03890 Spurensuche – Computer-Forensik
Trotz umfangreicher Sicherheitsmaßnahmen in den Unternehmen und Behörden kann es dennoch zu Sicherheitsvorfällen kommen. Solche Sicherheitsvorfälle können Hackereinbrüche, Angriffe auf die Verfügbarkeit wichtiger IT-Systeme oder auch der Diebstahl vertraulicher Informationen sein. Wird ein solcher Vorfall gemeldet oder besteht der Verdacht, dass ein Sicherheitsvorfall stattgefunden hat, muss die betroffene Organisation entscheiden, wie zu verfahren ist.
Eine Option sind forensischen Untersuchungen, um mit Hilfe spezieller Ermittlungsmethoden herauszufinden, ob es sich wirklich um einen Sicherheitsvorfall gehandelt hat, welche Systemlücken dazu führten, welchen Weg ein Angreifer nahm und welcher Schaden durch den Einbruch entstanden ist. Dieser Beitrag zeigt, wo man nach Beweisspuren suchen sollte, wie man sie erkennen kann, wie sie zu bewerten sind und wie sie gerichts-verwertbar gesichert werden sollten. Arbeitshilfen: von: |
1 Einführung in die Computer-Forensik
Ziele der Ermittlung
Die Ziele einer forensischen Ermittlung (Nachweis und Aufklärung von strafbaren Handlungen durch Sammlung und Auswertung von digitalen Spuren) nach einem Systemeinbruch oder einem anderen Sicherheitsvorfall sind in der Regel die Erkennung der Methode oder der Schwachstelle, die zum Systemeinbruch geführt haben könnte, die Ermittlung des entstanden Schadens nach einem Systemeinbruch, die Identifikation des Angreifers und die Sicherung der Beweise für weitere juristische Aktionen. Hierfür müssen aber die richtigen Daten von einem betroffenen System gesammelt werden. Dabei muss sichergestellt werden, dass so viele Informationen wie möglich von einem kompromittierten System gesammelt werden können. Der aktuelle Zustand bzw. Status dieses Systems darf hierbei nur so wenig wie möglich verändert werden.
Die Ziele einer forensischen Ermittlung (Nachweis und Aufklärung von strafbaren Handlungen durch Sammlung und Auswertung von digitalen Spuren) nach einem Systemeinbruch oder einem anderen Sicherheitsvorfall sind in der Regel die Erkennung der Methode oder der Schwachstelle, die zum Systemeinbruch geführt haben könnte, die Ermittlung des entstanden Schadens nach einem Systemeinbruch, die Identifikation des Angreifers und die Sicherung der Beweise für weitere juristische Aktionen. Hierfür müssen aber die richtigen Daten von einem betroffenen System gesammelt werden. Dabei muss sichergestellt werden, dass so viele Informationen wie möglich von einem kompromittierten System gesammelt werden können. Der aktuelle Zustand bzw. Status dieses Systems darf hierbei nur so wenig wie möglich verändert werden.
Wesentliche Fragen
Diese Problematik, die oft nur schwer umzusetzen ist, wirft für die zu wählende Ermittlungsstrategie wesentliche Fragen auf:
Diese Problematik, die oft nur schwer umzusetzen ist, wirft für die zu wählende Ermittlungsstrategie wesentliche Fragen auf:
• | Wie verifiziert man den Angriff? |
• | Wie sichert man den kompromittierten Rechner und die zugehörige Umgebung? |
• | Welche Methoden werden für die Sammlung von Beweisen verwendet? |
• | In welcher Reihenfolge werden die Beweisspuren gesammelt? |
• | Wo sucht man nach Anhaltspunkten und wie können sie gefunden werden? |
• | Wie analysiert man das Unbekannte? |
Grundlegende Aspekte
Bei der Wahl der richtigen Strategie zur Bewältigung eines Sicherheitsvorfalls sind zwei grundlegende und sich gegenseitig beeinflussende Aspekte zu berücksichtigen: Zunächst will man den direkten, aber auch indirekten Schaden, der zum Beispiel durch Imageverlust (die Folgen sind oft Geschäftseinbußen) entstehen könnte, so gering wie möglich halten, gleichzeitig soll aber auch der Tathergang möglichst umfassend rekonstruiert werden, um mögliche Tatverdächtige zu identifizieren. Hinzu kommt, dass jeder Sicherheitsvorfall eine unterschiedliche Ermittlungsstrategie erfordert.
Bei der Wahl der richtigen Strategie zur Bewältigung eines Sicherheitsvorfalls sind zwei grundlegende und sich gegenseitig beeinflussende Aspekte zu berücksichtigen: Zunächst will man den direkten, aber auch indirekten Schaden, der zum Beispiel durch Imageverlust (die Folgen sind oft Geschäftseinbußen) entstehen könnte, so gering wie möglich halten, gleichzeitig soll aber auch der Tathergang möglichst umfassend rekonstruiert werden, um mögliche Tatverdächtige zu identifizieren. Hinzu kommt, dass jeder Sicherheitsvorfall eine unterschiedliche Ermittlungsstrategie erfordert.