Digitale Forensik
So erstellen Sie eine Digital Forensic Policy
Dr. Gerald Spiegel ist Leiter Information Security Solutions bei Sopra Steria Consulting und befasst sich im Schwerpunkt mit den Themen IT-Sicherheit, Cybercrime und Security Information and Event Management (SIEM).
Die Zahlen des Lagebericht der IT-Sicherheit in Deutschland 2018 des BSI (PDF) sprechen eine deutliche Sprache: Knapp 70 Prozent der Unternehmen und Institutionen in Deutschland seien in den Jahren 2016 und 2017 Opfer von Cyber-Angriffen geworden. Diese Größenordnung bestätigt eine Potenzialanalyse des F.A.Z.-Institut und Sopra Steria Consulting aus dem Herbst 2018. Demnach registrierten 39 Prozent der Unternehmen in den vergangenen zwölf Monaten "mindestens einen mit IT-Sicherheit zusammenhängenden Zwischenfall". Bei über der Hälfte der befragten Unternehmen (52 Prozent) verursachen solche Fälle zudem reale Kosten für die Behebung der damit zusammenhängenden Schäden.
Es ist also im Interesse der Betriebe, die eigene IT-Infrastruktur, die Daten und (mobilen) Geräte zu schützen. Dabei spielt auch die Aufklärung der Ursachen und Abläufe von IT-Zwischenfällen - die digitale Forensik - eine zentrale Rolle. Sie ist für die Strafverfolgung wichtig und kann Grundlage für Schadenersatzforderungen gegenüber den Tätern sein, falls diese ermittelt werden.
Auf der Suche nach der Nadel im Heuhaufen
Jede Nutzung von IT, auch die mit böser Absicht, hinterlässt digitale Spuren, die sich selbst bei größter Sorgfalt nicht vollständig beseitigen lassen. Das ist aus Sicht der digitalen Forensik eine gute Nachricht, denn das hilft, Angriffe zu verstehen, die Folgen von Angriffen zu reduzieren und die Täter zu verfolgen. Allerdings verteilen sich diese Spuren auf eine große Zahl unterschiedlicher IT-Systeme: Server, Geräte in Netzwerk und Peripherie, mobile Geräte sowie alle Arten externer Medien, darunter USB-Sticks und -Laufwerke, Speicherkarten, CDs, DVDs oder Magnetbänder.
Dazu kommen Daten aus der Videoüberwachung und von Zutrittssystemen sowie aus Sicherheitssystemen wie Malware-Schutz, Intrusion-Detection, Content-Filter oder Firewalls und Proxies. Für die Interpretation dieser Spuren und zum Erkennen von Zusammenhängen ist daher viel Erfahrung erforderlich.
Wo ist der Tatort und was genau ist passiert?
Es ist nicht einfach, überhaupt den Tatort einer Cyberattacke zu bestimmen, angesichts der Vielzahl an möglichen Einfallstoren und der umfassenden Vernetzung. Dennoch gibt es immer einen Auslöser und damit einen Ausgangspunkt für Ermittlungen im Digitalen.
Bei einer sogenannten Post-mortem-Analyse wird ein Vorfall untersucht, der in der Vergangenheit liegt und nicht mehr andauert. Der oder die Täter haben den "Tatort" also bereits verlassen. Der Fokus liegt hier daher auf der Analyse von Datenspeichern und Protokollinformationen.
Bei der Live-Forensik wird dagegen versucht, vom Täter unbemerkt noch während der Tatausführung Daten zu gewinnen und zu untersuchen. Dazu gehören zum Beispiel sich kontinuierlich verändernde Hauptspeicherinhalte, Netzwerkverbindungen sowie laufende Prozesse, die sich ebenfalls verändern. Ein IT-Forensiker muss dafür Zugang zu den befallenen IT-Systemen erhalten.
Eine gute Vorbereitung ist der halbe Erfolg
Um im Fall des (Kriminal-)Falles gewappnet und sowohl reaktions- als auch handlungsfähig zu sein, ist eine gute Vorbereitung unerlässlich. Das beginnt bei einer "Digital Forensic Policy" (DFP). Diese gibt verbindliche Leitlinien vor, um die Einsatzbereitschaft ("Forensic Readiness") herzustellen und definiert Rahmenbedingungen, um forensische Analysen durchzuführen.
Zum Beispiel legt eine DFP fest, dass eine forensische Analyse nur streng zweckgebunden zur Aufklärung eines Informationssicherheitsvorfalls durchgeführt werden darf. Damit sollen Konflikte mit Regelungen zum Datenschutz vermieden werden. Immerhin erhält ein IT-Forensiker Zugriff auf Daten, aus denen sich auch Verhaltensweisen von unbeteiligten Dritten ableiten lassen können.
