Cybercrime-Detektive im Einsatz

it-sa 2019

NürnbergMesse

PantherMedia / stevanovicigor

Bei einem Sicherheitsvorfall sind spezielle Maßnahmen erforderlich. Gerichte verlangen, dass alle Schritte dokumentiert und Beweise gesichert wurden. Dafür existieren spezielle Tools.

Nach einem erfolgreichen Angriff steht die IT vor besonderen Herausforderungen. Spuren müssen aufwendig gesichert werden, zugleich sollen die Systeme schnellstens wieder verfügbar sein. Das erfordert neben Fachwissen auch geeignete Werkzeuge. 

Für diesen Ernstfall existiert hoffentlich ein Masterplan, der die notwendigen Abläufe beschreibt, denn besonnenes Handeln ist jetzt entscheidend, falsche Schritte können unangenehme Konsequenzen haben (mehr dazu hier). Schließlich kann es sich um einen strafrechtlich relevanten Vorfall handeln, für den die Spuren gesichert und die dazu erforderlichen Schritte dokumentiert werden müssen.

Die Gefahr dabei: Mit jeder Maßnahme können zugleich Beweise verändert werden. Schon ein Login oder das Sichten von Logfiles hinterlässt Spuren, die die des Eindringlings überlagern könnten.

Auf der it-sa gibt es eine Live-Hacking Vorführung
Live-Hacking auf der it-sa
Quelle: NuernbergMesse / Thomas Geiger

Die detektivische Spurensuche nach den Ursachen und Auswirkungen des Schadensereignisses ist ein Fall für IT-Forensiker. Sind im Unternehmen keine entsprechend ausgebildeten Fachleute vorhanden, können externe Spezialisten hinzugezogen werden.

Beweise sichern

Zunächst muss der aktuelle Zustand aller betroffenen Systeme gesichert werden. Experten raten, zuerst mit einer speziellen Software ein Abbild des Hauptspeichers zu erzeugen. Denn hier werden eventuell laufende Prozesse sichtbar, die im Laufe des Hacks gestartet wurden. Würde das System abgeschaltet oder heruntergefahren, wären diese Spuren verloren. Außerdem existiert sogenannte diskless Malware, die ohne Dateien auf den Festplatten auskommt.

Im nächsten Schritt können die Speichermedien gesichert werden. Wer ganz gewissenhaft vorgeht, sichert Festplatten und andere angeschlossene Massenspeicher zunächst im laufenden Zustand und danach erneut, nachdem das System heruntergefahren wurde. Durch dieses gedoppelte Vorgehen wird zumeist erkennbar, welche Dateien sich vor dem Systemstopp im geöffneten Zustand befanden.

Bei unternehmenskritischen Systemen, die nicht stillstehen dürfen, sollte eine Redundanz vorhanden sein. Dadurch kann ein System gesichert werden, während das Andere weiterläuft.

Spezielle Forensik-Tools

Sollen später juristische Schritte eingeleitet werden, müssen alle Spurensicherungen in beweissicherer Form erfolgen. Dazu ist nicht jede Backup-Software geeignet, Forensiker greifen deshalb auf spezielle Tools zurück. Ein beliebtes Tool aus dem Open-Source-Bereich ist das Sleuth Kit, eine forensische Software-Sammlung, die mit Autopsy als grafischer Benutzeroberfläche umfassend ergänzt werden kann.

In besonderen Fällen, wenn das Vorgehen des Angreifers beobachtet werden soll, werden andere Maßnahmen nötig. Die dabei eingesetzten Tools sollen es ermöglichen, jeden Schritt des Angreifers mitzuverfolgen, um zu ergründen, worauf er es abgesehen hat, welche Veränderungen er vornimmt und welche Sicherheitslücken genutzt wurden.

Die Komplexität dieser Detektivarbeit veranlasste das Bundesamt für Sicherheit in der Informationstechnik (BSI), einen sehr detaillierten Leitfaden für die IT-Forensik zu veröffentlichen. Das Werk mit einem Umfang von über 300 Seiten enthält auch nützliche Checklisten. 

Haben die Forensiker ihre Tätigkeit beendet, fängt für die Administratoren die Arbeit an: Vor dem Wiederanlauf der betroffenen Systeme müssen diese von Malware befreit oder neu installiert werden, eventuelle Hintertüren sind zu schließen und ausgenutzte Sicherheitslücken zu beseitigen.

Verwandte Artikel

Wie können die Anforderungen des BSI IT-Grundschutz in einer mobilen Infrastruktur umgesetzt werden?

Wie können die Anforderungen des BSI IT-Grundschutz in einer mobilen Infrastruktur umgesetzt werden?

Holger Schildt, Referatsleiter "BSI-Standards und IT-Grundschutz" leitet das für den IT-Grundschutz zuständige Referat und ist unter anderem für die BSI-Standards und die IT-Grundschutz-Bausteine verantwortlich. Im Gespräch erläutert...

Investigativjournalist Misha Glenny hält Special Keynote der it-sa 2019

Investigativjournalist Misha Glenny hält Special Keynote der it-sa 2019

Der Special Keynote Speaker der it-sa 2019 heißt Misha Glenny. Der preisgekrönte britische Investigativjournalist, Autor des Bestsellers McMafia und Cybercrime-Experte spricht am Donnerstag, den 10. Oktober um 12:00 Uhr im Forum International. Der...

Passwort 2.0

Passwort 2.0

Ob Passwort oder Biometrie, viele Sicherheitsverfahren haben selbst Schwächen. Neue Schutzkonzepte sind erforderlich, einige Entwicklungen klingen vielversprechend.

:

Photo

Erreichbarkeit durch die Polizei

Die staatlichen Organe zur Gewährleistung der öffentlichen Sicherheit und Ordnung und hier insbesondere die Landespolizeien sind ein wichtiger Teilbereich der Daseinsvorsorge. Im Rahmen des…