Aktuelle Meldungen

IT-Forensik

11-02-2022

Was genau ist eigentlich IT-Forensik? Der Hauptbegriff „Forensik“ beschreibt im klassischen Sinne die „Untersuchung von kriminellen Handlungen“. Dementsprechend könnte der Begriff IT-Forensik durch die „Untersuchung von kriminellen Handlungen in der Informationstechnik“ abgeleitet werden. 

Eine einheitliche Definition hat sich aber bisher noch nicht durchgesetzt. Daher werden wir mit diesem Beitrag das Gebiet der IT-Forensik und die Arbeit von IT-Forensikern genauer unter die Lupe nehmen und klären: Was ist IT-Forensik und wann wird sie eingesetzt? Was ist das Ziel der IT-Forensik, wie gehen IT-Forensiker vor und was kann das Ergebnis einer IT-Forensik sein? 

 

Was bedeutet der Begriff IT-Forensik und was ist das Ziel dieser Untersuchung?

Der Begriff IT-Forensik wird für viele Arten von Untersuchungen verwendet. Wie so oft in der IT gibt es hier keine exakte gemeinsame Linie. Daher verfolgen verschiedene Anbieter unterschiedliche Ansätze. Das Hauptziel sollte in der Regel aber sein, Transparenz in Vorfälle zu bringen. 

Dafür machen sich IT-Forensiker u.a. die Beantwortung klassischer W-Fragen zunutze:

  • Was ist passiert?
  • Warum ist es passiert?
  • Wo ist es passiert? 
  • Wie ist es passiert? 
  • Wer hat etwas getan?
  • Wann ist es passiert?

Welche Arten der IT-Forensik gibt es?

Es gibt zwei Arten von forensischen Analysen: Die Online- und die Offline-Analyse. Welche Art der IT-Forensik durchgeführt wird, hängt von den Zielen sowie vom Zeitpunkt der Analyse ab: Ist die Analyse bei einem akuten Sicherheitsvorfall nötig, das heißt, zum Zeitpunkt der Untersuchung findet beispielsweise ein Angriff statt. Oder wird die Analyse post mortem durchgeführt, was bedeutet, dass die IT-Forensiker nachzuvollziehen versuchen, was in der Vergangenheit vorgefallen ist.

Es ist essenziell, sich dieser Unterschiede im Klaren zu sein, um entscheiden zu können, welche Maßnahmen des IT-Forensikers zielführend sind. 

Die post mortem bzw. Offline-Analyse

Nehmen wir an, ein Unternehmen findet Anomalien in Ihrer IT. Die Analyse wird dementsprechend nach dem Sicherheitsvorfall durchgeführt. Es besteht kein maßgeblicher Zeitdruck für die Prüfung und die IT-Forensiker können alle Beweismittel in Ruhe 

  • identifizieren und unverändert sichern 
  • anhand der oben genannten W-Fragen analysieren und bewerten
  • Dritten im Anschluss präsentieren

Als Faustregel gilt: Je physisch präsenter der Angriff ist, desto höher ist auch die Wahrscheinlichkeit zu erfahren, wer etwas getan hat und damit die Ermittlung des Täters. 

Die Offline-Analyse ist sehr analytisch und strukturiert. Sie läuft nach einem gewissen Schema ab, um eine hohe Qualität zu erreichen und die Daten gerichtsverwertbar erheben zu können. Dabei nimmt der IT-Forensiker die Rolle eines Ermittlers ein. 

Die post mortem bzw. Offline-Analyse wird oftmals auch als klassische IT-Forensik verstanden, da der Begriff ursprünglich aus dieser Art der Analyse entstanden ist. 

Die Live- bzw. Online-Analyse

In den letzten Jahren hat sich die Art der Sicherheitsvorfälle durch Home-Office oder dem Trend zum Cloud Computing gewandelt. Auch haben Unternehmen gelernt, Angriffe bereits zu erkennen, während sie passieren. Daher wird der Begriff der IT-Forensik vermehrt auch für akute Incidents und deren Live-Analyse verwendet. 
Um wieder bei unserem Unternehmensbeispiel zu bleiben, nehmen wir die Situation an, dass ein Angreifer gegenwärtig Daten stiehlt und damit die Geschäftsleitung erpresst. Hier wird - im Gegensatz zur Offline- bzw. post mortem Analyse - die IT-Forensik eingesetzt 

  • um zu verstehen, was gerade passiert
  • um den Vorfall in der Situation zu managen 
  • um den Schaden gegebenenfalls so gering wie möglich zu halten

Die Täterermittlung selbst wird bei einem Live-Incident immer schwerer zu beantworten, da sich die Täter überall auf der Welt befinden. Zusätzlich sind sie daher über polizeibehördliche Maßnahmen nur schwer zur Verantwortung zu ziehen. Daher wird die Ermittlung der Täter selbst zunehmend zweitranging. 

