IT-Forensik

Richtige Verhaltensweise nach IT-Angriffen

07.09.2012 von Magnus Kalkuhl

Wenn es zu einem IT-Zwischenfall in Ihrer Firma kommt, gilt zunächst: Keine Panik. Anschließend sollten Sie nicht selbst Detektiv spielen, sondern einen IT-Forensiker beauftragen. Wir sagen Ihnen, was zu tun ist, wenn der Hacker zuschlägt.

So reagieren Sie richtig, wenn der Ernstfall eintritt.

Wenn es um Computersicherheit geht, denken die meisten Menschen zuerst an Begriffe wie „Firewall“ oder „Virenscanner“ - „IT-Forensik“ hingegen, auch bekannt als Computer- oder Digital-Forensik, ist noch immer eine recht unbekannte Disziplin im Security-Sektor.

Ein Grund dafür ist häufig das tiefe Vertrauen in bereits vorhandene Sicherheitsvorkehrungen: Vertrauliche Dokumente werden durch ein durchdachtes User Rights Management, Passwörter, Türschlösser und wachsames Personal geschützt. Zusätzlich wachen Virenscanner darüber, dass sich keine Malware an den Systemen gütlich tun.

In vielen Fällen reichen diese Sicherheitsvorkehrungen aber nicht, in noch mehr Fällen sind die genannten Maßnahmen nicht konsequent umgesetzt – wenn also alle Stricke reißen und ein Angriff bereits erfolgt ist, liegt in der IT-Forensik die letzte Hoffnung, entstandenen Schaden zu begrenzen. Dabei geht es auch darum, den Angriff nachzuvollziehen, um Sicherheitslücken zu schließen oder die Schuldigen zu finden.

Sechs Schritte zur Abwehr intelligenter Angreifer

Wissen weitergeben
Standardisierte Verfahren, um Informationen über akute Bedrohungen sowie die Merkmale bekannter Angriffe auch anderen Unternehmen und Organisationen zur Verfügung zu stellen, helfen bei der Bekämpfung von Cybergangstern.

Prozesse beschreiben, Abläufe automatisieren
Das Zusammenführen, Analysieren und Verwalten der gesammelten Informationen sollte weitestgehend automatisiert erfolgen. Hierzu sind Verfahren und Richtlinien unabdingbar, wie beispielsweise im Falle eines Angriffs vorgegangen wird – ein Katalog mit "Erste-Hilfe-Maßnahmen" kann niemals früh genug erstellt werden.

Topleute finden, Vorgesetzte überzeugen
Wichtig sind zudem die Analyse bekannter Angriffsvektoren und das Know-How innerhalb der Sicherheitsteams in Bezug auf die Auswertung der Datein. Allein technisches Wissen reicht dabei nicht aus, auch die strategisch-analytische Einordnung darf nicht zu kurz kommen - wichtig vor allem für die Kommunikation mit den Vorgesetzten.

Quellen aufbauen
Als nächstes sind interne und externe Quellen auszumachen, aus denen Daten über Cyber-Risiken bezogen und ausgewertet werden könnten. Hier stehen beispielsweise Regierungsbehörden oder öffentlich zugängliche Datenbanken aus Industrie und Handel zur Verfügung. Aber auch interne Dokumente sollten gründlich ausgewertet werden.

Strategische Vermögenswerte erfassen, Risikobewertung vornehmen
Zunächst sollten Unternehmen ihre strategischen Vermögenswerte erfassen und eine Risikoabschätzung vornehmen. Welche Daten und Informationen sind besonders schützenswert? Welche Schäden drohen, wenn diese Daten in die falschen Hände geraten oder anderweitig verloren gehen?

IT-Systeme überwachen
Die konsequente Überwachung der eigenen IT-Umgebung ist ein Muss, um normales und anormales Nutzer- und Netzverhalten voneinander unterscheiden zu können.

Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation TecChannel. (ph)

Hinter den Kulissen

In der öffentlichen Diskussion sind Viren ein beliebtes Thema - über gezielte Angriffe auf Unternehmen liest man jedoch recht wenig. Dabei sind gezielte Angriffe auf Firmen keine Ausnahmeerscheinung. Das Problem ist hier, dass viele Unternehmen gar nicht wissen, dass sie bereits ein Sicherheitsleck haben – ein gestohlenes Notebook ist ein offensichtliches Problem, die heimliche, verschlüsselte Übertragung kritischer Betriebsgeheimnisse hingegen wird vielleicht nie entdeckt.

Zudem haben betroffene Firmen in den meisten Fällen kein großes Interesse daran, solche Vorfälle an die große Glocke zu hängen und dadurch einen erheblichen Imageschaden zu riskieren. Letztlich sind die Medien vornehmlich an großen Meldungen interessiert, wo es um Millionenbeträge geht – was für ein mittelständisches Unternehmen eine Katastrophe sein kann, ist der Presse oft nur eine Meldung im Lokalteil wert.

