Erlangt ein Angreifer Zugriff auf das Netzwerk, stellt sich zu Beginn der Aufklärung immer dieselbe Frage: Wo fängt man an? Denn die Bewegungsmöglichkeiten des Angreifers sind vielfältig. Es ist daher ratsam, geeignete Vorbereitung mittels präventiver IT-Forensik zu treffen, um im Nachhinein die Bewegungen von Angreifern besser nachvollziehen zu können.
Der Inhalt im Überblick
Aller Anfang ist schwer
Ein Angriff auf die Intrastruktur eines Unternehmens richtet wirtschaftlichen Schaden an. Um ihn genauer einschätzen zu können, muss eine Analyse des Netzwerkes durchgeführt werden. Folgende zwei Fragen zu Beginn zu beantworten, erleichtert den Start in die Analyse:
Welche Daten müssen gesichert werden?
Diese Frage ist nicht pauschal zu beantworten. Angriffe unterscheiden sich oft in ihrem Verhalten und ihrer Intensität. IT-Forensiker müssen sich dabei in den Vorfall hineindenken, mögliche Bewegungsmuster des Angreifers erkennen und überprüfen, ob diese Bewegungen durch hierauf bezogene Einstellungen in dem System protokolliert wurden. Beispielweise können legitime Tools zweckentfremdet werden, um einen unberechtigten Zugriff auf weitere Server zu erlangen.
Was hat das kompromittierte System vor, während und nach dem Angriff im Netzwerk gemacht?
Dabei müssen IT-Forensiker mithilfe der zuständigen IT-Administratoren identifizieren, welche Bewegungen im Netzwerk legitim sind und welche dem Angriff zugeordnet werden können. Im Zuge dessen kann die zuvor genannte Frage wieder an Relevanz gewinnen, da ggf. Auffälligkeiten zu weiteren Systemen führen und weitere Daten gesichert werden müssen.
Hoher oder niedriger Schaden? Das ist hier die Frage
Ist absehbar, was das kompromittierte System im Netzwerk gemacht hat, kann auch die durch den Angriff verursachte Schadenssumme geschätzt werden. Diese setzt sich dabei aus verschiedenen Punkten zusammen. Unter anderem ist relevant, ob Daten abgeflossen sind und wenn ja, welcher Qualität und in welcher Quantität. Besteht eine Pflicht zur Meldung des Vorfalls bei Behörden und/ oder Kunden und Geschäftspartnern? Entsteht dadurch möglicherweise ein Imageverlust?
All diese Informationen lassen sich aus den gesicherten Daten bzw. Beweisen ermitteln.
Logdateien: Entscheidend für den Erfolg
Es gibt mehrere Typen von Beweisen, welche bei der Aufklärung des Vorfalls helfen können.
Zu nennen wären u.a. Pcap-Dateien, also Netzwerkmitschnitte. Ein sogenannter Sniffer erfasst dabei Daten aus den bestehenden Netzwerkverbindungen und schreibt diese in eine Datei. Gleiches können übrigens auch Angreifer zur Informationsgewinnung nutzen. IT-Forensiker bedienen sich dieser Technik allerdings, um dem Angreifer auf die Schliche zu kommen und um einen möglichen Datenabfluss festzustellen.
Dabei ist es wichtig, dass der Analyst den Typ der Schnittstelle und damit die Datei versteht und richtig interpretiert. Er muss verstehen, wie eine Pcap-Datei entstanden ist und welche Informationen diese beinhaltet. Er muss zwischen normalem und unnormalem Netzwerkverhalten differenzieren können.
Auch Logs vom betroffenen System und anderen Netzwerkgeräten können die vorhandenen Informationen hinsichtlich eines Angriffes anreichern und Hinweise auf laterale Bewegungen geben. Diese Dateien lassen sich jedoch sehr leicht absichtlich oder unabsichtlich modifizieren bzw. löschen. Gut für den Angreifer, schlecht für den IT-Forensiker. Es ist daher wichtig, die Integrität dieser Dateien zu verifizieren. Das kann durch Hashwertabgleich und Zugriffsbeschränkungen erfolgen.
Ein durchdachtes Backup-Konzept von Logdateien kann sich an dieser Stelle auf die Aufklärung eines Vorfalls positiv auswirken.
