Digital Forensics: Wie Sie eine umgehende und effiziente Aufklärung von erfolgreichen Cyberangriffen sicherstellen

Die registrierte Anzahl von IT-Sicherheitsvorfällen als eine Folge der rasanten Entwicklung neuer und angepasster Cyber-Angriffsmethoden ist besorgniserregend – und kann teilweise gravierende finanzielle Folgen sowie Reputationsschäden für Unternehmen nach sich ziehen. Nach einem erfolgten Cyberangriff heißt es daher, einen kühlen Kopf zu bewahren. Nun gilt es, umgehend Experten heranzuziehen, um den IT-Sicherheitsvorfall so umfassend und so schnell wie möglich mit forensischen Methoden aufzuklären. Digital Forensics Specialists sind nun gefragt, um Beweise für die Strafverfolgung, aber auch für Ansprüche gegenüber Versicherungen und Dienstleistern zu sichern. Insbesondere ist es von elementarer Bedeutung, das Schadenausmaß zu bestimmen. Wertvolle Spuren, die Hinweise auf den oder die Täter liefern können, dürfen nicht durch übereilte Handlungen verwischt werden. Mit Hilfe der Digital Forensics wird der IT-Sicherheitsvorfall umfassend analysiert und rekonstruiert – mit dem Ziel, anhand der gesammelten und analysierten Informationen eine Strafverfolgung der Täter zu ermöglichen. Es gilt darüber hinaus, zeitnah geeignete Gegenmaßnahmen durchzuführen sowie zukünftige Abwehrmaßnahmen zu definieren.

Was umfasst die digitale Spurensuche nach einem IT-Sicherheitsvorfall?

„Was genau ist passiert?“ Dieser zentralen Frage nach einem IT-Sicherheitsvorfall widmet sich die Digital Forensic. Sie gehört als Teildisziplin zur Forensik, genau wie die psychologische Forensik oder die Gerichtsmedizin. Spuren nach streng festgelegten Standards nachverfolgbar zu sichern, gerichtsverwertbare Beweise zu sammeln und Tatbestände aufzuklären: Digital Forensics Specialists betreiben akribische Kleinarbeit rund um einen erfolgten Cyberangriff.

Jeder, der digitale Geräte verwendet, hinterlässt zwangsläufig Spuren. Ein wichtiges Aufgabenfeld der Digital Forensics Analysts besteht darin, diese flüchtigen Spuren zu erkennen, zu extrahieren und zu visualisieren.

Dabei gehen die Experten an folgenden möglichen Angriffspunkten auf Spurensuche:

• Endpoint Forensics

Laptops, Workstations oder Server: Endpoints sind für Digital Forensics Specialists eine wahre Fundgrube zur Identifikation von Angriffsspuren. Daher werden Endpoints im Rahmen einer forensischen Untersuchung in der Regel zuerst analysiert. Wurde Malware auf den Geräten installiert oder liegt ein auffälliges Nutzverhalten vor, das von den unternehmensüblichen Anwenderverhalten abweicht? Mittels Data Exfiltration gewinnen Forensiker aus den Geräten Erkenntnisse über den Ablauf des Cyberangriffs.

• Network Forensics

Auch der Netzwerkverkehr kann den Forensik-Experten wichtige Einblicke in einen Cyberangriff liefern. Bei der Infiltration von Netzwerkern hinterlassen Angreifer Spuren, die durch die Forensiker mittels Full-Packet-Capture, Netflow oder Log-Management aufgedeckt und gesichert werden.

• Malware Forensics

Ransomware, Trojaner, Rootkits oder Spyware: Bei vielen Cyberangriffen wird Schadsoftware zur Infiltration von Rechnern und Netzwerken eingesetzt. Für Digital Forensics Analysts bietet (potenzielle) Malware einen wichtigen Ausgangspunkt für die Identifikation von IoCs (Indicators of Compromise). Die Merkmale und Daten, die auf eine Kompromittierung eines Netzwerkes oder Computersystems hinweisen, ermöglichen den Experten eine Rekonstruierung des Tathergangs und eine Bewertung des Schadenausmaßes.

Welche forensischen Analysemöglichkeiten gibt es?

Im Bereich der Digital Forensic werden zwei Analyse-Arten verwendet: die Live-Analyse und die Post-Mortem-Analyse.

