Startseite
01.2009		  
 

Klarheit und Nachvollziehbarkeit Das Richtige richtig tun – auch in der IT Security

Sicherheit für webbasierte ERP-/CRM-Portale – Neue Möglichkeiten aber auch neue Herausforderungen

Outsourcing – Wer kontrolliert eigentlich die Dienstleister?

Dem Täter auf der Spur – Forensische Analysen

Managed Security Services – Überwachung, Alarmierung und Betriebsunterstützung
informer 01.2009
.pdf-Datei [425 kB]
Events und
Workshops
Ihr Feedback
ist uns wichtig

Integralis.com
Impressum

e-newsletter »informer« abbestellen

Dem Täter auf der Spur – Forensische Analysen

Andreas Bröhl, Business Development Manager Audits & Assements, CISSP, PCI QSA Auditor
Andreas BröhlViele Kunden wenden sich nach einem Sicher­heits­vor­fall – wie einem Hackerangriff bei dem z.B. die Inter­­­net-Präsenz des Unternehmens, oder inter­aktive Webanwendungen (z.B. Web­shops, Inter­net-Banking, Maklerportale) manipuliert wurden oder dem Verdacht auf illegale Tätigkeiten – an Integralis.

Wie kann das passieren?
Angreifer nutzen neben dem klassischen Einfallstor über das Inter­net oft auch Hintertüren, wie unzureichend geschützte WLAN- und RAS-Zugänge.
Häufig sind aber auch interne Vorfälle durch Mitarbeiter des Unter­nehmens, externe Dienstleister, oder Wartungsfirmen die Ursache.
Fest steht: Die Vielfalt interner Sicherheitsvorfälle ist groß. Bekannte Szenarien sind Infektionen mit Viren, Trojanern, Würmern oder Spy­ware, die Installation von Rootkits, die Ablage von illegalen bzw. pornographischen Daten, Verstöße gegen interne Policies, z.B. eine illegale Email- und Internetnutzung, illegales Filesharing, Sabotage durch frustrierte Mitarbeiter, der Diebstahl von vertraulichen Infor­ma­tio­nen sowohl von Mitarbeitern als auch Wettbewerbern sowie jeg­liche Form von internem und externem Betrug.

Was können Sie tun?
Es empfiehlt sich daher, im Vorfeld Schutz­maß­nahmen zu etablieren, um gegen derartige Vorfälle gerüstet zu sein. Es sollte zu allererst sichergestellt sein, dass ein effektives Incident Management etabliert wurde. Ohne einen fest definierten Prozess werden Sicherheitsvorfälle oft inkonsistent und nicht beweissichernd bearbeitet.
Bei guter Planung und der richtigen Beratung im Vorfeld sind die Ver­ant­wort­lichkeiten hingegen klar definiert und es werden die richtigen Schritte durch­­geführt, um alle potentiellen Beweismittel ohne Ver­änderung sicherzustellen.

