Die Forensik als Oberbegriff für Arbeitsgebiete, in denen kriminelle Handlungen systematisch im Nachgang untersucht werden, ist vor allem aus Bereichen wie der Rechtsmedizin oder Psychiatrie bekannt. Aber auch in Fällen von Cyberkriminalität spielt die Auswertung von Daten eine immer größere Rolle. Mit ihrer Hilfe können Angriffe auf IT-Systeme analysiert und gerichtsverwertbare Beweise gesichert werden. Noch steckt die Cyberforensik in den Kinderschuhen, aber die technischen Möglichkeiten sind in den letzten Jahren kontinuierlich gewachsen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert IT-Forensik als „… die streng methodisch vorgenommene Datenanalyse auf Datenträgern und in Computernetzen zur Aufklärung von Vorfällen unter Einbeziehung der Möglichkeiten der strategischen Vorbereitung insbesondere aus der Sicht des Anlagenbetreibers eines IT-Systems“[1].
IT-forensische Maßnahmen erfolgen meist nicht grundlos – i.d.R. gehen ihnen Angriffe oder Auffälligkeiten im Cyberraum voraus. Durch die immer stärkere Vernetzung verschiedener Systeme wird in den letzten Jahren auch vermehrt von Cyber-Forensik gesprochen, bei der das gesamte Spektrum aus Netzwerk, Emails, Cloud bis hin zu IoT/IIoT bei der Datenanalyse berücksichtigt wird.
Zielstellung der forensischen Untersuchung ist die Beantwortung von vier klassischen W-Fragen – was ist wo, wann und wie passiert? Geht es um mögliche Strafverfolgung oder Vermeidung zukünftiger Angriffe schließen sich zwei weitere „W“´s nahtlos an: Wer ist der Angreifer, und was kann das Unternehmen tun, um in Zukunft sicherer aufgestellt zu sein?
Die detaillierten Handlungsempfehlungen des IT-Forensik-Leitfadens des Bundesamts für Sicherheit in der Informationstechnik wurden bereits 2011 erstellt, haben aber an Aktualität nichts eingebüßt. Sie dienen nicht nur der Aufklärung eines konkreten Angriffs, sondern berücksichtigen auch mögliche formelle bzw. juristische Anforderungen.
Denn so unterschiedlich die Angriffe aus dem Cyberraum auch sein mögen, die Vorgehensweise einer forensischen Untersuchung bleibt immer gleich und wird in Vorbereitung, Untersuchung, Datenanalyse und Dokumentation unterteilt. Das BSI benennt folgende Untersuchungsfelder: Dateisystem, Einbruchserkennung, IT-Anwendung, Skalierung von Beweismöglichkeiten, Datenbearbeitung und Auswertung.
Doch welches Werkzeug und welche Methode sollten Unternehmen nach einem Angriffsfall konkret nutzen?
Hier kann die Unterscheidung sinnvoll sein, ob es sich um ein datenorientiertes oder vorfallorientiertes Basisszenarium handelt. Bei Ersterem liegt der Fokus auf der Gewinnung und Untersuchung der in einem System enthaltenen Daten. Bei Zweiterem auf der Dokumentation der Vorgänge anhand eines Vorfallverlaufs.[2]
Egal ob bei der Online-Forensik eine Datenanalyse am aktiven System zum Einsatz kommt oder die Offline-Forensik im Nachgang aktiv wird – grundlegende Anforderungen sind insbesondere die lückenlose Beweiskette („Chain of Custody“), die Integrität des Untersuchungsgegenstandes sowie das systematische Vorgehen unter Nutzung anerkannter Methoden und Werkzeuge.[3]
Auch wenn die Erfüllung dieser Anforderungen für die Mehrheit der Unternehmen und Organisationen aktuell noch in weiter Ferne liegt, lohnt sich eine intensive Beschäftigung mit der Materie allemal. Denn Cyberforensik analysiert im Optimalfall nicht nur Fragen über Art und Dauer des Angriffs. Sie findet auch Antworten über das mögliche Einfallstor in das Unternehmenssystem, indem es digitale Beweise aufspürt und rekonstruiert oder ein kontinuierliches Augenmerk auf Netzwerkdaten legt. Beispielsweise mit einem Intrusion Detection and Prevention System (IDP) – um dort Auffälligkeiten zeitnah zu erkennen.
