Bei der IT-Forensik werden IT-Sicherheitsvorfälle auf kriminelle Handlungen hin untersucht und aufgeklärt. Wenn deren Hauptaufgabe eigentlich die Rekonstruktion bereits abgeschlossener Sachverhalte ist, welche Themen umfasst die Prävention im Bereich der IT-Forensik? Das Schlagwort ist hier: Forensic Readiness. Was sich hinter der Bezeichnung verbirgt, wird im folgenden Artikel erläutert.
Der Inhalt im Überblick
Prävention in der IT-Forensik: Forensic Readiness
Wie der Name schon sagt, geht es um präventive Maßnahmen für eine spätere IT-forensische Untersuchung. Jedes Unternehmen sollte sich bereits heute mit dem Gedanken auseinandersetzen, irgendwann Opfer von Cybercrime zu werden. Dann gilt es, diesen Fall IT-forensisch aufzuklären. Dadurch können Schwachstellen, die zu dem Angriff führten, geschlossen werden und der Vorfall ggf. strafrechtlich aufgearbeitet werden. Was aber passiert, wenn das Unternehmen keine technischen und organisatorischen Maßnahmen getroffen hat, um den Fall adäquat aufzuklären?
Technische Maßnahmen können die Spurenlage verbessern
Wie unsere Serie „Daten verraten“ gezeigt, bieten viele Systeme bereits eine gute Basis, um Handlungen nachvollziehen zu können. Geht es jedoch um bestimmte Applikationen, kann die Lage anders aussehen. Viele Anwendungen speichern standardmäßig z.B. auftretende Fehler in einer Error.log-Datei. Welche erfolgreichen Zugriffe auf dem System durchgeführt wurden, bleibt hingegen im Dunkeln. Sind aus diesem Daten entwendet worden, kann nicht nachvollzogen werden, wer sich dort zum Tatzeitpunkt eingeloggt hat und welche Daten dabei aufgerufen und entwendet wurden. Dies gilt insbesondere für Datenbanken, welche oft im Mittelpunkt von erfolgreichen Cyberangriffen stehen. Auch diese bieten umfangreiche Auditlog-Möglichkeiten, wenn das in den Vorwegen konfiguriert wurden.
Somit besteht ein Teil der präventiven IT-Forensik darin, die IT-Infrastruktur und die entsprechenden Systeme auf einen Angriff vorzubereiten. Dabei kann eine Ausweitung der Protokollierung auch personenbezogene Daten betreffen und widerspricht grundsätzlich erstmal dem in der DSGVO festgelegten Prinzip der Datenminimierung. Entsprechende Maßnahmen sollten daher im Einzelnen mit dem Datenschutzbeauftragten abgestimmt und die Protokollierung nur für den Zweck der Aufklärung von Straftaten verwendet werden.
Beurteilung eines IT-Vorfalls
Bei einem IT-Vorfall muss eventuell entschieden werden, ob es sich dabei auch um einen IT-Sicherheitsvorfall handelt. Hierfür muss jemand Qualifiziertes den Vorfall richtig einordnen und dafür ggf. Abhängigkeiten zu anderen Systemen erkennen. Kommt man zu dem Schluss, es handelt sich um einen IT-Sicherheitsvorfall, müssen eine ganze Reihe von Maßnahmen zur Eindämmung, Sicherung und Auswertung sowie schlussendlich der Beseitigung und Wiederinbetriebnahme getroffen werden. Welche dies sind, sollte idealerweise im Vorfeld in einem Notfallplan oder einem -konzept definiert worden sein. Somit gehört es auch zur präventiven IT-Forensik, Bedrohungen im Vorfeld zu erörtern und für deren Eintreten geeignete Maßnahmen bereits geplant zu haben.
Dabei muss auch die zeitliche Komponente beachtet werden. Bei einem Vorfall Dienstagmittag sind entsprechendes Fachpersonal und Kollegen relativ einfach verfügbar, doch wie sieht es Samstagabend aus? Wie lange kann der Vorfall im Zweifel unbehandelt bleiben, bis Entscheidungen und Maßnahmen getroffen werden können.
Umsetzung der Maßnahmen
Nicht immer ist das Know-How zur Umsetzung von Maßnahmen oder der generellen Behandlung von IT-Sicherheitsvorfällen im Unternehmen vorhanden. Hierbei kann entweder auf externe Dienstleister zurückgegriffen werden. Sofern Personalkapazitäten vorhanden sind, kann das Wissen natürlich auch intern aufgebaut werden.
