|
Research
|
Blog
|
Newsletter
|
Websession
|
EN

IT-Forensik

30. Juni 2022

Die methodische Datenanalyse zur Aufklärung und Beweissicherung von IT-Vorfällen gewinnt im Security-Bereich zunehmend an Bedeutung. Und das nicht nur, weil die Zahl der erfolgreichen Angriffe weiter zunimmt. IT-Forensik ist deshalb so wichtig, weil die im Zuge der tiefgreifenden Ermittlungen und Datenanalysen gewonnenen Informationen wichtige Erkenntnisse liefern, die dabei helfen, bestehende Abwehrstrategien, Security Services und eingesetzte Technologien kontinuierlich weiterzuentwickeln.


Deshalb kommt IT-Forensik – auch wenn der Name Anderes vermuten lässt – längst nicht nur zum Einsatz, wenn es darum geht, Straftaten aufzuklären. IT-forensische Datenanalysen helfen dabei, grundsätzliche Störungen oder Fehlfunktionen innerhalb des IT-Verbundes zu untersuchen und aufzuklären.


Dabei können sich IT-forensische Untersuchungen über jeden nur erdenklichen Bereich der gesamten Infrastruktur erstrecken. Untersuchungsgegenstand sind daher sowohl physische Netzwerkkomponenten als auch Daten jeglicher Art. Grundsätzlich wird IT-Forensik deswegen nochmals unterschieden in Computer-Forensik, die sich mit der Analyse von Geräten befasst, und Daten-Forensik, die auf die Untersuchung von Datenbanken und Datenbeständen spezialisiert ist.


Zielsetzung und Durchführung

Ziel der IT-forensischen Untersuchung ist die umfassende Beschaffung von Informationen zu möglichen Tatorten, Tatwerkzeugen und die Sicherung von Beweisen. Die exakte Erfassung aller für einen Vorfall relevanten Daten und Rahmenbedingungen ergibt im Zuge der dann folgenden Analyse ein vollständiges Bild der Vorgänge und möglicher Beteiligter eines Sicherheitsvorfalls.


Der Ablauf

Jede Untersuchung beginnt mit der Identifizierung des Problems, geht schließlich zur umfassenden Sicherung der Daten über und mündet erst dann in die Analyse. Im Anschluss daran werden die Untersuchungsschritte und Ergebnisse dokumentiert und schließlich aufbereitet.


Im Zuge der Identifizierung erfolgt zunächst eine umfassende Bestandsaufnahme des zu untersuchenden Vorfalls. Es gilt, die Ausgangslage und die zu klärenden offenen Fragen zu beschreiben.


Anschließend werden im Rahmen einer umfassenden Datensicherung die für die spätere Analyse erforderlichen Daten gesichert. Dabei wird auch immer geklärt, welche IT-Systeme trotz Vorfall weiterbetrieben werden können oder vorübergehend außer Betrieb genommen werden müssen.


Durch Einsatz spezieller Hard- und Software wird es möglich, den aktuellen Zustand von IT-Systemen zum Zeitpunkt eines Vorfalls vollständig und ohne Veränderungen zu sichern, um diese Systemumgebung danach einer detaillierten Analyse unterziehen zu können. Die Sicherung ist außerdem elementar, um vor Gericht zu belegen, dass der Ausgangszustand nicht durch forensische Analysen verändert wurde.


Während der Analyse werden Daten und IT-Systeme untersucht, um Abläufe, Ursachen und die für den Vorfall verantwortlichen Angreifer zu ermitteln.
Durch die exakte Analyse aller gesicherten Beweismittel kann der Sicherheitsvorfall dann detailliert rekonstruiert werden. Dadurch entsteht Klarheit über das gesamte Geschehen, die zeitlichen Abläufe, mögliche Beteiligte und darüber, welche Systeme und Daten tatsächlich vom Vorfall betroffen sind.


Erst nach einer umfassenden Dokumentation der Untersuchungsergebnisse und der anschließenden Aufbereitung entsteht ein IT-forensischer Bericht, der ein klares Bild liefert.


Der enthält die entscheidenden Fakten zum Vorfall, wie Umfang und Zeitraum der Tat, Ursache, Ablauf und die genauen Auswirkungen. Im Idealfall sind auch Rückschlüsse auf den oder die Täter möglich.


Analysemethoden

Obwohl die Identifizierung des Problems und die umfassende Datensicherung essenziell für das spätere Ergebnis sind, bringt erst die Analyse die entscheidenden Erkenntnisse zu Tage. Hierbei wird noch einmal grundlegend unterschieden in Post-Mortem- und Live-Analyse.


Bei der Post-Mortem-Analyse findet die Untersuchung nach dem Sicherheitsvorfall statt. Ein großer Vorteil der Post-Mortem-Analyse ist, dass die Untersuchung an einer forensischen Datenträgerkopie durchgeführt wird, deren Daten dabei nicht aus Versehen zerstört werden können. Ein weiterer Vorteil: Der Einsatz von Tools ist planbar, weil hier keine Informationen verlorengehen können.


Schwieriger im Vergleich dazu gestaltet sich die Live-Analyse. Hier wird versucht, flüchtige Daten zu gewinnen und diese zu untersuchen. Dazu gehören bspw. der Hauptspeicherinhalt oder Informationen über aktuell bestehende Netzwerkverbindungen. Der große Vorteil hier: die Möglichkeit, Daten aus dem Hauptspeicher zu gewinnen, z. B. Informationen über angemeldete Benutzer oder Passwörter von entschlüsselten Laufwerken und Informationen zu aktiven Prozessen. Die besondere Schwierigkeit: Jede Aktion, z. B. die Bewegung eines Mauscursors, verändert die Daten auf einem System. Insbesondere bei der Live-Analyse ist das streng strukturierte Vorgehen daher sehr wichtig, damit am Ende auch wirklich alle Veränderungen tatsächlich nachvollzogen werden können.


Mögliche Untersuchungsgegenstände

Bei der IT-forensischen Untersuchung können abhängig vom Vorfall und der Identifizierung des jeweiligen Problems und der zu beantwortenden Fragen unterschiedlichste digitale Spuren zum Gegenstand der Analyse werden:

  • ausgeführte Anwendungen
  • Anmeldungen an IT-Systemen
  • abgesetzte Befehle auf IT-Systemen
  • gestartete Datei-Downloads
  • Datei-Zugriffe
  • Datei-Löschungen
  • Verbindungen externer Geräte zu IT-Systemen
  • Veränderungen von Login-Daten
  • Webseiten-Aufrufe
  • Webbrowser-Nutzung


Unterstützung durch die IT-Abteilung

Eine wichtige Grundvoraussetzung für IT-forensische Untersuchungen und aussagekräftige Berichte ist dabei immer die Unterstützung der Sicherheitsverantwortlichen beim Betroffenen. So unangenehm der Vorfall für die Betreiber und Administratoren auch sein mag, sie sollten immer bei der Aufklärung des IT-Vorfalls unterstützen. Es geht schließlich nicht darum, möglicherweise begangene Fehler anzuprangern, sondern vielmehr darum, Probleme zukünftig zu vermeiden.


Auch weil die Mitwirkung der Verantwortlichen beim Betroffenen derart wichtig für den Erfolg IT-forensischer Untersuchungen ist, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Leitfaden für IT-Forensik veröffentlicht, in dem unterschiedliche praxisnahe Problemstellungen anhand konkreter Beispiele erklärt werden.

Bild (c) TheDigitalWay / Pixabay

Zurück zur Blog-übersicht
Zurück zuM Research-Blog
Alle Mitarbeiter-Interviews
Security Services
Managed Security Services
8com easySOC
Security Operations Center
SIEM as a Service
EDR as a Service
Vulnerabilty Management as a Service
SAP Security
Penetration Testing
Security Awareness
8com Academy - E-Learning
Was uns ausmacht
Cyber Defense Center
Über uns
Kontakt & mehr
Kontakt
Jobs
Pressebereich
Blog
Rechtliches
Datenschutzerklärung
Impressum
AGB
HinSchG-Vereinbarung
Webpräsenz der Allianz für Cyber-Sicherheit
ISO 27001-Zertifikat auf basis vom IT-Grundschutz. BSI-IGZ-0505-2022
ISO 27001 Zertifikat auf Basis von BSI IT-Grundschutz
Die Kernprozesse des Security Operations Center (SOC) der 8com GmbH & Co. KG: Security Information and Event Management (SIEM) as a Service, Endpoint Detection and Response (EDR) as a Service, Vulnerability Management as a Service als Managed Security Services für Geschäftskunden und Behörden.
Mehr Informationen
Logo Bündnis für DemokratieLogo Bündnis für DemokratieLogo Bündnis für Demokratie