Bei einem IT-Sicherheitsvorfall stellt sich immer die Frage, welche Geräte oder Daten relevant und zu sichern sind. Je nach Einsatzlage, ob z.B. Einzelplatzrechner oder ein großes Unternehmensnetzwerk, kommt es auf verschiedene Faktoren an, welche die Entscheidung beeinflussen.
Der Inhalt im Überblick
99% der Spuren sind in 1% der Daten
Die Krux des IT-Forensikers ist es, in dem immer weiterwachsenden Datenberg, die wichtigen Daten schnell zu erfassen, zu sichern und auszuwerten. Dabei gilt meist: 99% der Spuren sind in 1% der Daten. Somit ist es oft sinnvoll nur dieses eine Prozent zu sichern, um schnell mit der Analyse und der Aufklärung beginnen zu können. Insbesondere in zeitkritischen Szenarien ist das ein praktikabler Ansatz.
Bei Gerichtsverfahren ist vorzugsweise der gesamte Datenträger zu sichern, um darlegen zu können, dass alle bereitgestellten Daten analysiert wurden. Wiederum gibt es Fälle in denen Speichersysteme mit 20TB und mehr im Fokus sind. Alle Daten direkt zu sichern, kann mehrere Tage in Anspruch nehmen und ist technisch nicht immer trivial umzusetzen.
Triage in der IT-Forensik
Der Begriff „Triage“ ist inzwischen durch die Covid19-Pandemie vielen bekannt geworden. In der IT-Forensik beschreibt die Triage, bzw. das Erstellen eines Triage-Images, die Sicherung von bestimmten Daten oder Speicherbereichen für die forensische Untersuchung. Hierzu ein Beispiel: Wird ein Einbruch auf dem E-Mail-Server vermutet, benötigt man als IT-Forensiker in der Regel nicht die Datenbank mit allen gespeicherten Postfächern. Bei Artefakten des Betriebssystems hingegen, welche z.B. Logins, Programmausführungen oder die Systemkonfigurationen darstellen, werden diverse Speicherbereiche benötigt und es ist sinnvoll ein gesamtes Abbild der Systempartition zu machen.
Solche Triage-Images werden nicht zwingend klassisch auf einer ausgebauten Festplatte durchgeführt. Entsprechend den Umständen können, mit geeigneter forensischer Software, die Daten auch im Betrieb vom Zielsystem akquiriert werden. Bleiben wir bei unserem Beispiel liegt der Vorteil klar auf der Hand: Sichere ich nur forensisch relevante Daten für den Einbruch, liegt die Größe in der Regel zwischen 10-20GB. Sichere ich einen klassischen Mailserver im Ganzen, sind es gut und gerne je nach Anzahl der Postfächer mehrere Hundert Gigabyte.
Zeit ist Geld
Durch den deutlich geringeren Datenbestand spart man Zeit bei der Sicherung. Weiterhin spart man Zeit bei der Analyse. Insbesondere große Softwarelösungen, welche als eine von vielen Tools eingesetzt werden können, gehen über den gesamten Datenbestand und bereiten die Artefakte auf. Die Zeit, welche diese zum Aufbereiten benötigen, sinkt dabei signifikant. Auch als IT-Forensiker findet man schneller die Daten, die von Relevanz sind. Letztendlich sorgt eine gut überlegte Sicherung dafür, dass sich der gesamte Prozess beschleunigt. Hierfür gibt es zum einen genug theoretisches Wissen, zum anderen haben sich bestimmte Ansätze für bestimmte Szenarien bewährt. Der stetige Wandel der Technik verlangt aber auch immer am Ball zu bleiben und neue Wege zur forensischen Sicherung zu entwickeln.
Auf der Seite der Betroffenen ist man nicht nur aufgrund der unangenehmen Situation daran interessiert die Analyse schnell zu beenden. Gerade bei größeren Vorfällen kommt es oft dazu, dass Teile oder der gesamte Unternehmensbetrieb eingestellt werden muss, bis die Ursache und die Auswirkungen geklärt sind. Wird ein Webshop mehrere Tage offline genommen, verliert das Unternehmen Geld. Somit kann der Einsatz erfahrener IT-Forensiker auch durch eine effiziente Analyse den Schaden reduzieren.
Wichtige Artefakte in der Triage
Werden wir etwas konkreter: Egal welches Szenario einem begegnet, es ist immer eine gute Idee Logfiles zu sichern. Idealerweise ist bekannt, welche Logfiles je nach System relevant sind oder auch nicht. Generell kann die Sammlung im Rahmen der Präventiven Forensik sowohl technisch als auch organisatorisch vorbereitet werden. Dies sorgt für eine optimale Beweislage.
Immer eine gute Idee ist es, immer die auf Systemen vorhandenen Benutzerprofile zu sichern. Auch hier kann man noch weiter verfeinern, wenn ein Benutzer einen besonders großen Datenbestand vorhält, welcher für die Analyse nicht relevant ist. Auch hier ein Beispiel: Bei Verdacht eines Datendiebstahls sollten alle Daten im Ordner gesichert werden, möchte ich nur die Zugriffe des Benutzers in Erfahrung bringen, sind die eigentlichen Nutzdaten nicht erforderlich.
Liegt ein aktiver Angriff im Netzwerk vor, sollte immer der Netzwerkverkehr aufgezeichnet werden. Generell ist die Sicherung aber nicht unbedingt ein einmaliger Vorgang. Werden während der ersten Analyse weitere Erkenntnisse gewonnen, kann dies auch zu einer weiteren Datensicherung führen.
Eine pauschale Aussage über die zu sichernden Daten kann nicht getroffen werden, es gibt aber immer gewisse „Grundregeln“, an welchen man sich orientieren kann.
Die eigentliche Sicherung
Auch wenn die Situation unübersichtlich ist, sollten forensische Standards nie aus den Augen verloren werden. Liegen Systeme vor, die betroffen sind und bereits ausgeschaltet wurden, bietet es sich an dessen Datenträger mittels Writeblocker an einen Analyserechner anzuschließen und die Triage durchzuführen. An lebenden Systemen sollte man immer ein Abbild des Arbeitsspeichers sichern. Geht es um Malware und einen aktiven Angreifer ist dieses immer Pflicht.
Geeignete Hard- und Software einzusetzen ist von großer Bedeutung, um keine Veränderungen an Beweismitteln vorzunehmen und somit gerichtsfest zu bleiben. Folgende Überlegungen sind ebenfalls relevant, um die zu sichernden Systeme zu identifizieren:
- Konnten Anomalien auf Netzwerklaufwerken festgestellt werden, sollte auch der Netzwerkspeicher in den Fokus rücken.
- Ist die Schadsoftware nur für Windows Systeme geeignet, können Linux / Unix Systeme vernachlässigt werden.
- Konnte identifiziert werden, welches Benutzerkonto kompromittiert wurde, können alle Systeme, auf welchen dieser Benutzer nicht berechtigt ist, vernachlässigt werden.
Viele weitere Indizien und Überlegungen sowie bei fortschreitender Analyse sorgen für ein genaueres Bild der Lage, effiziente Sicherung und Identifizierung der Systeme. Was immer auch berücksichtig werden muss, Annahmen können sich ändern. Heißt, ein zuvor ausgeschlossenes System kann am Ende dennoch im Fokus stehen. Abzuwägen welche Daten „auf Vorrat“ gesichert werden sollten, ist oft keine leichte Angelegenheit.
