IT Forensik - Wenn der Angriff passiert ist - Integration ins Cyber Krisenmanagement
IT Forensik
Das Ziel der IT Forensik bzw. einer forensischen Untersuchung im Rahmen einer Cyber Krise ist die Beantwortung der folgenden Fragen:
- Was ist geschehen?
- Wo ist es passiert?
- Wann ist es passiert?
- Wie ist es passiert?
Zusätzlich können die nachfolgenden Fragestellungen relevant werden, insbesondere auch im Fall der Strafverfolgung oder einer Sicherheitsbewertung:
- Wer hat es getan?
- Was kann gegen eine Wiederholung getan werden?
Dabei muss eine Untersuchung im Sinne der IT Forensik prinzipiell nach Spuren suchen, welche sowohl eine These untermauern als auch diese widerlegen können. Zudem werden an eine forensische Untersuchung Anforderungen an die Vorgehensweise gestellt:
- Akzeptanz: Die angewandten Methoden und Schritte müssen in der Fachwelt beschrieben und allgemein akzeptiert worden sein. Der Einsatz neuer Verfahren und Methoden ist zwar prinzipiell nicht ausgeschlossen, jedoch sollte dann ein Nachweis der Korrektheit dieser erfolgen.
- Glaubwürdigkeit: Die Robustheit und Funktionalität von Methoden wird gefordert und muss ggf. nachgewiesen werden.
- Wiederholbarkeit: Die eingesetzten Hilfsmittel und Methoden müssen bei der Anwendung Dritter auf dem gleichen Ausgangsmaterial dieselben Ergebnisse liefern.
- Integrität: Sichergestellte Spuren dürfen durch die Untersuchung nicht unbemerkt verändert worden sein. Die Sicherung der Integrität digitaler Beweise muss jederzeit belegbar sein.
- Ursache und Auswirkungen: Durch die Auswahl der Methoden muss es möglich sein, logisch nachvollziehbare Verbindungen zwischen Ereignissen und Beweisspuren und evtl. auch an Personen herzustellen.
- Dokumentation: Jeder Schritt des Ermittlungsprozesses muss angemessen dokumentiert werden.
Es bedarf eines lückenlosen Nachweises über den Verbleib von digitalen Spuren und der Ergebnisse der daran vorgenommenen Untersuchungen. Es muss sichergestellt werden, dass zu jedem Zeitpunkt beginnend mit der Erfassung der digitalen Beweisspuren ein potentieller Missbrauch bzw. eine Verfälschung nachgewiesen werden kann.
Bedrohungserkennung nach einem Cyberangriff ist entscheidend | Täuschungstechniken wie Ködern oder Honeypots decken schneller auf | |
Die Annahme, dass Sicherheitsteams das Eindringen sämtlicher Angreifer in das Unternehmensnetzwerk verhindern können, ist einfach nicht mehr realistisch und zeitgemäss. Daher überarbeiten viele Unternehmen ihre Cybersicherheitsstrategien. Sie verlassen sich nicht mehr auf Abwehrmassnahmen am Netzwerkrand, sondern konzentrieren sich vielmehr auf die Bedrohungserkennung und die Fehlerbehebung nach einem Angriff. IT Forensik bzw. forensische Analysen erfolgreicher Cyberangriffe zeigen, dass die sogenannte Verweildauer, also die Zeitspanne zwischen den ersten Aktionen bei einem Angriff (Infektionen) und der Erkennung, viel zu lang ist und häufig sogar Monate beträgt. Bis ein Unternehmen feststellt, dass es Opfer eines Angriffs wurde, und die ersten Untersuchungen und Risikoanalysen abgeschlossen sind, hat der Hacker bereits zahlreiche wertvolle Ressourcen ausgeschleust.
| Mithilfe von Täuschungstechniken wie Ködern oder Honeypots können Cyberkriminelle dazu verleitet werden, ihre Deckung schneller aufzugeben. Sicherheitsteams können dann gezielt gegen sie vorgehen, bevor die Angreifer auf wertvolle Ressourcen zugreifen. Da die Angreifer viel schneller erkannt und gefasst werden können, wird die Verweildauer reduziert und die Unternehmen sparen nicht nur Zeit, sondern auch Geld. |
IT Forensik - Wenn es passiert ist. Beratung / Coaching oder fachliche Unterstützung?
Sie möchten die bestehende Cyber Abwehr Organisation überprüfen lassen? Sie suchen einen Spezialisten? Dann sollten Sie mit uns sprechen. Gerne erläutern wir Ihnen die verschiedenen Möglichkeiten, um Sie zu unterstützen.
Kontaktieren Sie uns oder rufen Sie uns an +41 44 360 40 40.