Transformation in die Cloud - welche Cloud darf es sein?
Blickwinkel Security

Digitale Spurensuche

20.10.2016

Die Täter sitzen in Nordkorea, Russland oder im Nachbarbüro. Sie hinterlassen keine Blutlachen oder durchwühlte Schränke. Doch Digital-Forensiker wie Volker Wassermann und Dr. Alexander Schinner, Security-Consultant der Telekom, wissen, wie sich zwischen Bits und Bytes wertvolle Hinweise auf den Tathergang finden lassen. Ein Interview mit dem IT-Forensiker Wassermann – dem Sherlock Holmes der IT.
Wenn Hacker und Datendiebe zugeschlagen haben, gehen IT-Forensiker auf Spurensuche.

Hinterlassen Hacker Spuren?

Meist lassen sich irgendwelche Hinweise finden. Dazu analysiere ich Server und Endgeräte der Benutzer wie Smartphones oder Laptops. Ich werte Log-Dateien und andere Protokollierungen aus und nehme dazu auch Kontakt zu Providern und IT-Dienstleistern auf. Im Grunde untersuche ich alle Geräte und Netze, die der Täter erreichen konnte. So lässt sich nachvollziehen, wie er vorgegangen sein könnte.

Sie gehen also im Grunde vor wie ein Detektiv?

Volker Wassermann
Volker Wassermann ist zertifizierter, selbstständiger EDV-Sachverständiger und IT-Forensik-Analyst. Der Fachinformatiker ist geschäftsführender Inhaber und Gründer der bridge4IT.
Der Vergleich mit Sherlock Holmes passt sehr gut. Jedes Detail kann helfen, dem Täter auf die Spur zu kommen. Gab es irgendwas im Netz oder auf den Rechnern, das sich anders als üblich verhalten hat? Tauchen Daten irgendwo auf, wo sie nicht hingehören? Oder gab es Mitarbeiter, die kurz vorher gekündigt und mit Daten hantiert haben? Aus diesem Puzzle von Einzelteilen kann ich mir dann am Tatort ein Gesamtbild machen.

Aber am Tatort geht es doch nur um PCs, Smartphones oder Server?

Gerade bei Innentätern heißt es, genau hinzuschauen. Der Täter hat vielleicht im letzten Moment noch etwas versteckt. Ich habe schon Speicherkarten in Lampenschirmen oder unter dem Fuß eines Monitors gefunden.

Müssen Sie nach bestimmten Regeln vorgehen?

Wesentliches Element der IT-Forensik ist die Gerichtsfestigkeit der digitalen Beweismittel und aller folgenden Aktivitäten. Ansonsten würde das Gericht bei einem Prozess ein Beweismittel ablehnen. Ich dokumentiere meine Vorgehensweise also umfassend und lückenlos. Man darf sich keinen Fehler erlauben. So dürfen die Datenträger niemals aus den Augen gelassen werden. Dafür wird das Beweisstück eindeutig gekennzeichnet und in der Asservatenkammer der Polizei gesichert. Das ist genauso wie bei jeder anderen Tat auch.

Jeder Eingriff in ein IT-System verändert doch den Status quo?

Ein IT-Forensiker benötigt eine anerkannte Zertifizierung. Für die Analyse verwende ich forensisch einwandfreie, zertifizierte Hardware und Software. Es gibt zum Beispiel forensische Zusatzgeräte die verhindern, dass man etwas auf die zu sichernde Festplatte schreiben kann. Ich mache somit also eine unveränderliche Kopie, ein komplettes Abbild des Datenträgers, den ich dann im Nachgang analysieren kann. Ich habe aber auch die Möglichkeit, gelöschte Daten – zum Beispiel bei einem Smartphone – zu rekonstruieren.

Was sollten Unternehmen tun, wenn sie merken, dass sie angegriffen wurden?

Ruhe bewahren, da ein übereilter, falscher erster Schritt sämtliche Spuren beseitigen kann. Dann sollte man einen IT-Forensiker kontaktieren. Warum nicht unbedingt das Systemhaus? Die kennen sich zwar wahrscheinlich mit IT-Sicherheit aus, aber nicht unbedingt mit Forensik und der Vorgehensweise einer Vorfallsbewältigung.

Gibt es etwas, was das betroffene Unternehmen selbst machen kann?

Unternehmen sollten vorbereitet sein und einen Notfallplan erarbeiten. Sie sollten wissen, was sie tun müssen, wenn ein Angriff erfolgt ist. Welche Systeme kann ich abschalten und welche nicht. Nur dann kann man die richtigen Geräte vom Netzwerk trennen. Ein großer Fehler ist dagegen in der Regel, das Gerät vom Strom zu nehmen. Da werden mögliche Beweismittel aus dem RAM-Speicher gelöscht.