Nicht nur das angegriffene Unternehmen selbst kann von dem „Schließen des Einfallstors“ profitieren. Dass gerade auch Cyber-Versicherungsunternehmen bei entsprechend eingetretenen Schadfällen ein sehr starkes Interesse haben, den Auslöser zu identifizieren, überrascht nicht: Erst wenn eine hohe Transparenz zur Ursache besteht, ist eine gezielte Eindämmung der Schadfälle mit entsprechenden Gegenmaßnahmen nachhaltig erfolgsversprechend und schützt Unternehmen und Versicherer vor zukünftigen Kosten.
Ein schnelles Melden von Cybervorfällen durch das betroffene Unternehmen und auch die schnelle Fallbearbeitung durch die Cyber-Hotline sind wesentliche Erfolgsfaktoren, um den Schaden zu begrenzen. Ca. 70%-80% der Vorfälle lassen sich so bereits durch den Second-Level-Support der Cyber-Hotline lösen. Für die restlichen Fälle sind dann meist tiefergehende Maßnahmen geboten.
Die Bandbreite der möglichen digitalen Spuren, die die Angreifer hinterlassen, kann sehr vielfältig sein: Im persönlichen Umfeld können dies z.B. Chatprotokolle, digitale Fotos, aber auch Verbindungsprotokolle von Spielekonsolen und Smartphones sein. Bei kleinen oder mittelständischen Unternehmen sind oftmals die Mail-, Kollaborations- und Web-Server die Einfallstore, um durch sie – aus Sicht des Angreifers – Schadprogramme (z.B. Ransomware) zum Einsatz zu bringen. Durch forensische Auswertung und Abgleich von Protokoll-Informationen auf verschiedenen Systemen kann meist der Weg und auch die Art des Angriffs konkretisiert werden.
Der Werkzeugkoffer der Cyberforensik ist so groß wie das Spektrum der Angriffsziele. Cyberattacken konzentrieren sich immer öfter nicht nur auf Informationsgewinn, häufig steht die Zerstörung der Unternehmensmarke im Vordergrund. Dies könnte bedeuten, dass mit manipulierten Digitalfotos oder Presseinformationen eine falsche Fährte gelegt wird und „Fakenews“ einen unkalkulierbaren Schaden für das Unternehmen und seine Kunden generieren. Nicht wenige dieser Angriffe kommen aus der eigenen Mitarbeiterschaft – umso wichtiger, dass gerade hier die unternehmensinternen IT-Spezialisten aktiv werden.
Um digitale Beweise für eine mögliche Strafverfolgung oder die Implementierung zukünftiger, effektiverer Abwehrmechanismen nutzen zu können, gilt wie so oft im Leben: Eine gute Vorbereitung ist alles. Unternehmen sollten daher, z.B. mittels Cloud-Computing-Services, schon im Vorfeld strategische Vorbereitungen treffen, um Zeit und Energie im Angriffsfall nicht in prozessverlangsamende bürokratische Prozesse legen zu müssen. Unerlässlich ist hier die kontinuierliche Sicherung (auslesbarer) Daten, die eine spätere Untersuchung, Aufbereitung und anschließende Analyse erst möglich machen. Denn nicht immer ist ein Cyberangriff so offensichtlich, wie man vielleicht vermuten mag. Oft sind es kleine, ganz alltäglichen IT-Vorfälle oder Datenungereimtheiten, die sich im Nachgang als Angriff auf das komplette System herausstellen. Hat das Unternehmen die Daten gesichert, hat es dann im Fall der Fälle verwertbare Beweismittel zur Hand.
Quellen:
[1] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Leitfaden_IT-Forensik.pdf?__blob=publicationFile&v=1 (abgerufen am 4. Juli 2022)
[2] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Leitfaden_IT-Forensik.pdf?__blob=publicationFile&v=1 (abgerufen am 11. Juli 2022)
[3] https://www.kriminalpolizei.de/ausgaben/2020/september/detailansicht-september/artikel/cybercrime-cybersecurity-und-digitale-forensik.html (abgerufen am 4. Juli 2022)
