In der Berichterstattung über IT-Sicherheitsvorfälle ist häufig zu lesen, dass Forensiker mit der Untersuchung eines Vorfalls beauftragt werden. Doch wann kommen die Methoden der IT-Forensik zum Einsatz? Dies lässt sich einfach mit der Abgrenzung zur IT-Sicherheit erklären. Bei der IT-Sicherheit steht in der Regel die Frage „Was könnte passieren? Bei der IT-Forensik geht es dagegen um die Untersuchung nach einem Vorfall und damit um die zentrale Frage „Was ist passiert?
In der IT-Forensik liegt der Fokus auf der Sicherung digitaler Spuren und der Analyse digitaler Beweismittel zur Aufklärung von Vorfällen. Es geht darum, illegale oder schädigende Handlungen nachzuweisen und Taten aufzuklären, indem digitale Spuren gesichert und ausgewertet werden. Die IT-Forensik ist ein Teilgebiet der Forensik, zu der beispielsweise auch die Rechtsmedizin und die psychologische Forensik gehören. Um digitale Spuren gerichtsverwertbar zu sichern, muss die Untersuchung streng methodisch nach etablierten Standards erfolgen und jederzeit nachweisbar sein.
Die Inhalte des Cyber Security Vortrags habe ich an das Kapitel IT-Forensik angelehnt, welches ich für das Buch Hacking & Security geschrieben habe.
Die Methoden der IT-Forensik
Im ersten Teil meines Vortrages habe ich den Teilnehmenden einen kurzen und prägnanten Einblick in die faszinierende Welt der IT-Forensik gegeben. Dabei geht es darum, nach einem Vorfall digitale Spuren zu sichern, diese zu analysieren und das daraus resultierende Ergebnis zu präsentieren. Ziel der IT-Forensik ist es dabei immer, Spuren unverändert zu sichern.
Ein zentrales Element der forensischen Untersuchung von IT-Systemen ist die Sicherung und Auswertung und Interpretation digitaler Spuren. Dabei ist zu beachten, dass beim Auslesen der digitalen Spuren und beim erneuten Speichern dieser Spuren die Spuren selbst oder andere Daten nicht verändert werden. Deshalb werden etablierte Standards und Methoden eingesetzt, um die Fehlerwahrscheinlichkeit zu Fehlerwahrscheinlichkeit zu minimieren und forensische Untersuchungen fundiert durchführen zu können.
Eine forensische Untersuchung wird mit dem Ziel durchgeführt, einen Vorgang in einem Computersystem zu untersuchen und zu protokollieren. Insgesamt umfasst sie die Identifizierung, Sicherung, Auswahl und Analyse von Spuren, die im weiteren Verlauf der Untersuchung als Indizien oder Beweise verwendet werden können. Eine forensische Untersuchung beantwortet somit die Frage, ob ein bestimmter Vorgang mit einem bestimmten Computersystem durchgeführt wurde.
Nach einem festgestellten Vorfall in einem Unternehmen kommt es häufig zu einem Zielkonflikt zwischen Incident-Response- und IT-Forensik-Abteilungen. Ziel des Incident Response Teams ist es, nach einem Vorfall die Sicherheitslücke zu schließen und so schnell wie möglich zum ursprünglichen produktiven Zustand zurückzukehren. Das IT-Forensik-Team möchte zunächst eine detaillierte Analyse, bevor Änderungen an den betroffenen Systemen vorgenommen werden. Daher muss im Voraus festgelegt werden, wie zu verfahren ist, falls ein solcher Fall eintritt.
IT-Forensik Fälle
Damit der Vortrag nicht zu viel trockene Theorie enthält, bin ich schnell zu konkreten Fällen übergegangen. Anhand von drei fiktiven Szenarien vermittelte ich die Vorgehensweise bei forensischen Untersuchungen.
Fall A: Die verschwundenen Logfiles
Im ersten Fall ging es darum, dass Logfiles von einem Server verschwunden sind. Schnell wird vermutet, dass ein Angreifer diese gelöscht hat. Eine forensische Analyse soll versuchen, die gelöschten Daten wiederherzustellen und die Ursache zu ermitteln.
Fall B: Geknacktes Passwort eines Servers
Anschließend wurde ein Server im Live-Hacking-Stil angegriffen, um die entsprechenden Spuren zu sichern. Anschließend habe ich gezeigt, wie man den Angriff in gängigen Logfiles nachvollziehen kann.
Fall C: Industriespionage durch Innentäter
Im letzten Fall ging es um die Analyse eines Windows-Systems. Es bestand der Verdacht, dass mit diesem System Industriespionage betrieben wurde. Bei der Analyse mit der Open Source Software Autopsy zeigte ich auf, welche interessanten Spuren zu finden sind.
Cyber Security Vortrag
Der Cyber Security Vortrag „IT-Forensik – Aufklärung von IT-Sicherheitsvorfällen“ fand im Rahmen des Vortragsprogramms des VDI Zollern-Baar am 5. April 2023 ab 19:15 Uhr statt. Die kompletten Folien des Vortrags gibt es als Download (PDF) oder können hier direkt eingesehen werden: