IT-Forensik: Cyber-Crime auf der Spur

30.07.2019

Die Zahl der Cyber-Attacken auf Unternehmen – aber auch auf Privatpersonen – steigt jährlich an. Tritt der Ernstfall ein, sind ausgebildete IT-Forensiker gefragt, um die Täter aufzuspüren. Ihre Arbeit besteht aus der Untersuchung und der Ermittlung von strafrechtlich relevanten und sozial- oder wirtschaftsschädlichen Handlungen. Durch die tiefgreifende Überprüfung versuchen sie, Nutzerspuren zu entdecken und diese konkreten Anwendern zuzuordnen.

Während der Auswertung werden Software und Hardware genau unter die Lupe genommen. Zu den Untersuchungsobjekten zählen neben Servern, Rechnern, Tablets und Smartphones auch nahezu alle Arten von Speichermedien. Im Zuge der Untersuchung von Speichermedien werden vorhandene Daten ebenso analysiert wie gelöschte Speicherbereiche.

Untersuchungen nach dem S-A-P-Modell

Die IT-Forensik gliedert sich in die Live-Analyse und die Post-Mortem-Analyse. Während bei der Live-Analyse – oder auch Online-Forensik – aktive Systeme überprüft werden, handelt es sich bei der Post-Mortem-Analyse – beziehungsweise Offline-Forensik – um die Untersuchung bereits abgeschalteter Infrastrukturen. Häufig kommt in der IT-Forensik das S-A-P-Modell zum Einsatz. Dabei gliedert sich die Untersuchung in die Phasen Sicherung, Analyse und Präsentation. Im ersten Schritt gilt es, die Datenakquirierung und -sicherung durchzuführen. Dabei gilt es auch zu beachten, dass alle Bereiche sorgfältig abgesichert sind. Auch flüchtige Daten – etwa im Arbeitsspeicher – oder fragile Daten, deren Zustand etwa durch Manipulation kritisch ist, müssen im Ernstfall gesichert werden. Nur so ergibt es sich den Ermittlern ein vollständiges Bild der Attacke. Es folgt die Analyse der gesammelten Informationen und deren objektive Auswertung. Schlussendlich werden die Ergebnisse der Ermittlungen vorgestellt und Konsequenzen aus den Ergebnissen gezogen.

Die Arbeit von IT-Forensikern im betrieblichen Umfeld unterscheidet sich jedoch grundlegend von der, der IT-Forensiker in Behörden. „Die wesentlichsten Unterschiede liegen außerhalb der Methodik in den Rechtgrundlagen und in der datenschutzrechtlichen Umsetzung digitalforensischer Sonderuntersuchungen. Hauptaufgabe der IT-Forensik ist im betrieblichen Umfeld das „Einfrieren“ des System- und Datenzustandes zu einem Zeitpunkt X. Hier ist auch vor Eintreffen von Spezialisten eine exakte Arbeitsweise gefragt, um gewonnene Beweismittel und Datenbestände auf einem hohen Niveau mit maximaler Verwertbarkeit zu halten“, erklärt Peter Müller – IT-Forensiker und Referent in der Bitkom Akademie – die zentralen Unterschiede zwischen beiden Gruppen.

IT-Forensik: Vorbereitungen für den Ernstfall

In der Praxis gliedert sich die Arbeit der IT-Forensiker in die Erstellung und Umsetzung von Durchsuchungs- und Sicherstellungskonzepten, deren Dokumentation sowie die Integration und Bereitstellung der notwendigen Auswertungs- und Analyse-Tools. Essentiell für die betriebliche IT-Forensik sind neben der gerichtsfesten Sicherstellung und zielführenden Ermittlung allerdings auch die Gewährleistung funktionierender Alarm-Ketten und ausformulierter Notfallpläne.

Im Grunde dienen alle Konzepte und Prozesse dazu, die Forensic Readiness zu erreichen. Dieser Status ermöglicht Unternehmen eine schnelle Reaktion auf den Ernstfall. Trotzdem gilt es, in einer Gefahrensituation einen kühlen Kopf zu bewahren. „Nichts ist schädlicher wie blinder Aktionismus. Hoch -und Runterfahren von Systemen schadet ggf. mehr als es nützt. Auch sollten unnütze Eingriffe in das System vermieden werden. Das Einzige, zu dem ich fast bedenkenlos raten würde, ist die physikalische Netztrennung“, schildert Peter Meyer eine angemessene erste Reaktion auf den Ernstfall.

Auch intern lauern Gefahren

IT-Forensiker kommen nicht nur nach Cyber-Angriffen zum Einsatz. Betriebliche Experten befassen sich auch mit den Vorfällen innerhalb eines Unternehmens – etwa Betrugsfällen durch Angestellte. Häufig ermitteln sie in Fällen des unerlaubten Datenabflusses, sorgen für den Nachweis von Arbeitszeitbetrug oder der Manipulation von Kassensystemen.

Doch nicht immer stehen böswillige Absichten hinter den Angriffen, deren Quelle sich im Inneren eines Unternehmens lokalisieren lassen. Blindes Vertrauen in eine E-Mail, deren Absender sich als Vorgesetzter ausgibt oder große Neugier, welche Geheimnisse sich auf dem USB-Stick befinden, der vor dem Büro lag, können bereits als Einfallstor für Cyber-Kriminelle ausreichen. Häufig ist auch schlicht fehlendes Wissen im Umgang mit der IT die Ursache für Störungen und Angriffsmöglichkeiten. Auch hier leisten IT-Forensiker durch ihre Untersuchungen, Analysen und Konzepte einen wichtigen Beitrag zur IT-Sicherheit. Durch ihre Tests werden viele Schwachstellen in Unternehmen erkannt, bevor Angreifer sie ausnutzen können.

Ausbildung zum IT-Forensiker

Ausgebildete IT-Forensiker sind gefragte Sicherheitsexperten in Unternehmen. Seit Kurzem bietet die Bitkom Akademie einen neuen Zertifikatslehrgang für angehende IT-Forensiker an. Im Rahmen der Ausbildung vermitteln die erfahrenen Referenten die Theorie und die Praxis zur gerichtsfesten Beweissicherung und ersten Datensichtung nach IT-Sicherheitsvorfällen.

Außerdem erhalten die Teilnehmenden eine konkrete Einführung und praktische Anleitung zur Forensic Readiness und lernen wichtiges Know-how rund um Auswertungsmethoden und das gutachterliche Berichtswesen. Die Referenten legen in der Ausbildung außerdem einen besonderen Schwerpunkt auf Ermittlungsstrategien, um schnelles und effizienten Handeln in Notfallsituationen zu ermöglichen.

Mehr zur Ausbildung erfahren Sie unter: www.bitkom-akademie.de/it-forensik