Vereinbarungen mit Dienstleistern
Können einzelne Prozesse oder Maßnahmen nicht intern abgebildet werden, ist es möglich, diese Lücke über Dienstleister zu füllen. Besonders die IT-forensische Expertise wird nur von wenigen Firmen intern vorgehalten. Rahmenverträge oder buchbare Kapazitäten können in eine Sicherheitsstrategie integriert werden.
Im Rahmen der Vereinbarungen können dann Reaktionszeiten, Art und Leistung der Unterstützung, oder regelmäßige Tests der IT-Infrastruktur festgelegt werden. Bei einem Sicherheitsvorfall kann dadurch unmittelbar externer Rat zugezogen und der Vorfall fachgerecht behandelt werden.
Training der eigenen Mitarbeiter
Können intern eigene Ressourcen bereitgestellt oder aufgebaut werden, bietet es sich an, die eigenen Mitarbeiter mit entsprechenden Trainings und Workshops zu schulen. Dies kann sich auf grundlegende Themen in der IT-Forensik beschränken, wie bspw. die gerichtsfeste Sicherung von Datenträgern und flüchtigen Speichern. In Rahmen von Workshops kann aber auch ein realitätsnahes Szenario trainiert werden – vom ersten Erkennen des Vorfalls bis zur abschließenden Bereinigung der Systeme und Aufklärung der getätigten Handlungen. Solche Übungen festigen die Arbeitsschritte und sorgen für mehr Routine bei einem richtigen IT-Sicherheitsvorfall.
In größeren Organisationen bieten sich beispielsweise Krisenstabstrainings, um dessen Organisation und Prozesse zu testen und zu optimieren. Auch bei solchen Übungen wird oft anhand eines Szenarios ein IT-Sicherheitsvorfall simuliert. Der Fokus liegt hier allerdings nicht auf der technischen Komponente, sondern im Aufbau der internen Strukturen, Entscheidungskompetenzen und Prüfung der Prozesse und Meldeketten.
Egal wie, aber werden Sie tätig!
Über kurz oder lang wird jedes Unternehmen mit einem IT-Sicherheitsvorfall konfrontiert werden. Wichtig ist, vorbereitet zu sein und umgehend die richtigen Maßnahmen einleiten zu können. Falsche Schritte, Untätigkeit, oder Prozess die eine Reaktion stark verzögern, können den Schaden erhöhen. Zudem gibt dies dem Angreifer Zeit, seine Spuren zu verwischen und die Aufklärung zu erschweren. Ist kein internes Know-How vorhanden, sollten externe Stellen zeitnah eingeschaltet werden. Dieser Auffassung ist auch das BSI. Im IT-Grundschutzkompendium 2020 wurde der Vorsorge für die IT-Forensik der eigene Baustein DER.2.2 gewidmet (S. 299).
Die hier abgegebenen Empfehlungen und weitere Maßnahmen, je nach individuellem Schutzbedarf, können dort noch einmal vertieft nachgelesen werden. In jedem Fall gilt, dass eine gute Vorbereitung bei einem IT-Sicherheitsvorfall den Stress und den möglichen Schaden deutlich reduziert.
Vielen Dank, Herr Klick-Strehl,
für diesen fundierten Artikel. Es ist sehr gut, dass Sie hier auf das Spannungsfeld zwischen Datenschutz (Minimierung der Protokollierung personenbezogener Daten, zu denen ja z.B. auch IP- oder MAC-Adressen zählen) und IT-Sicherheit (Nachverfolgbarkeit von Sicherheitsvorfällen) eingehen.
Was neben der engen Abstimmung sinnvoll ist, ist, für die Protokollierung klare Löschfristen zu vereinbaren, so dass diese Balance gelingen kann. Man kann sich überlegen, wie lange ein Sicherheitsvorfall maximal unbemerkt bleibt, und dana Löschregeln definieren.
Und ja, es gab Fälle, in denen ein Eindringling über sehr lange Zeit unbemerkt blieb (Beispiel Telekom Austria), dennoch plädiere ich dafür, das nicht als Grund zu nehmen, Protokolldateien quasi unendlich aufzuheben – das findet nicht nur ein ggf. vorhandener Betriebsrat problematisch, sondern auch die Aufsichtsbehörden.
Hier hilft im Zweifel ein auf die Kritikalität des jeweiligen System abgestimmer Löschplan.