Ob Datenklau, -manipulation oder -hehlerei: Die Zahl der Angriffe auf PC, Laptop, Tablet und Co. nimmt zu. Computerkriminalität ist dabei schon vom Wesen her Dunkelfeldkriminalität. Aus Sorge um ihre Reputation etwa melden Unternehmen Hackerattacken häufig nicht. In vielen Fällen bemerken Opfer aber auch gar nicht, dass sie Ziel von Cyberangriffen wurden. Zum Glück sind die Hacker aber nicht immer erfolgreich. Was aber machen, wenn sie doch einmal Schaden anrichten?
Ob in Netzwerken wie Tor oder dem öffentlichen Internet – für die Bekämpfung Krimineller sind im ersten Schritt vor allem schnelle, hochverfügbare und den behördlichen Anforderungen genügende Hardwareressourcen von essenzieller Bedeutung. Das LKA in Düsseldorf ist deswegen mit einem Cybercrimesystem ausgerüstet, das immer größer werdende Datenmengen gleichzeitig auswertet. Je zügiger der Datenstrom im System verteilt wird, desto schneller können Daten jeglichen Formats analysiert und mit höherer Trefferquote ausgewertet werden. Das Ergebnis: ein schnellerer Zugriff auf die mutmaßlichen Täter. Dafür hat T-Systems gemeinsam mit Dell eine innovative und moderne Highspeed-Storage-Lösung implementiert, die alle Anforderungen der Polizei NRW an Sicherheit, Performance und Administrierbarkeit erfüllt.
Das neue Gesamtsystem ist 540-mal schneller als die Vorgängerinstallation. Beim Arbeitsbeginn liegen die Daten der letzten 24 Stunden komplett vor. Das System ist vollständig BSI-Grundschutz-konform. Ein wesentliches Modul von HiPoS – Hybride integrative Plattform Polizeilicher Sondernetze – ist ein Big Data Enhanced Analytics SysTem (B.E.A.S.T.), ein schnelles, hochsicheres und leistungsfähiges Cybercrimeforensik- und Analysesystem. Der neue Auswertungsvorgang mit B.E.A.S.T. ermöglicht Anfragen an eine sechs Milliarden Datensätze umfassende Datenbank in circa ein bis drei Sekunden. Durch diese Geschwindigkeit führen die forensischen Methoden der erfahrenen Ermittler nun im Sekundentakt zu Ergebnissen, für die vorher Wochen oder Monate benötigt wurden.
Die Zukunft erscheint düster: Durch die geschickte Ausnutzung von quantenmechanischen Phänomenen würde ein Quantencomputer in kürzester Zeit viele etablierte Verschlüsselungsmethoden knacken, wozu herkömmliche Computer heute noch Milliarden Jahre Rechenzeit benötigen. Passwörter und andere sensible Daten im Internet zu übertragen, könnte zum Hochsicherheitsrisiko werden. Security-Forscher suchen daher nach einem Gegenmittel gegen die Gefahr durch Quantencomputer. Wissenschaftlern zufolge sollten Unternehmen auf neue Verschlüsselungsverfahren der Post-Quanten-Kryptografie umsatteln. Denn bereits der heutige Datenverkehr ist womöglich gefährdet. So könnten Hacker sensible Informationen jetzt verschlüsselt abfangen und speichern, um sie dann in zehn Jahren – oder früher – durch einen Quantencomputer nachträglich knacken zu lassen.
Kryptografieexperten empfehlen, für symmetrische Algorithmen wie AES (Advanced Encryption Standard) eine Schlüssellänge von 256 Bit zu wählen. Asymmetrische Kryptografie, wie RSA und Verfahren auf elliptischen Kurven, müssen durch neue Verfahren ersetzt werden, die sicher gegenüber den Angriffen durch Quantencomputer sind. Denn um diese zu knacken, müssten wiederum entsprechend größere Quantencomputer entwickelt werden. Unternehmen könnten künftig aber auch hybride Verfahren einsetzen, also eine aktuelle Verschlüsselungsmethode mit einem neuen Post-Quantum-Algorithmus kombinieren. Die Telekommunikationsunternehmen testen sowohl Post-Quantum-Algorithmen als auch neue Kryptoalgorithmen, die selbst auf quantenmechanischen Phänomenen basieren.
