Nach dem Datenklau

Was die IT-Forensik leisten kann

07.05.2013
Von Benjamin Liebe
Wer schon vor einem Datenabfluss seine technischen Möglichkeiten für die "Zeit danach" kennt, meistert Sicherheitsvorfälle leichter.

Verschafft sich ein Angreifer unberechtigt Zugriff auf Daten, handelt es sich um einen IT-Sicherheitsvorfall. Die richtige Reaktion auf ein solches Ereignis besteht aus einer Kette von Handlungen, innerhalb der die IT-Forensik zur Analysephase gehört.

Die IT-Forensik kann vieles leisten, oft aber nicht unmittelbar - zusätzliche Werkzeuge sind daher nötig.
Die IT-Forensik kann vieles leisten, oft aber nicht unmittelbar - zusätzliche Werkzeuge sind daher nötig.
Foto: Eisenhans - Fotolia.com

Die klassische IT-Forensik erlaubt es, anhand vorhandener Spuren offene Fragen zu beantworten, die nach einem möglichen Vorfall bestehen. Dazu gehört beispielsweise die Frage nach Art und Menge der preisgegebenen Daten oder danach, welche Schritte der Angreifer genau unternommen hat. Schnelle Antworten direkt zu Beginn eines Vorfall kann sie hingegen nicht geben. Deshalb ist es in akuten Fällen nicht sinnvoll, zunächst auf das Ergebnis einer forensischen Untersuchung zu warten und erst danach über weitere Schritte zu entscheiden. Stattdessen gilt es, zusätzlich andere Methoden zur Erstbewertung einzusetzen und später das Bild mit den nach und nach eintreffenden Erkenntnissen der forensischen Untersuchung zu vervollständigen.

Ansatzpunkte für Untersuchungen

Erkenntnisse über einen Vorfall lassen sich aus verschiedenen Quellen gewinnen. Die klassische IT-Forensik, wie sie auch zur Aufklärung von Straftaten verwendet wird, verlässt sich hauptsächlich auf die Analyse von Datenträgern, Dateisystemen und darin abgelegten Dateien. Insbesondere bei Vorfällen in Server-Umgebungen können die Datenmengen jedoch beträchtlich sein. Eine Kopie und Auswertung der Informationen dauert lange, eine kurzfristige Lieferung von Antworten ist unmöglich.

Daneben hat sich in den letzten Jahren die Auswertung des Hauptspeichers als anerkanntes Verfahren etabliert. Bei schnell entdeckten oder sogar noch laufenden Angriffen bietet es gute Chancen auf aussagekräftige Hinweise. Die anfallenden Datenmengen sind in diesen Fällen meist überschaubarer als bei einer Datenträgeranalyse. Das Erstellen eines Speicherabbilds "auf Verdacht" ist somit leichter. Für eine aussagekräftige Auswertung sind jedoch Know-how und Werkzeuge nötig, die in den wenigsten Fällen kurzfristig vorhanden sind.

Die forensische Analyse ist nur eine Phase von sechs, die nach einem Sicherheitsvorfall stattfinden sollten (Aufteilung nach DFN-CERT).
Die forensische Analyse ist nur eine Phase von sechs, die nach einem Sicherheitsvorfall stattfinden sollten (Aufteilung nach DFN-CERT).
Foto: cirosec GmbH

Besser geeignet für eine schnelle Erstbewertung sind andere Methoden. Statt der langwierigen Sicherung der Festplatte kann es sinnvoll sein, zuvor bei den noch laufenden Systemen über das Netzwerk Informationen über den Systemzustand abzufragen. Dieses Verfahren liefert in manchen Fällen bereits erste Hinweise - zum Beispiel eine Auflistung der bestehenden Netzverbindungen oder aller innerhalb einer Gruppe von Servern laufenden Prozesse. Auch die Auswertung der Netzkommunikation - zum Beispiel durch Daten von Firewalls, Proxys oder aus Netflow - und zentral gespeicherter Protokolle hat eine große Bedeutung. Sicherheitsvorfälle, die sich über mehrere Systeme erstrecken, indem sich der Angreifer von einem System zum nächsten hangelt, lassen sich damit oft deutlich schneller nachvollziehen.

Neben dem klassischen Hacking ist bei einer steigenden Zahl von Vorfällen auch Malware im Spiel. Die Analyse der an einer Stelle entdeckten Malware kann wichtige Hinweise liefern, um auch die Präsenz auf weiteren Systemen zu erkennen.

Anspruchsvolle Organisation

Die Abwicklung eines IT-Sicherheitsvorfalls ist eine anspruchsvolle Aufgabe: Das Management verlangt regelmäßige Status-Updates, digitale Spuren sollen möglichst schnell gesammelt und ausgewertet sowie der Angriff wirksam abgewehrt werden. Die Koordination der Aktivitäten sollte stets in der Hand eines internen Teams liegen - das kennt im Gegensatz zu Externen die internen Ansprechpartner und Prozesse. Je nach dem Erfahrungsstand der beteiligten Personen kann zusätzlich die Unterstützung durch einen Dienstleister hilfreich sein. Er hilft unter anderem bei der Einschätzung der Situation und beim Entwurf einer Abwehrstrategie. Die forensische Datensammlung sollten - eine entsprechende Vorbereitung vorausgesetzt - dafür ausgebildete Systembetreuer jedoch selbst vornehmen. Denn: Bei neuen Auffälligkeiten können sie deutlich schneller reagieren als externe Dienstleister.

Die anschließende Auswertung der Daten geben viele Unternehmen nach außen, da sie das Wissen und die Werkzeuge für eine Analyse nicht selbst vorhalten können. Bei größeren Vorfällen mit mehreren betroffenen Systemen kann es sinnvoll sein, parallel mehrere Dienstleister für unterschiedliche Untersuchungen einzusetzen. In diesem Fall ist der regelmäßige Austausch von Erkenntnissen sinnvoll. Ob intern oder extern - für ein gezieltes Vorgehen ist es wichtig, klare Fragen an die forensische Analyse zu formulieren und rechtzeitig Prioritäten zu setzen.

Hoher Aufwand

Um die Kontrolle über die eigenen Systeme zurückzugewinnen und alle Dienste wiederherzustellen, benötigen betroffene Unternehmen oft mehrere Wochen oder länger - das zeigt die Mehrheit der untersuchten Vorfälle im Verizon Data Breach Investigations Report 2012. Allein die forensische Analyse eines einzelnen Systems nimmt schnell über eine Woche in Anspruch. Das verdeutlicht, wie wichtig Aktivitäten sind, die parallel zur IT-Forensik ihre Wirkung entfalten. Es zeigt auch, dass die vollständige Analyse eines Vorfalls mit mehreren involvierten Systemen sehr teuer sein kann. Hinzu kommen das Incident Handling und die Wiederherstellung.

Inhalt dieses Artikels