T-Systems-Claim-Logo
Suchen
Eine Hand tippt auf einer Laptop-Tastatur.

IT-Forensiker: Spurensuche zwischen Bits und Bytes

Nach Cyberangriffen sammeln IT-Forensiker Beweise, bestimmen den Schaden und setzen die Angreifer wieder vor die Tür.  

30. Oktober 2020Prof. Dr. Alexander Schinner

Was ist digitale Forensik?

In jedem dritten Unternehmen gab 2019  mindestens einen gravierenden Sicherheitsvorfall – quer durch alle Branchen. Für eine rasche Aufklärung durch digitale Beweisführung sind IT-Forensiker unverzichtbar. Welche Schritte wir bei unserer Spurensuche gehen und wie sich Unternehmen auf Cyberattacken vorbereiten können.   

Im Verdachtsfall: IT-Forensiker alarmieren.

Vogelperspektive auf eine Person, die auf einem Laptop tippt

Im vergangenen Jahr fand die Digitalisierung am Berliner Kammergericht ein jähes Ende: Nach einem Angriff mit dem Emotet-Trojaner gingen die Juristen vom Netz und mussten über Monate in den Analog-Modus zurückschalten. Security-Spezialisten von T-Systems haben damals das forensische Gutachten verfasst: Die Cyberkriminellen wollten sensible Daten abgreifen. Um eine bessere IT-Security zu erreichen, haben wir dem Gericht dann empfohlen, die IT-Infrastruktur und die Server neu aufzusetzen.

Wenn uns Unternehmen oder Behörden alarmieren, dann geht es in der IT-Forensik und beim Incident-Handling immer darum, das Ausmaß des Schadens zu bestimmen und zu begrenzen, die Schuldigen und deren Motive ausfindig machen und deren Vorgehensweise zu analysieren. Danach verschließen die IT-Experten die Einfallstore und leiten Gegenmaßnahmen ein. Ganz entscheidend: Die IT-Forensik muss mit ihren Tools gerichtsverwertbare und nachweisbare Tatsachen liefern, damit Gerichte die digitalen Beweismittel in einem späteren Prozess nicht ablehnen. Oder das Unternehmen auf Probleme stößt, wenn es den entstandenen Schaden bei der Versicherung geltend machen möchte.

Beweismittel sichern, Datenverlust minimieren

Im Schadensfall rate ich Unternehmen, Ruhe zu bewahren. Gar nicht so einfach, wenn Daten in Gefahr sind oder sich ein Erpresser meldet. Aber ein falscher erster Schritt kann sämtliche Spuren beseitigen und den Schaden vergrößern. Meine Bitte: Sperren Sie den Tatort für uns Forensiker ab und verändern selbst nichts. 

Auch wir dürfen Beweismittel – Datenträger, Speicherimages oder Logdateien – nicht verändern oder gar zerstören. Deshalb dokumentieren und fotografieren wir bei der Beweissicherung stets auch alle potenziell relevanten physischen Hinweise. Weil es später wichtig sein könnte, wie die Umgebung aussah oder wo welches Kabel im Laptop steckte. Forensiker arbeiten mit den betroffenen Unternehmen eng zusammen: Heißt: Wir brauchen das Vertrauen unserer Kunden und den Zugriff auf Logfiles, Festplatten, Laptops, Handys, Netzwerkdaten und -pläne oder E-Mails mit Headern. Selbstverständlich sammelt ein Forensiker auch die Aussagen der Betroffenen, um sein Bild zu vervollständigen. Anschließend erstellt er eine vollständige forensische Kopie der Festplatte oder sichert den Laptop. 

Unser Tatort ist also stets gleichzeitig analog und digital: Neben der Analyse einzelner Systeme – in der Regel Arbeitsplatzrechner oder Server – kann sich die Untersuchung auch auf die gesamte IT-Landschaft aus Hardware, Software, Services, Organisation und Planung ausdehnen. Bei unseren Recherchen suchen wir nach Spuren im Netzwerk und auf Computern. Wenn Daten an Stellen auftauchen, wo sie nicht hingehören, werden wir hellhörig. Dann bohren wir tiefer und verfolgen den Weg der Schadsoftware: Wo kam es zur Erstinfektion? Wie hat sich der Schädling im Unternehmensnetzwerk weiterverbreitet? Was ist der Ursprung? Kommt er von innen oder von außen? Wer wurde angegriffen und wie groß ist der Schaden?  