Woher weiß man aber, ob eine forensische Untersuchung überhaupt Sinn macht? Bei direkter Erpressung oder dem plötzlichen, gleichzeitigen Ausfall wichtiger Systeme ist die Situation klar. Oft sind es aber nur Indizien, die auf Schlimmeres hindeuten. Ist ein Mitbewerber bei Ausschreibungen plötzlich viel erfolgreicher? Wurde nach dem Wechsel auf einen anderen Virenscanner Malware gefunden, es ist aber unklar, wie lange sich das Programm schon im Netzwerk befindet? Oder wurde kürzlich ein Mitarbeiter entlassen, der Zugriff auf wichtige Systeme oder Daten hatte, und dem eine Racheaktion zuzutrauen wäre? In sicherheitskritischen Bereichen kann auch eine routinemäßige forensische Untersuchung Sinn machen, ohne dass ein konkreter Verdacht besteht.

Top100-2012 Security

Top100-2012 Security

In die Angaben zu den Security-Anbietern und deren Umsätze rechnet Gartner sämtliche Erlöse mit Sicherheitslösungen hinein.

Auch bei den Angaben zu den Security-Anbietern ist es interessant zu verfolgen, wie erfolgreich die Hersteller in den jeweiligen geografischen Regionen sind. Symantec allerdings ist in Emea genauso wie in Deutschland...

... und weltweit sehr deutlich die Nummer eins.

Ähnliches gilt es zusagen bei den Marktanteilen. Auch hier liegt Symantec in allen Regionen klar vorne.

Und auch hier ist auffallend, dass etwa eine Sophos in Deutschland noch Nummer zwei ist, in Emea allerdings schon auf Rang fünf abrutscht.

Weltweit findet Sophos in den Top-10 nicht mehr statt. Umgekehrt CA Technologies: Auf dem alten Kontinent nicht unter den besten zehn Anbietern platziert, rangiert das Unternehmen weltweit wenigstens auf Platz acht.

Verhalten im Verdachtsfall

Nehmen wir an, Sie haben einen Verdacht und ziehen eine entsprechende Untersuchung in Betracht. In jedem Fall sollten Sie einige Grundregeln beachten. Der Grund, warum IT-Forensik immer von einem externen Dienstleister durchgeführt werden sollte, ist simpel: In vielen Fällen kommt ein Angriff aus den eigenen Reihen. Wird nun also ein Administrator mit der Lösung des Falls beauftragt, für den er vielleicht selbst verantwortlich ist, wird der Schuldige nie gefunden.

Und selbst wenn man seinem Mitarbeiter hundertprozentig vertraut, besteht doch die Gefahr, dass er mangels Erfahrung relevante Spuren übersieht oder sogar unbeabsichtigt verwischt und damit eine spätere professionelle Untersuchung erschwert. Sind Sie der Entdecker des Zwischenfalls, dann sind folgende Punkte zu beachten:

Wenden Sie sich direkt an den Geschäftsführer
Erzählen Sie niemandem sonst von Ihrem Verdacht
Kontaktieren Sie einen professionellen IT-Forensik-Dienstleister
Versuchen Sie keinesfalls, selbst Spurensuche zu betreiben
Erstellen Sie eine Liste der möglicherweise betroffenen Systeme

Nun nehmen die Dinge ihren Lauf. Im ersten Schritt wird sich ein professioneller Dienstleister ein genaues Bild über die Situation machen und prüfen, welche Systeme eventuell betroffen sind, bevor er diese überhaupt untersucht. In manchen Fällen ist es sinnvoll, mit weiteren Schritten bis zum Wochenende zu warten, damit Mitarbeiter nicht in die laufenden Untersuchungen involviert werden und aus Angst oder Unbehagen hastig potentielle Spuren verwischen.

Die größten Security-Sünden

Security-Sünde Nr.1
Portable Geräte werden allzu häufig vernachlässig. Leider kommen Lösungen zur Kontrolle dieser Endgeräte, wie die hier gezeigte Möglichkeit, Berechtigungen einzuschränken, immer noch viel zu selten zum Einsatz. (Quelle: DeviceLock).

Auch das fällt noch unter den großen Sicherheitsirrtum, dass sich alle Daten einfach im Rechenzentrum isolieren lassen
Die wenigsten Anwender verwenden auf ihren Smart-Phones eine Sicherheitslösung, die Daten auf diesem Gerät schützen könnte. (Quelle: Bär/Schlede)

Das eindrucksvollste Beispiel für nicht kontrollierte Wechselmedien/USB-Sticks
Die Verbreitung des Stuxnet-Wurms im Jahr 2010, hier in der geografischen Verteilung, wie sich das Malware Protection Center von Microsoft aufzeichnete. (Quelle: Microsoft Threat Research & Respond Blog).

