Sicherheitsvorfälle richtig managen

Beweise sichern nach IT-Angriffen

24.08.2010 von Magnus  Kalkuhl
Wenn es zu einem Sicherheitsvorfall in Ihrer IT kommt, gilt als oberste Grundregel: Keine Panik und nichts anfassen! Spielen Sie nicht selbst Detektiv sondern beauftragen einen IT-Forensiker. Wir sagen Ihnen, was zu tun ist, wenn der Hacker zuschlägt.
Beweise sichern nach IT-Angriffen.

Wenn es um Computer-Sicherheit geht, fallen zumeist Begriffe wie "Firewall" oder "Virenscanner" - "IT-Forensik" hingegen, auch bekannt als Computer- oder Digital-Forensik, ist noch immer eine recht unbekannte Disziplin im Sicherheits-Sprachgebrauch.

Ein Grund dafür ist häufig das (zu) tiefe Vertrauen in bereits installierte Sicherheitsvorkehrungen: Vertrauliche Dokumente werden durch ein durchdachtes Rechtemanagement, Passwörter, Türschlösser und wachsames Personal geschützt. Zusätzlich wachen Virenscanner darüber, dass sich Schadprogramme nicht an den Systemen und Daten gütlich tun können.

In vielen Fällen reichen diese Sicherheitsvorkehrungen aber nicht aus, in noch mehr Fällen sind die Maßnahmen und Prozeduren nicht konsequent umgesetzt - wenn also alle Stricke reißen und ein Angriff bereits erfolgt ist, liegt in der IT-Forensik die letzte Hoffnung, entstandenen Schaden zu begrenzen. Dabei geht es auch darum, den Angriff nachzuvollziehen, um Sicherheitslücken zu schließen oder die Schuldigen zu finden.

Hinter den Kulissen

In der öffentlichen Diskussion sind Viren ein beliebtes Thema - über gezielte Angriffe auf Unternehmen liest man jedoch recht wenig. Dabei sind gezielte Angriffe auf Firmen keine Ausnahmeerscheinung. Das Problem ist hier, dass viele Unternehmen gar nicht wissen, dass sie bereits ein Sicherheitsleck haben - ein gestohlenes Notebook ist ein offensichtliches Problem, die heimliche, verschlüsselte Übertragung kritischer Betriebsgeheimnisse hingegen wird vielleicht nie entdeckt.

Zudem haben betroffene Firmen in den meisten Fällen kein großes Interesse daran, solche Vorfälle an die große Glocke zu hängen und dadurch einen erheblichen Imageschaden zu riskieren. Letztlich sind die Medien vornehmlich an großen Meldungen interessiert, wo es um Millionenbeträge geht - was für ein mittelständisches Unternehmen eine Katastrophe sein kann, ist der Presse oft nur eine Meldung im Lokalteil wert.

Dennoch werden immer wieder Fälle bekannt, die aufhorchen lassen: Im Jahr 2002 rächte sich ein unzufriedener Administrator der renommierten Schweizer Bank UBS an seinem Arbeitgeber, indem er eine ganze Reihe von Servern lahm legte. Entstandener Schaden: rund drei Millionen Dollar. Vor einiger Zeit sorgte die Geschichte eines deutschen Programmierers für Schlagzeilen, der mit vermeintlichen Werbe-CDs Trojaner in zahlreiche israelische Unternehmen einschleuste. Die im Hintergrund gesammelten Daten (inklusive Screenshots) wurden für monatlich 1500 britische Pfund an Mitbewerber verkauft.

Woher weiß man aber, ob eine forensische Untersuchung überhaupt Sinn macht? Bei direkter Erpressung oder dem plötzlichen, gleichzeitigen Ausfall wichtiger Systeme ist die Situation klar. Oft sind es aber nur Indizien, die auf Schlimmeres hindeuten. Ist ein Mitbewerber bei Ausschreibungen plötzlich viel erfolgreicher? Wurde nach dem Wechsel auf einen anderen Virenscanner Malware gefunden, es ist aber unklar, wie lange sich das Programm schon im Netzwerk befindet? Oder wurde kürzlich ein Mitarbeiter entlassen, der Zugriff auf wichtige Systeme oder Daten hatte, und dem eine Racheaktion zuzutrauen wäre? In sicherheitskritischen Bereichen kann auch eine routinemäßige forensische Untersuchung Sinn machen, ohne dass ein konkreter Verdacht besteht.