Viele Täter bleiben lange unbemerkt

Binäre Codes vor einem menschlichen Auge

Angriffe von Verschlüsselungstrojanern, Emotet, Cryptolocker oder dem Erpressungstrojaner Locky sind wenig komplex und eigentlich vergleichsweise gut abwehrbar. Interessante Schlupflöcher finden die Angreifer dennoch immer wieder: So hat ein 17-Jähriger vor kurzem die Twitter-Accounts von Prominenten gehackt – darunter Elon Musk, Bill Gates, Joe Biden und Barack Obama. Das Ziel: Bitcoins erbeuten. Bei ihren Attacken nutzen Cyberkriminelle gerne aktuelle Anlässe wie jetzt gerade die Corona-Pandemie als Köder

Bei Industriespionage oder staatlicher Sabotage suchen sich die Täter die Opfer gezielter aus – und gehen überaus geschickt vor. Laut BSI entdecken Unternehmen solche Advanced Persistent Threats (APT) erst nach durchschnittlich 205 Tagen. Sehr viel Zeit, um tief in die Unternehmensstrukturen einzudringen und den Systemen die gewünschten Informationen zu entlocken. Meist werden dabei Mitarbeiterinnen oder Mitarbeiter ungewollt zu Sprungbrettern ins Unternehmen. Die Angreifer kommunizieren mit dem Opfer über eine Spear-Phishing-Mail. Man nennt diese Methode Social Engineering. Das bedeutet, dass die Angreifer den Empfänger erst ausforschen, gerne auch sein Privatleben, um ihm dann eine maßgeschneiderte Mail zu schicken. Der Fußballfan bekommt dann eine manipulierte Einladung zu einem Spiel seines Lieblingsvereins und die Controllerin eine bösartige Rechnung. Auf diesem Wege werden Beschäftigte beziehungsweise deren Rechner unfreiwillig und unbewusst zum internen Helfershelfer des externen Angreifers. 

Oft ermitteln die Telekom Security Experten bereits, bevor externe Stellen die Unternehmen darüber informieren, dass sich Cyberkriminelle in ihre Systeme eingeschlichen haben. Digitale Forensiker kommen etwa dann zum Einsatz, wenn die IT-Administratoren der Kunden merken, dass sich das IT-System anders verhält als sonst. Wenn der Buchhalter zum Beispiel über Überweisungen stolpert, für die er keine Rechnungsbelege findet. Oder sich die Geschäftsführerin wundert, dass ihre Firma seit einiger Zeit bei jeder Ausschreibung unterboten wird oder die Konkurrenz aus Fernost mit einer Innovation auf den Markt kommt, die den eigenen Entwürfen verblüffend ähnelt. 

Notfallplan als Krisenvorbereitung

Natürlich gibt es keinen hundertprozentigen Schutz vor einer Cyber-Attacke. Aber mit klar vereinbarten Verhaltensregeln können sie die Folgen zumindest eingrenzen. 

  1. Stellen Sie einen Notfallplan mit klaren Regelungen auf
    Weiß jede Kollegin, jeder Kollege, an wen man sich wenden muss, wenn etwas Verdächtiges auffällt? Hinterlegen Sie Notfallnummern, die bei Bedarf schnell zu finden sind.  
  2. Suchen Sie selbst nach Schwachstellen
    Lassen Sie sich im Vorfeld von einem erfahrenen Sicherheitsdienstleister beraten: Mit einem Penetrationstester spüren Sie die Schwachstellen Ihrer IT-Infrastruktur auf. Mit dem Forensiker kann man die Reaktion auf typische Bedrohungsszenarien üben und danach die Frage beantworten: „Könnte ich mein Unternehmen gegen diese Art von Angriff verteidigen?“
  3. Geizen Sie mit Zugriffsrechten
    Ist das Backup aktuell und physikalisch vom Netz getrennt? Haben Sie die Beschäftigten nur mit jenen Zugriffsrechten ausgestattet, die für ihre konkrete Arbeit notwendig sind? Ist Ihr Netzwerk segmentiert? Aus Gründen der Sicherheit sollten Sie es in verschiedene und voneinander getrennte Bereiche aufteilen. 
  4. Üben Sie regelmäßig den Krisenfall
    Der beste Notfallplan wird Sie nicht retten, wenn Sie mit Ihren Mitarbeitern nicht regelmäßig üben, wie man sich bei einem Cyber-Angriff richtig verhält. 
Zum Autor
Portrait von Alexander Schinner

Prof. Dr. Alexander Schinner

Squad Lead Incident Response Service, Deutsche Telekom Security GmbH

Profil und alle Artikel ansehen
Besuchen Sie t-systems.com außerhalb von Germany? Besuchen Sie die lokale Website für weiterführende Informationen und Angebote für Ihr Land.