Die Online-Analyse ist um Gegensatz zur Offline-Analyse kreativer, invasiver und investigativer und die Arbeit der IT-Forensiker viel dynamischer. Sie müssen nicht nur herausfinden, was passiert ist, sondern auch, wie der Zugang beendet werden kann und ob noch andere Daten entwendet bzw. andere Manipulationen durchgeführt wurden, für die der Angreifer in seiner Rolle die Möglichkeit gehabt haben könnte. 

Welche drei großen Schwierigkeiten gibt es bei einer forensischen IT-Analyse?

1.    IT-Forensiker stehen bei einem Live-Incident vor einer Masse von Informationen und sind dem Angreifer ressourcentechnisch in der Analyse hemmungslos unterlegen. Die Schwierigkeit ist daher herauszukristallisieren, welche Informationen einen Mehrwert für die Untersuchung haben und weiterverfolgt werden sollten und welche Informationen in der Situation außer Acht gelassen werden können. Dafür muss sich der IT-Forensiker in die Lage des Angreifers versetzen und das Leistungsniveau des Angriffs kategorisieren. Geht der IT-Forensiker von einem sehr technisch versierten Angreifer aus, kann beispielsweise eine Analyse des Domänencontrollers sinnvoll sein. Ist der Angreifer ein interner Büroangestellter mit wenigen IT-Kenntnissen, wird der Vorfall in einem der unteren Level eingeordnet und analysiert. Um diese Kategorisierung und damit die effektive Ressourcenplanung zu gewährleisten, ist eine umfangreiche Erfahrung des IT-Forensikers essenziell. Nur so kann bei einem Sicherheitsnotfall schnell reagiert und der Schaden eingedämmt werden.

2.    Die IT-Forensik kann im weiteren Sinne als Werkzeug der IT-Sicherheitsberatung gesehen werden, das in unterschiedlichen Situationen eingesetzt wird. Daher kann eine forensische Analyse nicht ohne Kontext betrieben werden und muss immer individuell betrachtet werden. 

3.    IT-Forensiker betrachten Daten, die vorhanden sind und leiten daraus Schlüsse ab. Bei jedem Sicherheitsvorfall werden beispielsweise früher oder später die Logfiles analysiert. Sind diese Daten nicht mehr vorhanden, kann keine forensische Analyse durchgeführt werden. Daher ist die Vorbereitung auf einen Sicherheitsvorfall und damit ein etabliertes Incident Management essenziell für die IT-Forensik. 

Welche Vorbereitung sollte für die IT-Forensik für den Fall eines Incidents getroffen werden?

Die Vorbereitung wird im Beitrag „Incident Management“ ausführlich behandelt. Nichtsdestotrotz geht dieser Artikel noch einmal kurz auf den wichtigsten Punkt ein.

Wir kommen wieder auf unser Unternehmensbeispiel zurück: 
Ein Mitarbeiter klickt auf eine Schadsoftware. Dies können Sie als Unternehmen auch bei bester Vorbereitung nie zu 100 % verhindern. Diese Schadsoftware eskaliert bis zum Domänencontroller.

Die Empfehlung unseres CTO  und Leiter des Antago Incident Response Teams, M.Sc. Informatik Alexander Dörsam, ist: Legen Sie Szenarien für den Fall einer notwendigen IT-Forensik an und überprüfen Sie im Vorfeld
-    ob Sie die Schadsoftware erkennen können
-    ob Sie Protokolle haben, die den Weg der Schadsoftware bis zum Domänencontroller erfassen
-    wie lange die Logfiles gespeichert sind
-    wie schnell der IT-Forensiker auf die Logfiles zugreifen kann
-    ob sie die Files datenschutz- sowie betriebsrechtlich im Notfall analysieren dürfen

Wenn Sie noch mehr Informationen zum Incident Management benötigen, können Sie gerne unser Whitepaper zum Thema „Erste Hilfe im Schadensfall“ downloaden.