Eine DFP formuliert zudem die Mindestanforderungen an das korrekte Handeln während einer forensischen Analyse:
die Methoden müssen in der Fachwelt beschrieben und allgemein akzeptiert worden sein;
Die Methoden müssen robust, funktional und legal sein, so dass das Ergebnis der Untersuchung möglichst ausgewogen, vollständig und nicht tendenziös ist;
die eingesetzten Hilfsmittel müssen transparent sein und bei einer Anwendung durch Dritte dieselben Ergebnisse aus dem Ausgangsmaterial liefern;
sichergestellte Spuren dürfen durch die Untersuchung selbst nicht verändert worden sein;
die Integrität digitaler Beweise muss jederzeit belegbar sein;
die Spurensicherung darf nicht durch Personen durchgeführt werden, die auch nur möglicherweise an dem Sicherheitsvorfall beteiligt sind;
die Methoden müssen so ausgewählt werden, dass sie logisch nachvollziehbare Verbindungen zwischen Ereignissen und Beweisspuren und eventuell auch Personen herstellen können;
jeder Schritt des Untersuchungsprozesses muss angemessen dokumentiert werden;
Regelmäßige Übungen forensischer Analysen, die in das Security Incident Management von Unternehmen integriert werden können, belegen und verbessern die Abläufe im Ernstfall. Zudem stellen sie den fehlerfreien Umgang mit den Werkzeugen sicher. Das ist durchaus mit den Einsatzübungen von Feuerwehren oder Rettungsdiensten und dem Katastrophenschutz vergleichbar: Spontan und ohne Erfahrung funktioniert so etwas nicht.
Werden forensische Untersuchungen durch externe Experten durchgeführt oder unterstützt, gilt es, die Anforderungen der DFP vertraglich an den Dienstleister weiterzugeben. Außerdem sollte der Servicepartner zu einer Rufbereitschaft mit kurzer Reaktionszeit und zu einem Vor-Ort-Einsatz verpflichtet werden.
Forensic Readiness braucht Unterstützung durch Technik
Die IT-Forensik sollte integraler Bestandteil von Unternehmensprozessen werden. Um eine Forensic Readiness herzustellen, müssen IT-Systeme auf bestimmte Weise konfiguriert werden, zum Beispiel in den Log-Einstellungen. Dazu trägt auch das Aufspielen spezieller Software für die forensische Analyse bei, die etwa beim Erstellen von Speicherabbildern (Speicher-Dump) hilft. Diese Werkzeuge benötigen einen Zugriffsschutz, um durch Missbrauch von außen geschützt zu sein.
Damit Integritätsverletzungen wichtiger Daten oder Anwendungen zügig festgestellt werden können, sollten in regelmäßigen Abständen automatisiert Prüfsummen (Hash-Werte) dieser Daten gebildet und separat gesichert werden. Für solche technischen Maßnahmen empfiehlt es sich, die IT-Forensik in den Prozessen der IT-Systembeschaffung, -entwicklung und -wartung zu verankern. Speziell für IT-Forensik notwendige Konfigurationen oder Werkzeuge sind idealerweise im zugehörigen IT-Sicherheitskonzept zu dokumentieren. Eine unverfälschte und verifizierte Zeitquelle, die für die Protokollierung im System benutzt wurde, ermöglicht dem IT-Forensiker, die Ereignisse in eine korrekte Reihenfolge zu bringen, selbst wenn ein Täter die Systemzeit manipuliert hat.
Organisatorisch den Überblick behalten
Die Aussagekraft der Untersuchungsergebnisse hängt vom Einsatzzweck der untersuchten Anwendungen und Geschäftsprozesse ab. Denn nur wer den Soll-Zustand kennt, kann Anomalien in Daten und Aktivitäten entdecken. Die gegenseitigen Abhängigkeiten von Prozessen sowie Berechtigungsschemata müssen bei einer forensischen Analyse jederzeit abrufbar sein. Für jeden Systemtyp, der möglicherweise forensisch analysiert werden muss, sollten beispielsweise aktuelle Daten zur Hardware und zu deren Standort, zu Konfigurationen, Kommunikationsprotokollen und Systemprozessen vorliegen. Typischerweise ist das der Job des Asset Managements eines Unternehmens.
Daneben ist eine aktuelle Dokumentation des organisationsinternen Netzes erforderlich. Auf diese Weise lassen sich leicht passende Einsatzpunkte für forensische Werkzeuge eines Intrusion-Detection-Systems finden. Die genannten Informationen und Daten müssen so zugänglich sein, dass der Zugangsweg selbst die Daten nicht verfälschen kann. Hierfür ist eine verschlüsselte Übertragung unabdingbar.
Durch geeignete Prozesse und Maßnahmen wie Rufbereitschaften und Vorabgenehmigungen ist außerdem dafür Sorge zu tragen, dass jederzeit ausreichend Personal zur Verfügung steht, um einen Zugriff durchzuführen. Schließlich müssen für einen reibungslosen Ablauf die Rollen und Verantwortlichkeiten aller Beteiligten und die Schnittstellen festgelegt werden. Mit Schulungs- und Awareness-Maßnahmen ist sicherzustellen, dass sich die beteiligten Personen bei forensischen Untersuchungen richtig verhalten, um nicht etwa versehentlich Informationen zu zerstören.
Fertig für die Untersuchung!
Unternehmen mit einer geeigneten DFP, die zudem alle notwendigen technischen und organisatorischen Maßnahmen getroffen haben, um "forensic ready" zu sein, haben gute Chancen, Angriffe zu verstehen, rechtzeitig zu bekämpfen und zu dokumentieren. Wenn es einem Täter trotz all dieser Vorkehrungen gelingen sollte, die Verfügbarkeit, Vertraulichkeit oder Integrität von Informationen in einem Unternehmen oder einer Organisation zu verletzen, muss er angesichts der bereitstehenden digitalen Forensik mit einer schnellen Aufklärung und einer wirksamen Strafverfolgung rechnen.