In jedem dritten Unternehmen gab 2019 mindestens einen gravierenden Sicherheitsvorfall – quer durch alle Branchen. Für eine rasche Aufklärung durch digitale Beweisführung sind IT-Forensiker unverzichtbar. Welche Schritte wir bei unserer Spurensuche gehen und wie sich Unternehmen auf Cyberattacken vorbereiten können.
Im vergangenen Jahr fand die Digitalisierung am Berliner Kammergericht ein jähes Ende: Nach einem Angriff mit dem Emotet-Trojaner gingen die Juristen vom Netz und mussten über Monate in den Analog-Modus zurückschalten. Security-Spezialisten von T-Systems haben damals das forensische Gutachten verfasst: Die Cyberkriminellen wollten sensible Daten abgreifen. Um eine bessere IT-Security zu erreichen, haben wir dem Gericht dann empfohlen, die IT-Infrastruktur und die Server neu aufzusetzen.
Wenn uns Unternehmen oder Behörden alarmieren, dann geht es in der IT-Forensik und beim Incident-Handling immer darum, das Ausmaß des Schadens zu bestimmen und zu begrenzen, die Schuldigen und deren Motive ausfindig machen und deren Vorgehensweise zu analysieren. Danach verschließen die IT-Experten die Einfallstore und leiten Gegenmaßnahmen ein. Ganz entscheidend: Die IT-Forensik muss mit ihren Tools gerichtsverwertbare und nachweisbare Tatsachen liefern, damit Gerichte die digitalen Beweismittel in einem späteren Prozess nicht ablehnen. Oder das Unternehmen auf Probleme stößt, wenn es den entstandenen Schaden bei der Versicherung geltend machen möchte.
Im Schadensfall rate ich Unternehmen, Ruhe zu bewahren. Gar nicht so einfach, wenn Daten in Gefahr sind oder sich ein Erpresser meldet. Aber ein falscher erster Schritt kann sämtliche Spuren beseitigen und den Schaden vergrößern. Meine Bitte: Sperren Sie den Tatort für uns Forensiker ab und verändern selbst nichts.
Auch wir dürfen Beweismittel – Datenträger, Speicherimages oder Logdateien – nicht verändern oder gar zerstören. Deshalb dokumentieren und fotografieren wir bei der Beweissicherung stets auch alle potenziell relevanten physischen Hinweise. Weil es später wichtig sein könnte, wie die Umgebung aussah oder wo welches Kabel im Laptop steckte. Forensiker arbeiten mit den betroffenen Unternehmen eng zusammen: Heißt: Wir brauchen das Vertrauen unserer Kunden und den Zugriff auf Logfiles, Festplatten, Laptops, Handys, Netzwerkdaten und -pläne oder E-Mails mit Headern. Selbstverständlich sammelt ein Forensiker auch die Aussagen der Betroffenen, um sein Bild zu vervollständigen. Anschließend erstellt er eine vollständige forensische Kopie der Festplatte oder sichert den Laptop.
Unser Tatort ist also stets gleichzeitig analog und digital: Neben der Analyse einzelner Systeme – in der Regel Arbeitsplatzrechner oder Server – kann sich die Untersuchung auch auf die gesamte IT-Landschaft aus Hardware, Software, Services, Organisation und Planung ausdehnen. Bei unseren Recherchen suchen wir nach Spuren im Netzwerk und auf Computern. Wenn Daten an Stellen auftauchen, wo sie nicht hingehören, werden wir hellhörig. Dann bohren wir tiefer und verfolgen den Weg der Schadsoftware: Wo kam es zur Erstinfektion? Wie hat sich der Schädling im Unternehmensnetzwerk weiterverbreitet? Was ist der Ursprung? Kommt er von innen oder von außen? Wer wurde angegriffen und wie groß ist der Schaden?
Angriffe von Verschlüsselungstrojanern, Emotet, Cryptolocker oder dem Erpressungstrojaner Locky sind wenig komplex und eigentlich vergleichsweise gut abwehrbar. Interessante Schlupflöcher finden die Angreifer dennoch immer wieder: So hat ein 17-Jähriger vor kurzem die Twitter-Accounts von Prominenten gehackt – darunter Elon Musk, Bill Gates, Joe Biden und Barack Obama. Das Ziel: Bitcoins erbeuten. Bei ihren Attacken nutzen Cyberkriminelle gerne aktuelle Anlässe wie jetzt gerade die Corona-Pandemie als Köder.
Bei Industriespionage oder staatlicher Sabotage suchen sich die Täter die Opfer gezielter aus – und gehen überaus geschickt vor. Laut BSI entdecken Unternehmen solche Advanced Persistent Threats (APT) erst nach durchschnittlich 205 Tagen. Sehr viel Zeit, um tief in die Unternehmensstrukturen einzudringen und den Systemen die gewünschten Informationen zu entlocken. Meist werden dabei Mitarbeiterinnen oder Mitarbeiter ungewollt zu Sprungbrettern ins Unternehmen. Die Angreifer kommunizieren mit dem Opfer über eine Spear-Phishing-Mail. Man nennt diese Methode Social Engineering. Das bedeutet, dass die Angreifer den Empfänger erst ausforschen, gerne auch sein Privatleben, um ihm dann eine maßgeschneiderte Mail zu schicken. Der Fußballfan bekommt dann eine manipulierte Einladung zu einem Spiel seines Lieblingsvereins und die Controllerin eine bösartige Rechnung. Auf diesem Wege werden Beschäftigte beziehungsweise deren Rechner unfreiwillig und unbewusst zum internen Helfershelfer des externen Angreifers.
Oft ermitteln die Telekom Security Experten bereits, bevor externe Stellen die Unternehmen darüber informieren, dass sich Cyberkriminelle in ihre Systeme eingeschlichen haben. Digitale Forensiker kommen etwa dann zum Einsatz, wenn die IT-Administratoren der Kunden merken, dass sich das IT-System anders verhält als sonst. Wenn der Buchhalter zum Beispiel über Überweisungen stolpert, für die er keine Rechnungsbelege findet. Oder sich die Geschäftsführerin wundert, dass ihre Firma seit einiger Zeit bei jeder Ausschreibung unterboten wird oder die Konkurrenz aus Fernost mit einer Innovation auf den Markt kommt, die den eigenen Entwürfen verblüffend ähnelt.
Natürlich gibt es keinen hundertprozentigen Schutz vor einer Cyber-Attacke. Aber mit klar vereinbarten Verhaltensregeln können sie die Folgen zumindest eingrenzen.