Ein großer Irrtum bei den Sicherheitsmaßnahmen – die zweite große Security-Sünde
Mitarbeiter kennen das Risiko und verhalten sich entsprechend: Eine repräsentative Emnid-Studio im Auftrag von Symnatec zeigt, dass beispielsweise viele Mitarbeiter auch im Urlaub auf ihre Firmen-Mail via Mobil-Phone zugreifen, mit allen damit verbundenen Risiken (Quelle: Emnid/Symantec).

Die sozialen Netzwerke und die Sicherheit
Security-Sünde Nr. 3 in der täglichen Praxis. Kaum ein Anwender und nur wenige Administratoren befassen sich ernsthaft mit den Sicherheitsproblemen der Social Networks oder setzen wie hier, entsprechende Schutzlösungen ein (Quelle: Bär/Schlede).

Die Security-Sünden und die sozialen Medien
Kontrollieren wirklich alle Mitarbeiter, welchen Anwendungen sie Zugriff zu ihren dienstlich genutzten Twitter-Accounts gewähren oder kann ein Administrator darauf überhaupt einen Einfluss haben? (Quelle: Bär/Schlede)

Neue Medien und neue Netze bedeuten neue Herausforderungen
Durch die Einführung von Google+ stellt sich für viele Administratoren in Hinblick auf die Sicherheit die Frage, wie sollen sie damit umgehen – ein Sperren der Domäne „google.de“ oder „google.com“ dürfte eher kontraproduktiv sein. (Quelle Bär/Schlede).

Hier kann nur Schulung der Anwender (Security-Sünde Nr. 3) helfen, eine Gefährdung zu erkennen und zu vermeiden
Eine verkürzte URL führt den Nutzer auf eine Malware-Seite, obwohl er meint, sich auf einer Seite seiner Bank zu befinden. (Quelle: Symantec Intelligence Report July 2011).

Eine der verbreiterten Formen des „Social Engineering“ ist bereits in den Betreff-Zeilen von Spam-Nachrichten zu finden
Die Nutzer werden direkt und persönlich angesprochen. Auch hier kann Aufklärung und Schulung helfen, die Anwender von Schaden zu bewahren. (Quelle: Symantec Intelligence Report July 2011)

Warum Antivirus-Software und Firewall definitiv nicht genügen können
Diese Grafik zeigt sehr anschaulich, wie der Anteil an Web-basierter Schadsoftware beziehungsweise Malware stetig steigt – auch hier können viele Probleme durch aufmerksame und geschulte Anwender minimiert werden. (Quelle: Symantec Intelligence Report July 2011)

Welche Anwendung darf im Firmennetz welche Verbindung aufbauen und vor allen Dingen auch Daten übertragen?
Eine Lösung wie die gezeigte Software von DeviceLock stellt den Systemverwaltern dafür fein granulierte Kontrollmöglichkeiten zur Verfügung (Quelle: DeviceLock).

Security-Sünde Nr.5
Vielfach übersehen Unternehmen und die verantwortlichen IT-Fachleute, dass Sicherheit nur im ganzheitlichen Ansatz wirklich funktionieren kann: Dazu gehört neben so „normalen Dingen“ wie Patch- und Update-Management doch auch die Überwachung der Drucker – in den heutigen vernetzten Zeiten wichtiger denn je… (Quelle: Devicelock).

Rechnen Sie mit unglaublichen Datenmengen

Die Wichtigkeit einer Situationsanalyse wird deutlich, wenn man sich vor Augen hält, wie viele Datenträger – und damit potentielle Beweismittel – sich durchschnittlich in einem Unternehmen befinden: Festplatten, USB-Sticks, CD-ROMs, PDAs, Mobiltelefone etc. Bei 500 Rechnern mit jeweils 80 GByte kämen alleine hier schon 40 TByte zusammen – das vollständige Kopieren dieser Datenmassen würde Tage dauern, weshalb es so wichtig ist, Prioritäten zu setzen.

Ein Profi wird zudem berücksichtigen, dass Spuren nicht nur in digitaler Form vorliegen können, und – wenn es die Situation erfordert – seinem Kunden empfehlen, die Polizei zur Sicherung und Auswertung physischer Spuren .

Achten Sie außerdem darauf, dass der Dienstleister all seine Schritte sorgfältig protokolliert – und zwar von Anfang an. Am Ende der Untersuchung wird dann ein Abschlussbericht stehen, der idealerweise in zwei Fassungen angeboten wird: einmal für technisch versierte Personen, zum anderen in einer auch für Laien verständlichen Form. Denn sollte es nach der Untersuchung zu einem Gerichtsverfahren kommen, werden Richter und Anwälte Einsicht in die Ergebnisse nehmen und natürlich auch verstehen wollen.