Die Dauer der Aufbewahrung von Logdateien stellt immer wieder einen Konflikt zwischen den Bereichen IT-Forensik und Datenschutz dar. In Logdateien werden mitunter personenbezogene Daten gespeichert, weshalb oft von einer längeren Speicherung abgesehen wird. Das ist fatal und widerspricht zumeist Art. 32 DSGVO. Ohne Logdateien fehlen IT-Forensikern bei der Aufklärung eines Incident-Response-Vorfalls wichtige Spuren, welche die Analyse entscheidend unterstützen und beschleunigen können. Mithilfe von Logdateien können die Spuren des Angreifers detaillierter nachverfolgt werden. Ohne Logdateien lässt sich möglicherweise das Einfallstor nicht identifizieren und schließen. Dies ist für die Lessons Learned sehr wichtig, um einen erneuten Angriff vermeiden zu können.
Das Ende vom Lied
Aufgrund der vielen Möglichkeiten in ein Netzwerk einzudringen, gibt es keinen Königsweg zur Sammlung von Hinweisen. Die Erstellung von Netzwerkmitschnitten, die erst nach Bekanntwerden des Angriffs vorgenommen wird, ist nur sinnvoll, wenn sich der Angreifer noch im Netzwerk bewegt. Das wird er in aller Regel nur tun, wenn er sich in Sicherheit wähnt.
Vorsorge ist daher besser als Nachsorge. Die richtigen Logdatei-Einstellungen führen dabei nicht nur zu einer schnelleren Identifizierung von Angriffen, sondern auch zu einer umfassenderen Aufklärung. Daher werden wir auch nicht müde auf die Faustformel für Logdateien hinzuweisen: So viel wie möglich mitloggen, so wenig Zugriff wie möglich zulassen.
Die Logdateien der weit überwiegenden Mehrheit, die sich rechtmäßig in einem Unternehmensnetzwerk bewegt haben, für eine angemessene Zeit speichern, um Forensikern zu ermöglichen, rechtswidrige Angriffe auf Daten aufzuklären – nach meiner persönlichen Empfindung sollte das durchaus ein anerkennenswertes Anliegen sein. Legen Sie aber bei Ihrer rechtlichen Empfehlung den zutreffenden Maßstab an? Die Logdateien zu den Bewegungen im weltweiten Netzwerk sollen alsbald gelöscht werden müssen – ohne Rücksicht darauf, ob die zuständigen Forensiker schwerste Straftaten gegen Leib und Leben aufklären können, die mithilfe des Netzwerks vorbereitet wurden. Wie soll dann rechtlich begründet werden, dass der erste Fall gerechtfertigt sei? Warum wiegen berechtigte wirtschaftliche Interessen privater Unternehmen schwerer, als staatliche Aufgaben im essentiellen Interesse der Allgemeinheit?
Die Speicherung von Logfiles im eigenen Firmen-Netzwerk ist bereits von der Eingriffsintensität nicht vergleichbar mit einer umfassenden Vorratsdatenspeicherung des Internetverkehrs und/oder sämtlicher Verbindungsdaten. So sind interne Logfiles begrenzt auf das Geschehen im Unternehmen, welches zumeist lediglich beruflich genutzt wird oder seitens des Arbeitgebers zumindest darauf beschränkt werden kann. Auch ist das Unternehmen nicht zwingend verpflichtet Logfiles in strikt vorgegebenem Umfang anzulegen, vielmehr handelt es sich um eine Option oder Obliegenheit.
Anders verhält es sich hingegen bei einer staatlich auferlegten Pflicht zur umfassenden Vorratsdatenspeicherung. Dabei wird nicht nur in den beruflichen, sondern auch in den höchstpersönlichen Bereich eingegriffen. Eine Möglichkeit, sich einer etwaigen „Überwachung“ zu entziehen besteht also gerade nicht – und zwar zu keinem Zeitpunkt. Daneben dienen Grundrechte gerade auch dem Schutz vor Eingriffen des Staates in die Rechte und Freiheiten der Bürger, so dass hier (insbesondere aufgrund der Lehren aus der Vergangenheit) weitreichendere Schranken gesetzt werden. Zwar entfalten Grundrechte nicht selten eine mittelbare Drittwirkung gegenüber der Privatwirtschaft, primär werden jedoch staatliche Stellen gebunden.
Mithin führt die Menge an erhobenen (sensiblen) Daten, deren Auswertung bis tief in die Intimsphäre eingreift, sowie andere Schutzziele auch zu einer anderen Bewertung. Dies ist aber gerade deshalb keine Ungleichbehandlung oder gar Benachteiligung staatlicher Stellen, sondern einem Rechtsstaat immanent. Zudem bedeutet dies nicht, dass dem Staat sämtliche Möglichkeiten verwehrt werden, sondern vielmehr, dass besonders intensive Eingriffe einer entsprechenden Legitimierung (ggf. im Einzelfall) bedürfen.