Die Live-Analyse findet an einem angeschalteten Rechnersystem statt. Hier geht es vor allem darum, flüchtige Dateninformationen zu extrahieren und diese zu untersuchen. Zu den „flüchtigen Daten“ zählen beispielsweise Informationen zu bestehenden Netzwerkverbindungen, zu in einem Netzwerk angemeldeten Benutzern, aktive Prozesse in den Systemen oder auch Passwörter entschlüsselter Laufwerke. Die große Herausforderung bei der Live-Analyse ist die Arbeit an den Systemen in Echtzeit. Bereits kleinste Eingriffe, wie eine Tastatureingabe oder die Bewegung der angeschlossenen Maus, verändern die Daten des Rechnersystems. Daher kommt es gerade bei Live-Analysen auf die strenge Einhaltung vordefinierter Verfahrensanweisungen an.

Die Post-Mortem-Analyse ist die zweite Variante im Bereich der IT Forensic. Diese Analyse wird dann durchgeführt, wenn ein IT-Sicherheitsvorfall schon längere Zeit zurückliegt oder flüchtige Dateiinformationen für die Aufklärung des Vorfalls nicht relevant sind. Die Hauptarbeiten im Bereich der forensischen Post-Mortem-Analysen finden an den Datenträgern der von einem Cyberangriff betroffenen Rechnersysteme statt. Im Fokus der Ermittlungen stehen dabei die Zeiten der Metadaten innerhalb des Systems.

Was sind die Digital Forensic Steps nach einem IT-Sicherheitsvorfall?

Zwar unterscheiden sich der Ort der Beweissicherung und die verwendeten Tools bei jedem forensischen Einsatz – aber die Vorgehensweise bleibt immer dieselbe. Die Digital Forensic Specialists der SECUINFRA führen forensische Analysen in sechs aufeinander aufbauenden und miteinander verzahnten Schritten durch. Der sogenannte „Investigation Lifecycle“ umfasst dabei:

Identification

In der ersten Phase eines Digital Forensic Einsatzes geht es um die wichtige Frage, was eigentlich genau vorgefallen ist. In der Identification Phase nehmen die Forensiker Kontakt mit dem betroffenen Unternehmen auf, stimmen sich mit dem Auftraggeber eng ab und führen erste Befragungen durch. Die Spurensuche beginnt mit dem Ermitteln möglicher Quellen für relevante Beweise.

Preservation

Damit der genaue Tathergang rekonstruiert und eine nicht manipulierbare, nachvollziehbare Beweismittelkette – die chain of custody – gebildet werden kann, erstellen die Digital Forensic Analysts in der Preservation-Phase strenge Richtlinien im Umgang mit den in späteren Phasen ermittelten und zu analysierenden Spuren. Die chain of custody ist nicht nur für die Strafverfolgung oder die Inanspruchnahme von Versicherungsleistungen relevant, sondern ermöglicht auch die Rekonstruierung des genauen Tathergangs. Die gewonnenen Informationen können im Nachgang von dem betroffenen Unternehmen für eine Verbesserung der Cyber Resilience verwendet werden.

Collection

Cyberangreifer hinterlassen digitale Spuren. Diese werden in der dritten Phase eines Digital Forensic Einsatzes von den Forensik-Experten zur späteren Auswertung zusammengetragen. Je nach Security Incident können die Beweise auf infizierten Laptops, Festplatten oder Telefonen, in Logdaten, Downloads oder Systemimages und auch in Mitschnitten des Netzwerkverkehrs beziehungsweise den Inhalten von Mailboxen verborgen sein. Wenn bei der anschließenden Analyse der Beweismittel Indizien auf weitere Quellen für relevante Beweise sichtbar werden, kann die Collection Phase mehrmals wiederholt werden.

Analysis

Die gesammelten Beweismittel werden in der Analysis Phase intensiv und systematisch analysiert. Gefundene Beweise werden bewertet und Schlussfolgerungen auf Grundlage der gefundenen Beweise gezogen. Es ist möglich, dass durch das Auffinden von Beweisen weitere Beweismittel eingesammelt werden müssen (durch eine Wiederholung der Collection Phase), damit die Digital Forensics Specialists die gezogenen Schlussfolgerungen bestätigen beziehungsweise widerlegen können. Die Analysis Phase ist geprägt von wissenschaftlicher Akribie – schließlich kann sich auch hinter der kleinsten Spur ein wichtiger Beweis verbergen.

