IT-Vorfälle forensisch auf ihre Ursachen und Abläufe hin zu analysieren, hilft IT-Verantwortlichen, den IT-Sicherheitslevel in ihren Unternehmen kontinuierlich zu erhöhen. Zudem unterstützt die digitale Spurensicherung dabei, schon während eines Zwischenfalls den Schaden zu begrenzen sowie im Nachgang rasch festzustellen, ob Behörden oder Kunden informiert werden müssen.
Das wird immer wichtiger. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) werden die Attacken immer ausgefeilter und Angreifer verwischen ihre Spuren immer schneller und besser. Daher gilt es, Forensik in den Incident-Response-Prozess zu integrieren. Da beide Disziplinen eng miteinander verwandt sind, werden sie häufig unter dem Begriff "Digital Forensics and Incident Response" (DFIR) zusammengefasst.
Was genau ist DFIR und was müssen Unternehmen beachten?
IT-Forensik - eine Definition
In der IT-Forensik geht es darum, Computersysteme auf verdächtige Vorfälle zu untersuchen. Digitale Spuren eines Angriffs oder Täters werden erfasst, analysiert und ausgewertet. Die Dokumentation der Beweismittel ist wichtig, sie muss im Zweifel vor Gericht Bestand haben.
Das BSI ordnet forensische Untersuchungen dem Notfallmanagement zu und gliedert dessen Ablauf in drei Phasen:
Sofortmaßnahmen (Incident Response), die den unmittelbaren Schaden begrenzen sollen.
Wiederanlauf (Recovery), in dem ein Notbetrieb eingeleitet und Folgeschäden begrenzt werden sollen. Zudem soll der Zeitdruck für die komplette Wiederherstellung vermindert werden.
Die Wiederherstellung soll den Zustand vor dem Zwischenfall herstellen, alle Auswirkungen des Vorfalls beseitigen und den Normalbetrieb sicherstellen.
Digitale Forensik spielt im jedem dieser Schritte während und nach einem Vorfall eine Rolle. Die Live-Forensik (Online-Forensik) beginnt während des Vorfalls selbst und versucht, flüchtige Daten festzuhalten. Darunter fallen beispielsweise der Hauptspeicherinhalt, Informationen über bestehende Netzwerkverbindungen und gestartete Prozesse.
In der sogenannten Post-mortem-Forensik (Offline-Forensik) nach einem Vorfall gilt es, relevante gelöschte, umbenannte, versteckte und verschlüsselte Dateien auf Massenspeichern zu sichern und zu untersuchen.
Einen Einblick in die Arbeit eines IT-Forensikers gab Davin Teo, IT-Sicherheitsexperte des Beratungshauses Alvarez & Marsal, auf der TedX 2015 in Hong Kong.
Vorbereiten oder reagieren?
Oft geht es nicht nur darum, die Ursache eines Zwischenfalls zu ermitteln. Es können auch Rechtstreitigkeiten wegen Klagen durch Anleger oder Regierungsbehörden drohen. Gerade vor dem Hintergrund der DSGVO ist hat Aspekt an Bedeutung gewonnen.
So kann sich beispielsweise die 72-Stunden-Meldefrist an die Behörden nach einem Datenleck als problematisch erweisen. Macht sich ein Unternehmen erst im Zuge eines Vorfalls Gedanken zur IT-Forensik um aufzuklären, ob personenbezogene Daten betroffen sind, vergeht möglicherweise zu viel Zeit.
Zudem unterliegen Betriebe laut der Verordnung einer Dokumentationspflicht. Sie müssen sämtliche Verletzungen inklusive deren Umstände, Auswirkungen und den ergriffenen Gegenmaßnahmen aufzeichnen. DFIR-Systeme decken einen Großteil dieser Anforderungen ab.
Unternehmen können entweder die nötigen Kompetenzen intern aufbauen (dazu später mehr) oder mit einem Partner für Beratungs- oder Managed Security Services zusammenarbeiten.
Laut dem Report "Planning for Failure, How to Survive a Breach" der Analysten von Forrester arbeiten bereits über die Hälfte der befragten Unternehmen mit Anbietern für Incident-Response-Dienstleistungen zusammen. Etwa ein Fünftel plant einen Vertragsabschluss im kommenden Jahr. Der Report nennt Kriterien für die Auswahl des geeigneten Partners. Er sollte Implementierungs-Roadmaps entwickeln, die Geschäftsanforderungen verstehen und die richtigen Schutz- und Reaktions-Produkte auswählen können.
Einige Dienstleister bieten auch ausgewiesene Forensik-Services an. NTT etwa hat eine Reihe von Incident-Response-&-Forensics-Modulen im Portfolio. Sie können sowohl bei Bedarf als auch proaktiv in Anspruch genommen werden. Der Anbieter unterstützt in der Planung sowie Bewertung von bestehenden Plänen für den Ernstfall. PwC bietet ähnliche forensischen Dienste, Tools und Informationen an. Deloitte subsummiert sein Angebot unter dem Portfolio für den Finanzsektor.
Internes DFIR-Knowhow aufbauen
Digitale Forensik setzt nicht nur IT- sondern auch rechtliches Fachwissen voraus. Entsprechend rar sind qualifizierte Mitarbeiter. Im besten Fall haben die Ermittler einen Hintergrund in der Strafverfolgung. Ein Verständnis dafür, was nötig ist, um Beweise zu sammeln und zu erhalten, die Teil eines Gerichtsverfahrens werden könnten, ist eine Grundvoraussetzung.
