Nach dem Datenklau

Was die IT-Forensik leisten kann

07.05.2013
Von Benjamin Liebe

Empfehlungen für den Ernstfall

Oft liefert IT-Forensik erst Tage nach einem Sicherheitsvorfall Ergebnisse. Zum Beispiel lagen nach Angaben von Sony erste verlässliche Erkenntnisse zum Einbruch in das Playstation Network im Frühjahr 2011 erst sechs Tage nach der Entdeckung vor. Eine Zeitspanne, die desto größer wird, je schlechter das Unternehmen auf den Ernstfall vorbereitet ist.

  • Ein professioneller Umgang mit Datenlecks erfordert Vorbereitungen auf vielen Ebenen. Dazu gehört eine sorgfältig erstellte Sammlung von Sofortmaßnahmen mit Checklisten und Aussagen zu den damit verbundenen technischen und betrieblichen Konsequenzen. Sie hilft gerade in zunächst unklaren Situationen bei den ersten Schritten in Richtung Schadensbegrenzung. Zudem erleichtert sie die Sicherstellung von Daten. Neben den Sofortmaßnahmen sollte auch die Dokumentation der IT-Umgebung griff- bereit sein. Das ermöglicht im Ernstfall einen schnelleren Zugriff, da oft nicht jeder am Vorfall Beteiligte die Umgebung kennt.

  • Ebenso wichtig ist die Fähigkeit, forensische Datensammlungen selbst vornehmen zu können. So ist es möglich, Datenträger und Arbeitsspeicher von auffälligen Systemen möglichst schnell sicherzustellen, statt durch das Warten auf einen Dienstleister wertvolle Zeit zu verlieren oder durch falsches Vorgehen die Verwertbarkeit vor Gericht zu gefährden. Auch die Frage, welche Werkzeuge und Methoden am besten zur effizienten Sammlung von Informationen geeignet sind, lässt sich schon vorab in Ruhe klären.

  • Die Auswertung der Daten gleicht häufig der Suche nach der Nadel im Heuhaufen. Oft ist schwer zu unterscheiden, was auf einem System "normal" ist und was nicht. Die Bereitstellung einer Basisinstallation als Vergleich ist daher hilfreich.

  • Auch Unternehmen, die auf einen Dienstleister setzen, sollten sich auf den Ernstfall vorbereiten. Dazu gehört eine Vorauswahl mehrerer geeigneter Anbieter für forensische Dienstleistungen. Nicht jeder Partner kann spontan eine ausreichende Anzahl an Mitarbeitern für einen längeren Zeitraum zur Verfügung stellen. Ebenso wichtig ist die interne Abstimmung mit dem Einkauf, um den Beschaffungsprozess und dadurch bei Bedarf die Beauftragung zu beschleunigen. Bei größeren Unternehmen kann die Vereinbarung eines Rahmenvertrags/Service-Level-Agreements sinnvoll sein.

  • In manchen Fällen kann es auch unerwartete rechtliche Hürden geben. Daher ist es wichtig, bereits vorab zu prüfen, welche Sofortmaßnahmen und Untersuchungsmethoden für das Unternehmen rechtlich vertretbar sind. Problematisch wird es vor allem, sobald Client-Systeme von Mitarbeitern betroffen sind oder Datenverkehr überwacht werden soll. Auch eine Abstimmung zu notwendigen Rahmenbedingungen für die Herausgabe von Kopien der gesammelten Daten an externe Dienstleister ist sinnvoll, weil hier fast immer geschäfts- oder personenbezogene Daten enthalten sind, die besonderen gesetzlichen Bestimmungen unterliegen. (sh)