Aber eine Schadsoftware verbreitet sich doch auf dem Server weiter?

Das gilt für die Krypto- und Verschlüsselungstrojaner, die die Daten auf der Festplatte verschlüsseln. Um dies zu verhindern, sollte man in diesem Fall doch den Strom abschalten. So verhindert man das Übergreifen auf andere Rechner.

Sind denn alle Angriffe zu verhindern?

Nein, aber es lässt sich zum Beispiel verhindern, dass kontinuierlich kleine oder große Datenmengen aus dem Unternehmen abgezogen werden. Es gibt heute sehr gute Verfahren, mit denen sich Daten verschlüsseln lassen. Dann sind sie auf dem freigegebenen Gerät lesbar, aber auf einem nicht autorisierten Gerät sind sie unlesbar.

Ihnen sind wahrscheinlich einige ungewöhnliche Angriffsmethoden begegnet?

Ein Kunde wurde zum Beispiel von einem angeblichen Microsoft-Support angerufen. Alles war sehr professionell gemacht, inklusive der Geräuschkulisse eines Servicecenters. Der Support sagte, man hätte festgestellt, dass von dem Rechner meines Kunden eine Gefahr ausgehe, aber er könne über Team-Viewer auf den Rechner zugreifen und den Fehler direkt beheben. Dies koste etwa 270 Euro. Er würde dann über Team-Viewer beim Online-Banking zuschauen und wüsste, dass der Betrag überwiesen wurde. Danach könne er das Problem direkt lösen. Mein Kunde sagte, er nutze kein Online-Banking. Das wäre auch kein Problem, so der Support-Mitarbeiter. Zehn Gehminuten entfernt würde stattdessen ein Kurier stehen, dem er das Geld anvertrauen könne. Es ist kaum zu glauben, aber auf sowas fallen Leute rein. Mein Kunde übrigens nicht.

Lassen sich denn Hacker tatsächlich dingfest machen?

Dr. Alexander Schinner
Dr. Alexander Schinner und seine Kollegen aus dem Security-Consultant-Team (cert@telekom.de) bei der Telekom beraten Unternehmen, wie sie ihre IT-Systeme gegen Hackerangriffe schützen können und wie sie nach einem erfolgreichen Angriff reagieren sollten.
Interne Angriffe oder das Abziehen von wichtigen Daten lassen sich sehr gut nachvollziehen und beweisen. Angriffe aus dem Ausland dagegen sind schwer zu ermitteln. Über die Summe aller Indizien lässt sich aber oft herausfinden, aus welchem Land ein Angriff tatsächlich gestartet wurde. Das löst den Fall nicht, führt aber zu neuen Erkenntnissen, wie sich ein Unternehmen besser schützen kann.

Können Sie einen Ihrer spektakulärsten Fälle schildern?

Ein Produktionsunternehmen hatte plötzlich einen auffällig hohen Netzwerkverkehr. Eine eingeschleuste Software hat im Hintergrund ständig Daten gesammelt und nach außen geschickt. Wir haben dann entdeckt, dass diese Software aus mehreren kleineren Programmen bestand, die sich selbst entpackt haben. Der Täter war ein ausländischer Wettbewerber des Unternehmens, der ein externes Gerät an den Server angeschlossen hat. Wie? Ein externer Dienstleister, der Zugriff auf die Server hatte, hat das Gerät installiert. Mein Tipp: Prüfen Sie auch Ihre Partner, selbst wenn Sie seit Jahren ein gutes Verhältnis zu ihnen haben. Sie müssen wissen, welcher Mitarbeiter des Dienstleisters sich wo im Haus bewegt. Es kann ein Besucher oder Feind sein.

Wie hat das Unternehmen reagiert?

Nach dem Angriff hat sich das Unternehmen entschlossen, in die Cloud zu gehen, da es die Sicherheitsanforderungen selbst nicht mehr managen kann. Es gab zum Zeitpunkt des Angriffs alte Softwarestände und es wurde nicht gepatcht. Allein dies öffnet Tür und Tor für Hacker.

Ihre Auftragsbücher müssten voll sein?

Viele Unternehmen wollen noch immer nicht über Angriffe sprechen. Sie versuchen sie so lange wie möglich unter den Teppich zu kehren. Aber ich stelle fest, dass Unternehmen zunehmend direkt auf mich zukommen, bevor sie zur Polizei gehen. Denn die normalen Polizeidienststellen sind kaum auf IT-Forensik spezialisiert. Wenn ich dann feststelle, dass etwas passiert ist, dann bringt der Kunde den Fall zur Anzeige.