So sollten Sie immer gewährleisten:
  • Dass die richtigen Ansprechpartner bei einem Sicherheitsvorfall informiert werden. Es ist empfehlenswert durch regelmäßige Sensibilisierungsmaßnahmen, z.B. Security-Awareness-Trai­nings, diese Vorgehensweisen aufzufrischen, damit sie auch wirklich von den Mitarbeitern gelebt werden. Die Sensibilisierung der Mitarbeiter ist ein wichtiger Faktor zur Vermeidung von Sicherheitsvorfällen.
  • Dass bei der Durchführung der technischen Untersuchung jeder einzelne Aspekt der Prüfung sorgfältig und konsistent durch­­­geführt wird. Beispielsweise ist zu Beginn einer Untersuchung nicht klar, ob ein trivialer Verstoß gegen Email-Richtlinien sich nicht später als symptomatisch für ein ernsthaftes Be­trugs­ver­gehen darstellt. Falls diese Beweise dann nicht sorgfältig gesichert wurden, kann das Betrugsvergehen später eventuell nicht mehr nachgewiesen werden.
Im Rahmen der Analyse eines Sicherheitsvorfalles sind weitere Aspekte zu  beachten:
  • Für die Beweissicherung auf Computersystemen gibt es spe­zielles Hardware-Equipment sowie viele Software-Tools (z.B. Encase oder Access Data FTK). Jede Aktion die ein Beweismittel (z.B. eine Festplatte) verändert, kann dieses Beweismittel rechtlich unzulässig werden lassen. Mit entsprechender Schreib­schutz­hard­ware kann ein Schreiben auf Festplatten und andere Datenträger verhindert werden. Allgemein ist empfohlen ein Sektor-Abbild (Image) von der Festplatte zu erstellen. Bei Kriminalverfahren werden in der Regel zwei Images erstellt, eines zur eigentlichen Analyse und eines als versiegelte und gesicherte Masterkopie.
  • Dabei dürfen keine Beweise zerstört werden, die aus Sicht von anderen Abteilungen des Unternehmens Relevanz haben könn­ten. Idealerweise bildet man ein Projektteam aus ver­schie­denen Abteilungen, z.B. HR, IT, Werksschutz, Rechtsabteilung und Spezialisten für Business-Anwendungen und Systeme. Nach Beendigung der Untersuchungen empfiehlt es sich, die ge­won­nenen Erkenntnisse auszuwerten, um mög­liche Schutz­maß­nahmen zur Vermeidung derartiger Vorfälle zu identifizieren. Dies sollte im Rahmen regelmäßiger Management-Reviews und Trend-Analysen geschehen.
  • Schließlich ist die rechtliche Grundlage bei allen forensischen Tätigkeiten zu beachten. Die gültigen Vorschriften sind ab­hängig vom Ort der Unter­suchungen. Jedes Land hat seine eigenen Gesetze, die beachtet werden müssen und Einfluss auf den Ablauf einer Analyse haben. In Deutschland ist dies u. a. das Bundesdatenschutzgesetz.
    Neben der Beachtung der örtlichen Gesetze ist auch immer eine ausdrückliche Genehmigung zur Durchführung der Unter­su­chun­gen notwendig. Ist in strafrechtlichen Analysen in der Regel eine enge Kooperation mit den Polizeibehörden erforderlich, sollte bei einer Untersuchung im Auftrag eines Unternehmens unbedingt darauf geachtet werden, dass der Auftrag von einer autorisierten Person erfolgt. Dies ist normaler­weise die Ge­schäfts­leitung des Unternehmens in dem die Prüfung durch­geführt wird.
Lassen Sie sich helfen!
Natürlich ist es aber auch immer ratsam, sich einen externen Experten ins Haus zu holen. Mit den Services „Network Forensics“ bzw. „Com­puter Forensics“ bietet Integralis eine umfassende Analyse der betroffenen Systeme um kompromittierte Daten oder zusätzlich betroffene Systeme zu ermitteln. Zudem sucht Integralis nach dem Einstiegspunkt des Angreifers und identifiziert so die Schwachstellen in Ihrem Netzwerk. Am Ende wird schließlich ein umfassender Bericht erstellt, der das Ausmaß der Kompromittierung beschreibt sowie Empfehlungen zur Beseitigung der gefundenen Schwachstellen sowie zur Wiederherstellung Ihrer Systeme beinhaltet.

Die Spezialisten von Integralis helfen Ihnen dabei:
  • Daten forensisch einwandfrei zu sichern,
  • Daten nach Beweisen und Spuren zu untersuchen,
  • Daten wiederherzustellen und nach Indizien zu suchen,
  • Ihr eigenes Vorgehen einwandfrei und lückenlos zu dokumentieren,
  • Schwachstellen zu identifizieren,
  • Sicherheitsvorfälle möglichst lückenlos zu erfassen sowie
  • die Erkenntnisse in verwertbaren und verständlichen Berichten zusammen zu fassen.
Dabei führen sie  Analysen von Festplatten, der physischen Speicher­abbilder (RAM), der USB-Geräte und Speicherkarten oder der Log-Files von Netzwerkkomponenten durch.

Weitere Informationen gibt es unter www.integralis.com


E-Mail an den Autor     Artikel weiterempfehlen