Um das Fachwissen bei vorhandenen Mitarbeitern aufzubauen, bieten Trainingsanbieter, Forschungsinstitute oder Ausbildungszentren kostenpflichtige Kurse für Zertifizierungen in speziellen Teilbereichen der IT-Forensik an. Darunter fallen beispielsweise das SANS Institute, die Modal Sachverständigen-Schule oder die Fraunhofer Academy. Auch an Universitäten wie der Hochschule Albstadt-Sigmaringen finden sich berufsbegleitende Online-Fernstudiengänge in digitaler Forensik.
Bei der Auswahl der Kurse gilt es, genau darauf zu achten, welche Kenntnisse im Unternehmen benötigt werden. Da Forensik zahlreiche Aspekte verschiedener Disziplinen in sich vereint, ist das Schulungsangebot breit gefächert. Es kann passieren, dass ein Kurs dem Betrieb keinen Mehrwert bringt, weil er sich mit einem Aspekt befasst, der nicht relevant ist.
Weiterführende (kostenpflichtige) Informationen bieten Beratungshäuser. Sowohl der Wave-Report für digitale Forensik von Forrester als auch Gartners "Market Guide for Digital Forensics and Incident Response Services" vergleichen Lösungen für Unternehmen.
DFIR-Planung und Vorbereitung
Im Idealfall arbeiten IT-, Rechts- und Personalabteilung gemeinsam daran, einen IT-Forensik-Plan zu gestalten. Alle drei spielen wichtige Rollen dabei, auf einen Vorfall zu reagieren. HR unterstützt dabei, die Mitarbeiter zu informieren und die zu untersuchenden Geräte zu beschaffen. Die IT stellt sicher, dass gewisse Prozesse eingehalten werden (beispielsweise Geräte eingeschaltet zu lassen, um flüchtige Beweise zu sichern).
Die Rechtsabteilung treibt die Ermittlungen voran. Sie versteht die Anforderungen an die chronologische Dokumentation und Reihenfolge der Verwahrung, Kontrolle, Weitergabe, Analyse und Verfügung von Beweisen gemäß dem geltenden Recht.
Die erarbeiteten Playbooks und Arbeitsabläufe gilt es regelmäßig zu prüfen und zu erproben. Vernachlässigen Unternehmen solche Testläufe, kann es im Ernstfall passieren, dass eigentlich wirksame Maßnahmen ineffektiv werden, weil die Aufgaben- und Rollenverteilung im Team unklar ist.
Red-Team-Tools wie das von der US-Forschungsorganisation Mitre seit 2014 kontinuierlich weiterentwickelte ATT&CK-Framework (Adversarial Tactics, Techniques, and Common Knowledge) können hier unterstützen. Sie versetzen IT-Abteilungen in die Lage, proaktiv mögliche Schwachstellen zu identifizieren und ihre Sicherheitsmaßnahmen zu optimieren.
In regelmäßigen Simulationsspielen gilt es, die einzelnen Schritte und Verantwortlichkeiten zu proben, die bei verschiedenen Vorfällen adäquat sind. Sie helfen auch dabei, unnötig komplizierte Abläufe und Unstimmigkeiten im Plan zu finden und zu beseitigen.
Die Testläufe müssen nicht immer lang und komplex sein. Es kann bereits viel helfen, mit den wichtigsten Stakeholdern anhand beispielhafter Szenarien festzustellen, wo welche Daten liegen und wer sich während eines kritischen Vorfalls um was kümmert.
Die richtigen IT-Forensik-Tools
Digitale Forensik und Incident Response kombiniert viele Arbeitsweisen. Darunter fällt beispielsweise das Reverse Engineering von Malware, schädliche Dateien zu finden sowie Computerspeicher und digitale Dokumente nach Infektionen und Bedrohungen zu durchsuchen.
Security-Lösungen, die bei diesen Aufgaben helfen, umfassen Security Information and Event Management (SIEM), Firewalls, Threat-Intelligence-Datenbanken sowie Lösungen für Intrusion Detection und Endpoint Detection and Response (EDR). Tools für Penetrations- und Anwendungstests sowie zur Analyse von Log-Dateien runden die Verteidigungsmaßnahmen ab.
Die Auswahl an verfügbaren Forensik-Werkzeugen ist groß. Es gibt einige Portale, die IT-Mitarbeitern die Suche nach dem richtigen Werkzeug erleichtern.
So bietet das seit 2016 geführte Portal der DFIR-Community DFIR.training eine herstellerunabhängige und detaillierte Suchmaske. Nutzer können die Einträge bewerten, was die Orientierung bezüglich der Qualität der Produkte erleichtert. Zudem bietet die Seite Ressourcen zum Testen von Tools sowie Kurzanleitungen und Infografiken. Demnächst soll auch eine Vergleichsfunktion verschiedener Werkzeuge verfügbar werden.
Das SANS Institute empfiehlt mit seiner SANS Investigative Forensics Toolkit (SIFT) Workstation eine kostenlose Suite an Open-Source-Werkzeugen für DFIR. Die enthaltenen Tools werden regelmäßig aktualisiert. Des Weiteren hat der Schulungsspezialist ein Paper veröffentlicht, in dem Schritt für Schritt beschrieben wird, wie Windows 10 zu einer forensischen Untersuchungsplattform gemacht werden kann.
Weitere Quellen für aktuelle Informationen hat Jessica Hyde, Director bei Magnet Forensics in einer Liste zusammengestellt. Darin finden sich Community-Seiten, Newsletters, Audio- und Video-Podcasts sowie Twitter-Feeds rund um Digital Forensics and Incident Response.