In der digitalen Forensik gilt es den Überblick zu behalten, die Lage zu beruhigen und schnell zu einem Ergebnis zu kommen. Dazu bedarf es einer Vielzahl technischer Hilfsmittel sowie dem dazugehörigen technischen Verständnis, damit auf Angriffe eine passende Reaktion folgt, schlimmeres verhindert wird und man den Tätern schnell auf die Spur kommt.
Der Inhalt im Überblick
Technik in der Reaktion
Im Ernstfall bedingt jedoch die IT-Infrastruktur des Betroffenen, wie vorgegangen wird, um auf einen Sicherheitsvorfall reagieren zu können. Um Herr der Lage zu werden, nutzen IT-Forensiker spezielle forensische Soft- und Hardware gekoppelt mit umfangreichem Know-How.
Es gilt zuerst herauszufinden, ob und welche Schwachstellen ausgenutzt wurden. War möglicherweise Antiforensik-Software im Einsatz? IT-Forensiker haben dabei auch immer im Blick, ob es zum Befall durch Schadsoftware kam. Solche Analysen werden im Rahmen eines Incident Response (Reaktion auf akute IT-Sicherheitsvorfälle) auf einer forensischen Kopie der Systeme des Betroffenen von den IT-Forensikern durchgeführt. Analysiert wird diese Kopie dann genauer auf speziell dafür ausgelegten Incident Response-Laptops vor Ort oder Auswerterechnern in dem IT-Forensik-Labor.
Maßgeblich bestimmt wird diese Analyse durch die komplexen unbekannten Netzwerkstrukturen und Systeme des Betroffenen. Ziel ist es, die Angriffsquelle schnellstmöglich zu lokalisieren, zu analysieren und den Angriffsverlauf zu rekonstruieren. Um einen Überblick über die Situation zu erhalten, benötigen die IT-Forensiker also ihre technischen Hilfsmittel. Diese werden beispielsweise zur Durchführung von Logfile-Analysen von Servern, dem Active Directory oder auch der Firewall benutzt. Ein weiterer Aspekt ist die IT-forensische Analyse von Servern und Endgeräten sowie eine mögliche Malware-Analyse.
Technik in der Detektion
Werden bei solchen Analysen Schwachstellen aufgedeckt, können weitere Maßnahmen ergriffen werden. Um diese Schwachstellen aber aufdecken zu können, muss man die Gegenseite verstehen. Daher ist es essenziell einen Überblick zu haben, welche Techniken Angreifer einsetzen und wie sie funktionieren. Dies lässt sich durch IT-Schwachstellenanalysen, Penetrationstests und erlangte Erkenntnisse aus Incident Response Fällen realisieren. Bei IT-Schwachstellenanalysen kommen zudem Schwachstellenscanner zum Einsatz.
Die Ergebnisse der Analysen werden dann ausgewertet und gefundene Schwachstellen bewertet. Schwachstellenscanner werden genauso auch von Angreifern genutzt, um gravierende Schwachstellen zu finden und einen Angriff zu starten. Diese Techniken kommen in gleicher Form auch bei Penetrationstests zum Einsatz. Dabei wird jedoch im weiteren Verlauf versucht, die aufgedeckten Schwachstellen aktiv auszunutzen. Es kommen z.B. Hacking-Tools zum Einsatz, die automatisiert arbeiten. In anderen Fällen wird manuell vorgegangen, beispielsweise mittels PowerShell-Befehlen.
Durch den gezielten Einsatz von Penetrationstests auf das Netzwerk oder ausgewählte Systeme, können Szenarien eines Innentäters oder eines bereits gekaperten Accounts beim Testen abgebildet werden. IT-forensische Analysen von Incident Response Fällen rekonstruieren bestmöglich das Vorgehen von Tätern bzw. Tätergruppen.
Fügt man nun alles zusammen, können viele Szenarien abgefangen werden. Zumindest bekannte Techniken oder auch selbst entwickelte Angriffsszenarien, können nun u.a. auf technischer Ebene abgefangen werden und führen dazu, dass diese Angriffsformen nicht mehr möglich sind oder sofort erkannt werden und dadurch ein schnelleres Eingreifen möglich ist.
Denn es ist nicht immer möglich, alle Schwachstellen vollumfänglich abzusichern. Das muss allen Beteiligten klar sein, um Angriffe erkennen und darauf reagieren zu können oder diesen vorzubeugen. Dass es keine hundertprozentige IT-Sicherheit gibt, verdeutlicht auch ein Zitat von Robert Mueller (2012, Ehem. Director des FBI):
„Es gibt zwei Arten von Unternehmen: Solche, die schon gehackt wurden, und solche, die es noch werden.“
Technik in der Prävention
Die Prävention beschäftigt sich gezielt damit vollumfänglich auf einen IT‑Notfall im Unternehmen vorbereitet zu sein. Dabei wird die IT-Infrastruktur nachhaltig geprüft, um Maßnahmen zum Schutz zu ergreifen. In Bezug auf die aktiven Systeme werden im Rahmen dessen u.a. Konfigurationen geprüft, um Änderungen zu avisieren, die die Sicherheit der Systeme zusätzlich gewährleistet.
Die Erhöhung von Logfilegrößen ist von erheblicher Bedeutung, um bei einem Sicherheitsvorfall eine adäquate Spurenlage vorzuweisen. Ebenso können Log-Dateien auch zentral in einem SIEM erfasst und ausgwertet werden. Dies wird bereits im Vorfeld als besonders wichtig erachtet, denn Spuren werden so länger vorgehalten. Dadurch geben sie im Ernstfall Auskunft darüber, wie die Situation zustande kam und helfen den IT-Forensikern bei der Rekonstruktion.
Unabhängig davon, welche Techniken im Rahmen der Prävention ergriffen werden, so dass die Systeme nach bestem Ermessen abgesichert sind, der Ernstfall wird dennoch eintreten. Dabei ist es nicht von Bedeutung, ob und wie dieser Fall eintritt, sondern dass beim Eintreten des Vorfalls dieser erkannt und angemessen darauf reagiert wird.
Angriff ist die beste Verteidigung
Natürlich gehört nicht nur dies zur Vorbereitung in der IT-Forensik dazu, sondern auch die Nachbereitung von Vorfällen, denn durch die Analyse jedes einzelnen Falls lässt sich schlussendlich auch erkennen, welche Techniken von Angreifern verwendet werden. Prinzipiell lassen sich viele Angriffe vermeiden, indem technische Methoden zur Steigerung der IT-Sicherheit in Form von IT-Schwachstellenanalysen oder Penetrationstests durchgeführt werden. Denn in der Regel nutzen Täter und IT-Forensiker die gleichen Tools und kennen die verwendete Soft- und Hardware der jeweils anderen Seite.
Bei der Incident Response hingegen sind beiden Seiten die technischen Gegebenheiten unbekannt, ergo haben Täter und IT-Forensiker dieselben Voraussetzungen. Dabei sollte nicht außer Acht gelassen werden, dass für eine gute Prävention, Detektion und Reaktion die „Tactics, Techniques und Practices“ (TTPs) der Angreifer bekannt sein müssen, damit Angriffe verstanden und Vorfälle vermieden werden können.
Das was hier den entscheidenden Unterschied machen kann und uns den Tätern schneller auf die Spur kommen lässt, ist das Wissen um Techniken der Täter. Zum eigenen Schutz können geeignete Maßnahmen getroffen werden, um Schwachstellen aufzuspüren, im besten Fall zu schließen und die Systeme sicherer zu machen.