Schließlich wird ein Notfallplan erstellt: Welche Systeme sollten umgehend mittels eines Backups wiederhergestellt werden? Welche Computer müssen vorerst komplett abgestellt werden? Ist es notwendig, einzelnen Mitarbeitern den Zugang zu bestimmten Bereichen vorerst nicht mehr zu gestatten? Der Sinn des Notfallplans ist es, weitere Risiken zu minimieren, dabei aber den Betrieb des Unternehmens sicherzustellen.

Die Analyse

Sind diese Punkte abgeschlossen, geht es an die Sicherung der Beweismittel zur anschließenden Analyse. Es wird zwischen Live- und Dead-Analyse unterschieden. Live-Analyse bedeutet, dass im laufenden System analysiert wird. Bei der Dead-Analyse hingegen wird nur mit den Daten gearbeitet, die auf einem Datenträger gespeichert sind, nachdem der eigentliche Computer abgeschaltet wurde. Sind die wichtigsten Beweismittel gesichert, erhält der Kunde eine Kopie der gesammelten Daten. Die weitere Untersuchung findet in der Regel aber beim Dienstleister statt.

Bei allen Spuren gilt es nun, folgende Fragen zu klären:

Wer hat es getan?
Warum wurde es getan?
Wann wurde es getan?
Was genau wurde getan?
Von welchem Ort aus wurde es getan?
Welche Programme und Hilfsmittel wurden dabei verwendet?

Der Analyst versucht also, den genauen Tathergang möglichst lückenlos nachzustellen beziehungsweise Auffälligkeiten in der Datenflut aufzuspüren. Als Datenquelle dienen ihm dabei komplette Kopien von Datenträgern, Logdateien oder Memory dumps. Vormals gelöschte Dateien werden wieder hergestellt, es wird nach Schlüsselwörtern und Verletzungen von Zugriffserlaubnissen gesucht. Wichtig ist dabei, dass grundsätzlich nie mit den Originaldatenträgern gearbeitet wird. Alle Untersuchungen werden immer an Kopien durchgeführt, nicht zuletzt, weil die Originaldatenträger im Unternehmen meist benötigt werden, während die Untersuchung läuft.

Am Ende der Analyse steht schließlich der Abschlussbericht. Im Idealfall konnte festgestellt werden, wer der Angreifer war, was seine Motive waren, was genau passiert ist, in welchem Zeitraum der Angriff stattfand und auch, wie hoch das Restrisiko einzuschätzen ist. Natürlich sollte ein Hinweis nicht fehlen, wie das Unternehmen ähnliche Vorfälle in Zukunft vermeiden kann.

IT-Forensik fordert Vertrauen

Nicht immer können alle Fragen abschließend geklärt werden. Darüber hinaus gibt es aber noch weitere Probleme, über die sich ein Unternehmen im Klaren sein sollte, bevor man eine Untersuchung in Auftrag gibt: IT-Forensik kann nur dann funktionieren, wenn der Analyst auf wirklich alle Daten Zugriff erhält.

Dies erfordert ein hohes Vertrauen in den Dienstleister, bedeutet es doch, dass er unter Umständen brisante Geschäftsgeheimnisse erfährt oder auf Daten stößt, die dem Auftraggeber vielleicht unangenehm sein könnten. Gleiches gilt für die Mitarbeiter selbst – dem IT-Forensiker ist es egal, ob ein Angestellter zum Beispiel Privatbilder seiner Freundin auf dem Arbeitsrechner hat, da diese mit dem eigentlichen Fall nicht viel zu tun haben dürften.

Versuchen Mitarbeiter aber nun voller Panik, solche „Spuren“ zu löschen, machen Sie sich unnötig verdächtig, und dem Forensiker entsteht zusätzliche Arbeit. Auch sollte sich der Auftraggeber vor Augen halten, dass ein Analyst zwar feststellen kann, von welchem PC aus ein Angriff erfolgte – dies aber keinesfalls automatisch bedeutet, dass der entsprechende Mitarbeiter auch wirklich der Schuldige ist. Ein weiterer Grund, einen erfahrenen Dienstleister zu wählen, damit durch Übereifer aus einer Untersuchung keine Hexenjagd wird.

Fazit

IT-Forensik ist ein unverzichtbarer Bestandteil der IT-Sicherheit, erfordert aber von allen Beteiligten ein hohes Maß an Vertrauen, Verantwortungsbewusstsein und Fingerspitzengefühl. Wenn diese Voraussetzungen gegeben sind, können Schäden zumindest begrenzt und weitere Risiken für das betroffene Unternehmen minimiert werden.

Bereits vor einem Zwischenfall sollte daher jedes Unternehmen gültige IT-Policies definieren (und diese auch durchsetzen!) sowie einen Ablaufplan für den Notfall bereit halten. (TecChannel/ph)