Documentation

Die Dokumentation der Ermittlungen ist ein kontinuierlicher Prozess während des gesamten forensischen Einsatzes. Nur durch eine gründliche, dauerhafte Dokumentation kann sichergestellt werden, dass der gesamte forensische Einsatz detailliert und gerichtsfest nachvollzogen werden kann. In die Dokumentation fließen alle Details des Einsatzes ein, beginnend mit der Aufnahme des Falls über die Ergebnisse der ersten Befragungen, die Aufnahme und Analyse der Beweismittel, die daraus resultierenden Schlussfolgerungen und die finale Rekonstruktion des Cyberangriffs. Mit einer detaillierten und lückenlosen Dokumentation wird die nachvollziehbare chain of custody – die Beweismittelkette – gebildet.

Presentation

Die Presentation Phase stellt die finale Phase eines Digital Forensic Einsatzes dar. Hier wird auf Grundlage der gefundenen Beweise und der daraus resultierenden Schlussfolgerungen der Ablauf des Cyberangriffs möglichst genau rekonstruiert. Die Digital Forensics Analysts erstellen eine unumstößliche Beweismittelkette, die für die Strafverfolgung oder zur Durchsetzung von Schadensersatzansprüchen verwendet werden kann. Sofern es gewünscht wird, können die Erkenntnisse der rekonstruierten Tat im Anschluss für Verbesserungsvorschläge zur Stärkung der Cyber Resilience des betroffenen Unternehmens eingesetzt werden.

Was sind die Vorteile eines Digital Forensics-Rahmenvertrags?

IT-Sicherheitsvorfälle können mit digitaler Forensik verlässlich aufgeklärt werden – vorausgesetzt, Werkzeuge werden richtig und zeitnah von qualifizierten Spezialisten eingesetzt. Ein Digital Forensics-Rahmenvertrag ermöglicht es Unternehmen, schnell und unkompliziert auf eine effiziente und zielgerichtete Unterstützung durch Digital Forensics Specialists zurückgreifen zu können.  Mit einem individuellen Forensik-Rahmenvertrag können sich Unternehmen bestmöglich auf den IT-Ernstfall vorbereiten. Neben den deutlichen finanziellen Einsparpotenzialen bietet ein Forensik-Rahmenvertrag noch weitere Vorteile:

1) Schneller und bekannter Meldeweg
Tritt ein Incident auf, geht bei einem bestehenden Rahmenvertrag keine wertvolle Zeit verloren. Das Experten-Team des Forensik-Dienstleisters kennt die technische und organisatorische Infrastruktur des Kunden bereits, so dass der Zeitaufwand entfällt, sich erst in die bestehende Systemarchitektur einarbeiten zu müssen. Der direkte Kontakt zum verantwortlichen Digital Forensic Team erspart den Umweg über den Vertrieb. Die Reaktionszeiten werden so deutlich beschleunigt.

2) Weniger Bestellaufwand
Ein bestehender Forensik-Rahmenvertrag minimiert verwaltungstechnische Aufwände im akuten Schadensfall. Dies hält Kapazitäten frei und ermöglicht einen zeitnahen Einsatz der IT-Forensiker ohne Umwege.

3) Zugesichertes Service-Level-Agreement (SLA)
Durch einen Forensik-Rahmenvertrag ist sichergestellt, dass die Leistungen der Forensik-Dienstleister ganz exakt auf den Bedarf eines Unternehmens hin zugeschnitten sind. Unternehmen profitieren von fest zugesagten Reaktionszeiten bei schwerwiegenden IT-Sicherheitsvorfällen und können sich auf einen schnellen Zugriff auf Expertenwissen verlassen.

4) Sinkender Verhandlungsaufwand
Bei einem akuten Sicherheitsvorfall können anstehende Preisverhandlungen wertvolle Zeit kosten. Bei einem Forensik-Rahmenvertrag besteht nur ein initialer Verhandlungsaufwand – und dies im Vorfeld möglicher IT-Sicherheitsvorfälle. Das senkt nicht nur Kostenaufwände, sondern macht den Einsatz der IT-Forensik-Experten auch finanziell besser planbar.

5) Vergünstigte Konditionen
Durch die langfristige Zusammenarbeit zwischen einem Unternehmen und einem IT-Forensik-Dienstleister sind attraktive, vergünstigte Konditionen möglich. Ohne bestehenden Forensik-Rahmenvertrag sind bei einem akuten Incident deutliche Preisaufschläge zu erwarten, insbesondere bei schnellen, unplanbaren Einsätzen der IT-Experten.