Verhalten im Verdachtsfall

Nehmen wir an, Sie haben einen Verdacht und ziehen eine entsprechende Untersuchung in Betracht. In jedem Fall sollten Sie einige Grundregeln beachten. Der Grund, warum IT-Forensik immer von einem externen Dienstleister durchgeführt werden sollte, ist simpel: In vielen Fällen kommt ein Angriff aus den eigenen Reihen. Wird nun also ein Administrator mit der Lösung des Falls beauftragt, für den er vielleicht selbst verantwortlich ist, wird der Schuldige nie gefunden.

Und selbst wenn man seinem Mitarbeiter hundertprozentig vertraut, besteht doch die Gefahr, dass er mangels Erfahrung relevante Spuren übersieht oder sogar unbeabsichtigt verwischt und damit eine spätere professionelle Untersuchung erschwert. Sind Sie der Entdecker des Zwischenfalls, dann sind folgende Punkte zu beachten:

Nun nehmen die Dinge ihren Lauf. Im ersten Schritt wird sich ein professioneller Dienstleister ein genaues Bild über die Situation machen und prüfen, welche Systeme eventuell betroffen sind, bevor er diese überhaupt untersucht. In manchen Fällen ist es sinnvoll, mit weiteren Schritten bis zum Wochenende zu warten, damit Mitarbeiter nicht in die laufenden Untersuchungen involviert werden und aus Angst oder Unbehagen hastig potentielle Spuren verwischen.

Rechnen Sie mit unglaublichen Datenmengen

Die Wichtigkeit einer Situationsanalyse wird deutlich, wenn man sich vor Augen hält, wie viele Datenträger - und damit potentielle Beweismittel - sich durchschnittlich in einem Unternehmen befinden: Festplatten, USB-Sticks, CD-ROMs, PDAs, Mobiltelefone etc. Bei 500 Rechnern mit jeweils 80 GByte kämen alleine hier schon 40 TByte zusammen - das vollständige Kopieren dieser Datenmassen würde Tage dauern, weshalb es so wichtig ist, Prioritäten zu setzen.

Ein Profi wird zudem berücksichtigen, dass Spuren nicht nur in digitaler Form vorliegen können, und - wenn es die Situation erfordert - seinem Kunden empfehlen, die Polizei zur Sicherung und Auswertung physischer Spuren.

Achten Sie außerdem darauf, dass der Dienstleister all seine Schritte sorgfältig protokolliert - und zwar von Anfang an. Am Ende der Untersuchung wird dann ein Abschlussbericht stehen, der im besten Fall in zwei Fassungen angeboten wird: einmal für technisch versierte Personen, zum anderen in einer auch für Laien verständlichen Form. Denn sollte es nach der Untersuchung zu einem Gerichtsverfahren kommen, werden Richter und Anwälte Einsicht in die Ergebnisse nehmen und natürlich auch verstehen wollen.

Schließlich wird ein Notfallplan erstellt: Welche Systeme sollten umgehend mittels eines Backups wiederhergestellt werden? Welche Computer müssen vorerst komplett abgestellt werden? Ist es notwendig, einzelnen Mitarbeitern den Zugang zu bestimmten Bereichen vorerst nicht mehr zu gestatten? Der Sinn des Notfallplans ist es, weitere Risiken zu minimieren, dabei aber den Betrieb des Unternehmens sicherzustellen.

Die Analyse

Sind diese Punkte abgeschlossen, geht es an die Sicherung der Beweismittel zur anschließenden Analyse. Es wird zwischen Live- und Dead-Analyse unterschieden. Live-Analyse bedeutet, dass im laufenden System analysiert wird. Bei der Dead-Analyse hingegen wird nur mit den Daten gearbeitet, die auf einem Datenträger gespeichert sind, nachdem der eigentliche Computer abgeschaltet wurde. Sind die wichtigsten Beweismittel gesichert, erhält der Kunde eine Kopie der gesammelten Daten. Die weitere Untersuchung findet in der Regel aber beim Dienstleister statt.

