-Systeme, Unified Messaging Dienste, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management,... mehr

Hosted by:    Security Monitoring by: