Cybercrime-Detektive im Einsatz

Bei einem Sicherheitsvorfall sind spezielle Maßnahmen erforderlich. Gerichte verlangen, dass alle Schritte dokumentiert und Beweise gesichert wurden. Dafür existieren spezielle Tools.

Nach einem erfolgreichen Angriff steht die IT vor besonderen Herausforderungen. Spuren müssen aufwendig gesichert werden, zugleich sollen die Systeme schnellstens wieder verfügbar sein. Das erfordert neben Fachwissen auch geeignete Werkzeuge.

Für diesen Ernstfall existiert hoffentlich ein Masterplan, der die notwendigen Abläufe beschreibt, denn besonnenes Handeln ist jetzt entscheidend, falsche Schritte können unangenehme Konsequenzen haben (mehr dazu hier). Schließlich kann es sich um einen strafrechtlich relevanten Vorfall handeln, für ^den die Spuren gesichert und die dazu erforderlichen Schritte dokumentiert werden müssen. Die Gefahr dabei: Mit jeder Maßnahme können zugleich Beweise verändert werden. Schon ein Login oder das Sichten von Logfiles hinterlässt Spuren, die die des Eindringlings überlagern könnten.

Die detektivische Spurensuche nach den Ursachen und Auswirkungen des Schadensereignisses ist ein Fall für IT-Forensiker. Sind im Unternehmen keine entsprechend ausgebildeten Fachleute vorhanden, können externe Spezialisten hinzugezogen werden.

Beweise sichern

Zunächst muss der aktuelle Zustand aller betroffenen Systeme gesichert werden. Experten raten, zuerst mit einer speziellen Software ein Abbild des Hauptspeichers zu erzeugen. Denn hier werden eventuell laufende Prozesse sichtbar, die im Laufe des Hacks gestartet wurden. Würde das System abgeschaltet oder heruntergefahren, wären diese Spuren verloren. Außerdem existiert sogenannte diskless Malware, die ohne Dateien auf den Festplatten auskommt.

Im nächsten Schritt können die Speichermedien gesichert werden. Wer ganz gewissenhaft vorgeht, sichert Festplatten und andere angeschlossene Massenspeicher zunächst im laufenden Zustand und danach erneut, nachdem das System heruntergefahren wurde. Durch dieses gedoppelte Vorgehen wird zumeist erkennbar, welche Dateien sich vor dem Systemstopp im geöffneten Zustand befanden.

Bei unternehmenskritischen Systemen, die nicht stillstehen dürfen, sollte eine Redundanz vorhanden sein. Dadurch kann ein System gesichert werden, während das Andere weiterläuft.

Spezielle Forensik-Tools

Sollen später juristische Schritte eingeleitet werden, müssen alle Spurensicherungen in beweissicherer Form erfolgen. Dazu ist nicht jede Backup-Software geeignet, Forensiker greifen deshalb auf spezielle Tools zurück. Ein beliebtes Tool aus dem Open-Source-Bereich ist das Sleuth Kit, eine forensische Software-Sammlung, die mit Autopsy als grafischer Benutzeroberfläche umfassend ergänzt werden kann.

In besonderen Fällen, wenn das Vorgehen des Angreifers beobachtet werden soll, werden andere Maßnahmen nötig. Die dabei eingesetzten Tools sollen es ermöglichen, jeden Schritt des Angreifers mitzuverfolgen, um zu ergründen, worauf er es abgesehen hat, welche Veränderungen er vornimmt und welche Sicherheitslücken genutzt wurden.

Die Komplexität dieser Detektivarbeit veranlasste das Bundesamt für Sicherheit in der Informationstechnik (BSI), einen sehr detaillierten Leitfaden für die IT-Forensik zu veröffentlichen. Das Werk mit einem Umfang von über 300 Seiten enthält auch nützliche Checklisten. Eine deutlich kompaktere Einführung in die Computer-Forensik findet sich ebenfalls auf den Webseiten des BSI.

Haben die Forensiker ihre Tätigkeit beendet, fängt für die Administratoren die Arbeit an: Vor dem Wiederanlauf der betroffenen Systeme müssen diese von Malware befreit oder neu installiert werden, eventuelle Hintertüren sind zu schließen und ausgenutzte Sicherheitslücken zu beseitigen.

IT-Forensik aus Sicht des Managements wird in diesem Artikel beleuchtet.