Der Umgang mit Security-Incidents erfordert besondere Vorkehrungen: Ohne eine Policy und hinreichende Expertise sind die Mitarbeiter aufgeschmissen.
Hacker sind im System, der Datenverkehr zeigt verdächtige Auffälligkeiten. Jetzt den Stecker ziehen – das ist für viele der erste Gedanke. Doch eine gute Idee ist das selten, denn es erschwert die Spurensuche. Zuerst gilt es, zu klären, ob IT-Forensiker eingeschaltet werden. Diese Entscheidung behält sich zumeist das Management vor, weshalb zunächst die Alarmkette aktiviert werden muss. All das sollte vorbereitet sein, damit im Notfall eine schnelle Reaktion erfolgen kann. Wer keine Vorkehrungen getroffen hat, muss jetzt improvisieren. Einfach ist das nicht, denn viele Details müssen berücksichtigt werden – schließlich kann ein Gerichtsverfahren folgen, in dem es auf belastbare Beweise ankommt. Auch Führungskräfte sind damit schnell überfordert.
Das IT-Management ist gefordert
IT-Forensik beinhaltet aufwendige Untersuchungen. Da entsteht im Management sofort die Frage: Was kostet das? Deshalb empfiehlt der Forensikspezialist Holger Morgenstern: „Es muss gegengerechnet werden, wie teuer es werden kann, wenn ein Vorfall nicht aufklärt wird“. Diese Kosten würden häufig unterschätzt. „CIOs sind daher gut beraten, wenn sie frühzeitig Vorkehrungen getroffen haben“, erklärt Morgenstern, der im Rahmen seiner Professur an der Hochschule Albstadt-Sigmaringen im Studiengang digitale Forensik unterrichtet. Entscheidend sei dabei die Erstellung einer Policy, also die Festlegung von Strategien und Methoden für den Ernstfall.
Darin sollte beschrieben sein, wie das Unternehmen bei Security-Vorfällen vorgehen will, welche Fälle forensisch untersucht werden müssen und was zur Anzeige gebracht werden muss. Kriterien können eine bestimmte Schadenshöhe sein oder der die Sensibilität betroffener Daten. Die Meldekette sollte ebenfalls in einer Policy geregelt sein, rät Morgenstern, damit klar sei, wer informiert werden muss.
Rückgriff auf externes Know-how
Zu den weiteren Inhalten einer Policy zählt auch, wer forensische Untersuchungen durchführt. Ein Netzwerkadministrator ist dazu nicht automatisch in der Lage. „Es braucht ausgebildete Mitarbeiter“, sagt Morgenstern. Aber nicht jedes Unternehmen verfügt über hauseigene Spezialisten. Als Alternative können Betroffene auch die Polizei einschalten. In vielen Bundesländern existiert für derartige Fälle eine Hotline oder Notfallnummer. Allerdings besteht die Möglichkeit, dass ein Ereignis öffentlich wird, wenn die Polizei hinzugezogen wird.
Wer das umgehen möchte, kann auf externe Sachverständige zurückgreifen. Jedoch ist die Bezeichnung als Sachverständiger in Deutschland nicht geschützt. Morgenstern empfiehlt deshalb, auf öffentlich bestellte und vereidigte Sachverständige zurückzugreifen. Diese wissen über rechtliche Vorgaben Bescheid, denn auch ein Forensiker darf sich nicht über Gesetze hinwegsetzen. „Arbeitsrecht und Datenschutz sind zu beachten, beispielsweise, wenn Sie den Rechner eines Mitarbeiters untersuchen“, warnt der Experte. Sollte es später zu einem Gerichtsverfahren kommen, seien diese Spezialisten von Vorteil, weil sie von den Gerichten bereits anerkannt wurden. Dadurch würden langwierige Diskussionen über geeignete oder untaugliche Methoden bei der Beweissicherung unwahrscheinlich. Denn „entscheidend ist, Daten in beweissicherer Form zu sichern, aus forensischer Sicht so früh wie möglich“, betont Morgenstern.