| zurück |
|
Trotz aller Schutzmaßnahmen ist jedes System Angriffen ausgesetzt.
Zur Analyse einer Attacke sind rechtskräftige Beweise unabdingbar.
Doch ohne exakten Plan produziert man statt Beweisen nur Datenmüll.
Die Gründe, die Anlass zu einer forensischen Betrachtung von Rechnersystemen und Netzwerken geben können, sind vielfältig.
Denn den Bedrohungs-Szenarien Datenausspähung, -manipulation und
-zerstörung liegt nicht immer ein Angriff von außen Zugrunde.
Die Quelle oder undichte Stelle ist leider oft auch im eigenen Netz zu finden. Es ist kein Einzelfall, dass ein unzufriedener oder
vor der Entlassung stehender Mitarbeiter Daten zerstört oder zur späteren (missbräuchlichen) Nutzung entwendet.
Kein System kann als hundertprozentig sicher vor Einbrüchen oder Manipulationen gelten. Faktisch ist jede noch so
ausgeklügelte Sicherheitsbarriere mit entsprechendem hohem Aufwand zu umgehen. Dementsprechend kommt der Feststellung, dass es
einen konkreten Angriff auf die IT gibt oder gab und der nachfolgenden Beweissicherung immer mehr Bedeutung zu.
Es gilt ein paar Grundregeln zu beachten, wenn der Verdacht oder konkrete Hinweise bestehen, dass ein Computer
oder ein Netzwerk von Fremden angegriffen wird. Dies gilt auch wenn aus anderen Gründen eine analytisch wie rechtlich
sichere Untersuchung an der EDV-Anlage erforderlich ist.
Im Idealfall erstellt ein Unternehmen vor einem konkreten Fall einen allgemeinen Notfall- und Alarmierungsplan,
der den zuständigen Mitarbeitern zugänglich ist. Man bezeichnet die strukturierte Reaktion bei einem Verdachtsfall als Incident Response.
Elementar für die nachfolgende Beweissicherung und Analyse der
Erkenntnisse ist, dass an dem betroffenen System keine
Veränderungen vorgenommen werden. Zudem muss der Zugang zum
System auf das absolute Minimum an Personen begrenzt sein
(Authentizität des Beweises). Sämtliche Schritte die ab der
Alarmierung durchzuführen sind, müssen lückenlos dokumentiert sein.
Übereifrige Anwender und Administratoren vernichten häufig in einer frühen Phase viele Beweise. Auf erkannte Fehlfunktionen
(Dialer-, Viren- oder Trojaner-Befall) oder Hackerangriffe wird mit Herunterfahren des Systems oder gar mit
dem Löschen von verdächtigen Programmen und Registrierungsinformationen
reagiert.
Dies zerstört fast immer wichtige Beweise und erschwert die nachfolgende Analyse. Der aktuelle Speicherinhalt
des Rechners ermöglicht unter Umständen sehr aufschlussreiche Analysen hinsichtlich der aktiven Prozesse und Spuren, die
bei der letzten Aktion hinterlassen wurden.
Ein Sicherheitsvorfall oder ein ungewöhnliches Ereignis ist nun trotz aller
Schutzsmassnahmen eingetreten. Zunächst ist dieses Ereignis zu
klassifizieren, protokollieren und möglichst keine Veränderungen am laufenden System vorzunehmen.
Wie eine strukturierte weitere Vorgehensweise aussehen kann, Hilfestellungen etc. erfahren Sie in der Fortsetzung.
Michael Bormann
|
|
|