Schon eine digitale Spur reicht IT-Forensiker Dr. Alexander Schinner, um Cyberangriffen auf den Grund zu gehen.
ABHÖRSICHERHEIT

„Schon eine Spur reicht.“

Dr. Alexander Schinner, IT-Forensiker und Senior Cyber Security Consultant bei T-Systems, über die forensische Erfassung, Analyse und Auswertung digitaler Spuren und die Vorsorge, die Unternehmen mit Blick auf Cyberangriffe treffen können.
Interview: Thomas van Zütphen
Fotos: Dominik Pietsch, Foto Sexauer

Herr Dr. Schinner, wer sind Ihre Kunden?
Die IT-Forensiker von T-Systems ermitteln
Cyberangriffe fallen meist erst dann auf, wenn bereits Schaden entstanden ist. Helfen kann hier ein spezialisierter Ermittler, der solche Attacken frühzeitig erkennt. Dr. Alexander Schinner, IT-Forensiker bei T-Systems, macht genau das jeden Tag.
Was sie eint, ist Angst um das eigene Unternehmen oder sogar Panik. Das sind aber völlig normale Reaktionen. Denn fast immer entstammen unsere Anrufer, und übers Telefon erfolgt der erste Kontakt, einer von zwei Gruppen: Entweder hatten sie ihrer Sicherheitsarchitektur vollständig vertraut oder, oft aus Kostengründen, darauf gesetzt, dass es sie nie erwischen würde. Je länger Letzteres gut geht, desto perplexer ist man, wenn diese Kalkulation schlagartig in unbekannten Kanälen versickert. Vor allem für Konzerne, Betreiber kritischer Infrastrukturen und die Hidden Champions unseres Mittelstands gilt: Es ist schlichtweg illusionär anzunehmen, dass es nur einen Tag in der Woche geben könnte, an dem man nicht angegriffen wird.
Wozu raten Sie im ersten Schritt?
Ruhe zu bewahren. Und zwar aus zwei Gründen: Ein falscher erster Schritt kann sämtliche Spuren beseitigen und eine übereilte Reaktion, etwa meinen kompletten Betrieb auszusetzen, den Schaden nur noch größer machen. Aber, noch mal, am wichtigsten für unsere Arbeit ist: nichts zu verändern und den Tatort quasi abzusperren. Nur dann können wir sichergehen, dass bis zu unserem Eintreffen keine Spur verwischt wird.
Ist IT-Forensik also Detektivarbeit?
Der Vergleich passt. Bei Sherlock Holmes reichen die Beweismittel beziehungsweise Spuren von der Leiche bis zur Zigarettenasche. Bei uns sind sie nur eben digital. Und für Angreifer ist es sehr sehr schwierig, überhaupt keinen Fehler zu machen und nicht wenigstens eine Spur zu hinterlassen. Und eine davon reicht.
Wie sieht Ihre Spurensicherung praktisch aus?
Im Grunde relativ standardisiert. Zunächst einmal: zuhören und Fragen stellen. Dann werden Logfiles und verschiedene andere Daten gesichert und mitunter die Personalvertretung eingeschaltet, weil gegebenenfalls Innentäter oder deren Hardware ausgeschlossen oder identifiziert werden sollen. Erst dann geht’s an den Tatort.
Und dort passiert was?
Je nachdem, wonach wir suchen. Galt der Angriff einem Mitarbeiterrechner oder einem Server, kam er von außen oder von innen? Tatsächlich wird zunächst einmal alles fotografiert, um hinterher so simple Fragen beantworten zu können wie: Wo steckte welches Kabel? Dann erstellen wir eine vollständige forensische Kopie der Festplatte oder sichern gleich das ganze Laptop.
Und dabei spielt keine Rolle, ob Innen- oder Außentäter?
Selbstverständlich. Den Unterschied macht, was der Kunde erreichen will. Es ergibt ja wenig Sinn, einen Angreifer in China zu identifizieren. In dem Fall will der Kunde von uns wissen: Was haben die Angreifer getan, wie konnten sie reinkommen, welche Verluste habe ich erlitten, und wie setze ich sie wieder vor die Tür? Anders ist es, wenn sich der vermeintlich chinesische Angreifer als Kollege Meier aus der Buchhaltung entpuppt. Dann lohnt es, den Täter zu identifizieren und ihn vor Gericht zu bringen. Ein essenzielles Element der IT-Forensik ist, dass die von uns sichergestellten digitalen Beweismittel gerichtsverwertbar sind und auch alle nachfolgenden Aktivitäten von uns lückenlos dokumentiert einer juristischen Auseinandersetzung standhalten. Ansonsten könnte das Gericht bei einem Prozess ein Beweismittel ablehnen.
Was braucht es dafür?
Aufseiten eines echten IT-Forensikers, und davon gibt es sehr wenige in Deutschland, Konzentration, Disziplin und Akribie. Wir zerstören keine Beweismittel, wenn wir am Betriebssystem vorbei sehr tief in Vorgänge und Systeme schauen. Gab es irgendwas im Netz oder auf den Rechnern, was sich womöglich anders als üblich verhalten hat? Tauchen Daten auf, wo sie nicht hingehören? Oder gab es Mitarbeiter, die kurz vorher gekündigt und mit Daten hantiert haben? Aus diesem Puzzle von Einzelteilen können wir uns schon am Tatort oder in unserer Laboranalyse ein sehr gutes Gesamtbild machen.
Das heißt, es geht um mehr als nur Hardware?
Korrekt, Hardware allein sichert nicht. Die Sicherheitsarchitektur aus Hardware, Software, Services, Organisation und Planung ist der eigentliche Tatort, an dem wir suchen. Denn oft ist der Mitarbeiter, dessen Rechner wir als Angriffswaffe enttarnen, selbst das Opfer.