Bei allen Spuren gilt es nun, folgende Fragen zu klären:

Der Analyst versucht also, den genauen Tathergang möglichst lückenlos nachzustellen beziehungsweise Auffälligkeiten in der Datenflut aufzuspüren. Als Datenquelle dienen ihm dabei komplette Kopien von Datenträgern, Logdateien oder Memory dumps. Vormals gelöschte Dateien werden wieder hergestellt, es wird nach Schlüsselwörtern und Verletzungen von Zugriffserlaubnissen gesucht. Wichtig ist dabei, dass grundsätzlich nie mit den Originaldatenträgern gearbeitet wird. Alle Untersuchungen werden immer an Kopien durchgeführt, nicht zuletzt, weil die Originaldatenträger im Unternehmen meist benötigt werden, während die Untersuchung läuft.

Am Ende der Analyse steht schließlich der Abschlussbericht. Im Idealfall konnte festgestellt werden, wer der Angreifer war, was seine Motive waren, was genau passiert ist, in welchem Zeitraum der Angriff stattfand und auch, wie hoch das Restrisiko einzuschätzen ist. Natürlich sollte ein Hinweis nicht fehlen, wie das Unternehmen ähnliche Vorfälle in Zukunft vermeiden kann.

IT-Forensik fordert Vertrauen

Nicht immer können alle Fragen abschließend geklärt werden. Darüber hinaus gibt es aber noch weitere Probleme, über die sich ein Unternehmen im Klaren sein sollte, bevor man eine Untersuchung in Auftrag gibt: IT-Forensik kann nur dann funktionieren, wenn der Analyst auf wirklich alle Daten Zugriff erhält.

Dies erfordert ein hohes Vertrauen in den Dienstleister, bedeutet es doch, dass er unter Umständen brisante Geschäftsgeheimnisse erfährt oder auf Daten stößt, die dem Auftraggeber vielleicht unangenehm sein könnten. Gleiches gilt für die Mitarbeiter selbst - dem IT-Forensiker ist es egal, ob ein Angestellter zum Beispiel Privatbilder seiner Freundin auf dem Arbeitsrechner hat, da diese mit dem eigentlichen Fall nicht viel zu tun haben dürften.

Versuchen Mitarbeiter aber nun voller Panik, solche "Spuren" zu löschen, machen Sie sich unnötig verdächtig, und dem Forensiker entsteht zusätzliche Arbeit. Auch sollte sich der Auftraggeber vor Augen halten, dass ein Analyst zwar feststellen kann, von welchem PC aus ein Angriff erfolgte - dies aber keinesfalls automatisch bedeutet, dass der entsprechende Mitarbeiter auch wirklich der Schuldige ist. Ein weiterer Grund, einen erfahrenen Dienstleister zu wählen, damit durch Übereifer aus einer Untersuchung keine Hexenjagd wird.

Fazit

IT-Forensik ist ein unverzichtbarer Bestandteil der IT-Sicherheit, erfordert aber von allen Beteiligten ein hohes Maß an Vertrauen, Verantwortungsbewusstsein und Fingerspitzengefühl. Wenn diese Voraussetzungen gegeben sind, können Schäden zumindest begrenzt und weitere Risiken für das betroffene Unternehmen minimiert werden.

Bereits vor einem Zwischenfall sollte daher jedes Unternehmen gültige IT-Policies definieren (und diese auch durchsetzen!) sowie einen Ablaufplan für den Notfall bereit halten. Wer sich hier weiterinformieren will: Auf den Seiten des SANS Institute findet sich zu diesem Thema zahlreiche Anregungen, besonders das Paper Security Incident Handling in Small Organisations ist einen Blick wert. Außerdem stellt das Institut eine Reihe von Templates für Security Policies zur Verfügung.

Quelle: PC-Welt