Wenn Hacker erfolgreich sind, kann ein übereiltes Handeln kontraproduktiv sein. Spuren werden verwischt. Eventuell wird der Cyberangreifer ungewollt noch tiefer in die IT-Systeme eingeschleust. Bewahren Sie daher Ruhe, wenn Sie einen Angriff registrieren und schalten Sie frühzeitig einen Incident Handler ein, ehe ungewollt die Spuren der Angreifer verwischt sind. Ein Digital-Forensiker sichert den Tatort und sucht zwischen Bits und Bytes wertvolle Hinweise auf den Tathergang. Ein falscher erster Schritt kann fatale Folgen haben und den Schaden noch vergrößern.
IT-Forensik ermittelt aber auch schon dann, wenn IT-Administratoren merken, dass sich das IT-System anders verhält als sonst. Wenn der Buchhalter zum Beispiel über Überweisungen stolpert, für die er keine Rechnungsbelege findet. Oder sich der Geschäftsführer wundert, dass seine Firma seit einiger Zeit bei jeder Ausschreibung unterboten wird. Oder die Konkurrenz mit einer Innovation auf den Markt kommt, die den eigenen Entwürfen verblüffend ähnelt.
Die Aufgaben des Incident Handlers sind das Ausmaß des Schadens zu bestimmen und zu begrenzen, die Schuldigen und deren Motive ausfindig zu machen und deren Vorgehensweise zu analysieren. Dann werden die Einfallstore verschlossen und Gegenmaßnahmen eingeleitet. Entscheidend ist, dass ein IT-Forensiker gerichtsverwertbare und nachweisbare Tatsachen liefert. Ansonsten lehnt die Justiz die digitalen Beweismittel in einem späteren Prozess ab. Oder Sie stoßen auf Probleme, wenn Sie den entstandenen Schaden bei der Versicherung geltend machen möchten.
Bei einem Angriff zählt jede Minute und richtiges Handeln ist essenziell für den Erfolg. Viele Unternehmen haben nicht genug Ressourcen, um selbst effektiv Cyber Security Incidents behandeln zu können.
Unser T-Systems Incident Response Team ist rund um die Uhr für Sie da. Wir analysieren die Situation, bereinigen den Schaden und führen Ihre Systeme wieder in den Normalbetrieb zurück. Durch die Spezialisierung auf Cyberangriffe und unsere langjährige Erfahrung im Bereich IT-Security verfügen wir über die notwendigen Tools und Experten, um Ihre IT-Sicherheit zu gewährleisten.
Der Ablauf einer IT-forensischen Analyse ist standardisiert und folgt methodisch immer den gleichen Vorgaben. Nur so können gerichtsverwertbare Beweise sichergestellt werden. Als Erstes werden Datenträger, Speicherimages und Logdateien gesichert. Die Beweismittel dürfen nicht verändert oder gar zerstört werden. Aus diesem Grund wird bei der Beweissicherung auch alles dokumentiert und fotografiert. Es könnte beispielsweise wichtig werden, wie die Umgebung aussieht oder wo welches Kabel im Laptop steckt. Das Wichtigste ist am Anfang, eine verlässliche Grundlage für die weiteren Untersuchungen zu schaffen.
Wo kam es zur Erstinfektion? Wie hat sich der Schädling im Unternehmensnetzwerk weiterverbreitet? Was ist der Ursprung? Kommt er von innen oder von außen? Wer zählt zu den Opfern und wie groß ist der Schaden? Ein IT-Forensiker arbeitet mit den betroffenen Unternehmen eng zusammen – sie brauchen Zugriff auf Logfiles, Festplatten, Laptops, Handys, Netzwerkdaten und -pläne oder E-Mails mit Headern. Dazu sammelt der Forensiker Aussagen der Betroffenen, um sich ein Bild zu machen. Es zählt eine vertrauensvolle Zusammenarbeit. Abschließend erstellt er eine vollständige forensische Kopie der Festplatte oder sichert den Laptop.
Ein Cyberangriff fällt meist erst dann auf, wenn bereits Schaden entstanden ist. Helfen kann ein spezialisierter Ermittler, der solche Attacken frühzeitig erkennt. Ein IT-Forensiker schützt Unternehmen vor Cyberangriffen, berät zur Vorsorge und hilft, wenn ein Hacker zugeschlagen hat.
Mit einem Notfallplan steigt die Wahrscheinlichkeit, dass die Beschäftigten in einer Ausnahmesituation richtig reagieren.
Wir begleiten Ihre digitale Transformation mit branchenspezifischen Beratungsleistungen, erstklassigen Cloud-Services, digitalen Lösungen und starken Security-Systemen – vom Konzept bis zur Umsetzung. Bei uns trifft große Branchenexpertise auf eine perfekt integrierte Lösung aus einer Hand. Let’s power higher performance – together!
