Ob es sich um einen Hackerangriff, Datendiebstahl oder auch um rechtswidrige Downloads handelt, eines haben alle IT-Sicherheitsvorfälle gemeinsam: Versuchen Sie nicht eigene Untersuchungen anzustellen. Dieses Vorgehen kann im schlimmsten Fall zur vollständigen Vernichtung sämtlicher verwertbaren Spuren führen. Hier erfahren Sie, wie Sie im Ernstfall vorgehen und was Sie besser nicht tun sollten.
Der Inhalt im Überblick
Stellen Sie sich folgende Situation vor:
Vor kurzem hat ein Mitarbeiter Ihr Unternehmen verlassen. Nach kurzer Zeit fällt Ihnen auf, dass einige Ihrer Stammkunden Ihre Produkte nun bei einem anderen Unternehmen erwerben. Dieses neugegründete Unternehmen wird von Ihrem ehemaligen Mitarbeiter geleitet, der Zugriff auf Produktdetails und Kundenlisten hatte. Nun liegt der Verdacht nahe, dass es sich hierbei um einen Fall von Datendiebstahl handeln könnte. Da Sie den Verdacht so schnell wie möglich klären möchten, lassen Sie den Laptop des ausgeschiedenen Mitarbeiters sofort von einem Mitarbeiter Ihrer IT prüfen.
Um den Rechner zu untersuchen, führt Ihr Mitarbeiter folgende Schritte durch:
- Der Rechner wird hochgefahren.
- Der IT-Mitarbeiter meldet sich mit dem Account des ausgeschiedenen Mitarbeiters an und überprüft die Verzeichnisse.
- Es werden Dateien auf einen externen USB-Stick kopiert.
- Ihr IT-Mitarbeiter installiert eine Untersuchungssoftware und verwendet diese, um die auf dem Rechner befindlichen Daten zu überprüfen.
- Der Rechner wird heruntergefahren.
Da die Ergebnisse der Untersuchung Ihren Verdacht bestätigen, schalten Sie professionelle IT-Forensiker ein, die ein Gutachten für Sie erstellen sollen.
Forensische Spurensicherung
Die von Ihnen hinzugezogenen IT-Forensiker überprüfen den Rechner, um ein Gutachten für Sie zu erstellen. Während der Untersuchung stellen diese jedoch fest, dass einige der zu untersuchenden Daten fehlen oder verfälscht wurden. Dies führen die Experten auf das Extrahieren von Daten durch Ihren IT-Mitarbeiter zurück. Die Experten analysieren daraufhin die noch verbliebenen Daten und stellen fest, dass sämtliche Zeitstempel durch die von Ihrem Mitarbeiter angewendete Untersuchungssoftware verändert wurden. Leider kann nun keine Aussage über verdächtige Vorgänge vor Ausscheiden Ihres Mitarbeiters getroffen werden. Anschließend analysieren die IT-Forensiker den Rechner auf Spuren einer externen Speichermediumnutzung. Eventuell hat Ihr ehemaliger Mitarbeiter Daten auf einen USB-Stick kopiert. Durch das Anschließen eines USB-Sticks während Ihrer Vorabuntersuchung wurden allerdings auch diese Spuren korrumpiert.
Nach der vollständigen Analyse des Systems erhalten Sie das von den Experten angefertigte Gutachten. Allerdings konnten nahezu keine verwertbaren Spuren gefunden werden, die einwandfrei dem Betroffenen zugeordnet werden können. Ihr ehemaliger Mitarbeiter kann nicht belangt werden.
Hinweise zum richtigen Vorgehen
Anhand des Beispiels erkennt man, dass eine eigenständige Untersuchung eines Systems erhebliche Folgen haben kann. IT-Forensiker sind in der Lage, digitale Spuren zu finden, diese gerichtsfest zu sichern, zu analysieren und zu dokumentieren. Dies ist allerdings nur möglich, wenn die zu sichernden Spuren noch vorhanden und unverändert sind.
Unsere Tipps für den Ernstfall:
- Falls der betroffene Rechner noch angeschaltet sein sollte, fahren Sie diesen nicht herunter, da hierdurch eine Analyse des Arbeitsspeichers unmöglich wird.
- Führen Sie keinesfalls (System-)Updates durch. Diese überschreiben Dateien, die bei einer forensischen Untersuchung wichtige Spuren liefern. Durch Trennen der Netzwerkverbindung vermeiden Sie automatische Updates sowie andere Veränderungen am System durch Netzwerkaktivitäten.
- Verwenden Sie den Rechner unter keinen Umständen aktiv weiter. Hierdurch werden vorhandene Daten und Dateien nachhaltig verändert oder vollständig gelöscht. Lassen Sie den Rechner nicht neu aufsetzen, da hierdurch fast alle Spuren gelöscht werden.
- Führen Sie keine eigenständigen Untersuchungen durch. Wird ein Gerichtsverfahren angestrebt, ist ein objektives Gutachten durch Dritte der eigenen Recherche vorzuziehen. Falls kein berechtigter Tatverdacht besteht, können Sie sich unter Umständen sogar strafbar machen.
- Installieren Sie keine Untersuchungstools oder andere Software, da diese auf jede einzelne Datei zugreifen und dadurch sämtliche Zeitstempel verändern.
- Durchsuchen Sie keine Ordner oder Dateien, da auch dieser Vorgang forensisch-relevante Daten verändern oder löschen kann.
- Extrahieren Sie keine Dateien.
- Schließen Sie keine USB-Geräte an, da hierbei Daten entstehen, die für den Fall relevanten Spuren korrumpieren können.
Der Versuchung widerstehen
Die Versuchung bei einem IT-Sicherheitsvorfall selbst eine schnelle Untersuchung durchzuführen ist groß. Oftmals handeln Betroffene unter Zeitdruck oder sind sich nicht sicher, ob es überhaupt einen Vorfall gab und versuchen dies vorab zu klären. Dieses Vorgehen führt allerdings häufig zur unwiderruflichen Vernichtung von Beweisen und Spuren. Gehen Sie deshalb mit digitalen Spuren ähnlich um wie Sie es mit physikalischen Spuren bei einem Gewaltverbrechen tun würden. Belassen Sie Beweismittel unberührt und holen Sie Experten hinzu.