Forensik

 

Die IT-Forensik, auch Computer- oder Digital-Forensik genannt, ist die streng methodisch vorgenommene Datenanalyse auf Datenträgern und in Computernetzen zur Aufklärung verdächtiger Vorfälle. Es gilt hierbei festzustellen, was passiert ist, und wer die Tat begangen hat. Dies wird durch rechtssichere Untersuchungen mit den entsprechenden Werkzeugen erreicht, denn für die Strafverfolgung müssen sichere Beweise herausgearbeitet werden.

 

Bei der Post-Mortem Analyse (Offline-Forensik) wird der Vorfall nachträglich durch Untersuchungen von Datenträgerabbildern (Images) aufgeklärt, bei der Live-Forensik (Online-Forensik) erfolgt die Untersuchung bereits während des Vorfalls.

Die Anforderung an eine forensische Untersuchung ist somit die Beantwortung der Fragen, was, wo, wann und wie es geschehen ist.

 

Das System ist angegriffen worden

Aus einer Vielzahl der Möglichkeiten der Vorfälle seien hier nur einige exemplarisch aufgezeigt:

  • Unser EDV-System ist angegriffen worden, was ist zu tun?
  • Auf meinem System sind Daten gelöscht worden, ist eine Wiederherstellung möglich?
  • Auf einem von der Staatsanwalt beschlagnahmten System sind verdächtigte Dateien oder belastende Emails enthalten, wie sind diese eingeschleußt worden?
  • Unsere Webseite ist gehackt worden, welche Maßnahmen muss ich ergreifen?

Da wir sowohl die Angriffsmethoden der Hacker, als auch die Verfahren kennen, die dazu führen, eine gerichtsverwertbare Beweiskette aufzubauen, sind wir sicherlich die richtige Adresse für Ihre aufgetretenen Probleme.

 

Hackerangriff

Hacker, Cracker und Scipt-Kiddies, alle dringen unbefugt in fremde IT-Systeme ein, während Hacker eher als experimentierfreudige Programmierer angesehen werden, bedienen sich die Cracker der Schwachstellen des IT-Systems aufgrund krimineller Energie. Die Script Kiddies wenden vorgefertigte Angriffstools aus reiner Neugier an und haben in der Regel kein umfangreiches Hintergrund-wissen.

Die kriminellen Angriffe über das Internet auf Firmennetze und die hieran angeschlossenen Computer nehmen täglich zu.

 

Szenarien

  • Wie man in verschiedenen Medien verfolgen konnte, ist die Web-Seite von Karl-Theodor zu Guttenberg gehackt und manipuliert worden. Ursache war möglicherweise eine Schwachstelle in der PHP-Programmierung.

  • Ein Psychologe einer Kleinstadt verwaltet seine Praxisdaten auf einem Laptop mit Internetanschluss. Eines Tages werden in der Stadt vertrauliche Patienteninformationen bekannt, der Staatsanwalt erhebt Anklage, denn das Notebook war trotz Anmeldung unzureichend gegen Hackerangriff geschützt (Sicherer Internetzugang, Verschlüsselung von Daten)

  • Viele große Firmen (sicherlich auch viele kleine, jedoch ohne größeres Medien-Interesse) sind bereits Hackerangriffen zum Opfer gefallen, wie die Telekom, VeriSign, Adidas, Foxconn, Sony, Rewe, Penny, Wikileaks uvm. In erster Linie geht es hierbei um Spionage und Datenklau.

 

Vorsorge

Welche Sicherheitsmaßnahmen können Sie treffen, damit ein Hackerangriff auf Ihr System frühzeitig erkannt und unterbunden wird?

 

Leider werden Angriffe in den meisten Fällen immer noch zu spät erkannt, so dass auch erst reagiert werden kann, wenn der Angriff vorbei ist. Dennoch ist es auch danach nicht unmöglich den Angreifer zu ermitteln. Was ist also zu tun, wenn es bereits passiert ist:

  • Aufkeinen Fall das System ausschalten, sondern in den Schlaf- bzw. Hipernate-Modus versetzen (diese Möglichkeit sollte bereits vorbereitet worden sein).

  • Es muss sofort (vor dem nächsten Einschalten) ein Image des System erstellt und alle Log-Dateien eingesammelt werden, die für eine Analyse des Schadenverlaufs notwendig sind (z.B. IMM), möglichst noch bei laufendem System und Sichern der wichtigsten dynamischen Daten.

  • Bei der Wiederherstellung des Systems mit einem Backup muss der Beginn des Angriffs feststehen, ansonsten ist das System neu aufzusetzen, achten Sie auch darauf, alle Passworte zu ändern.

  • Ermitteln oder lassen Sie den entstandenen Schaden ermitteln und identifizieren Sie den Angreifer.

  • Informieren Sie Ihre Kunden und die maßgebenden Institutionen, wenn es zu einer Kompromittierung gekommen ist, warten Sie nicht bis das entstandene Problem von außen an Sie herangetragen wird, denken Sie auch an den entstehenden Imageschaden.

Hinweis: müssen gerichtsverwertbare Beweise gesichert werden, so müssen bereits bei der Erstellung des Images gewisse Vorkehrungen getroffen werden, die von einem erfahrenen Forensiker durchzuführen sind.

 

Hilfestellung

Gerne sind wir sowohl bei der Prävention behilflich als auch dann, wenn der bereits entstandene Schaden minimiert werden muss.

  • Beratung über Sicherheitskonzepte

  • Sichern wichtiger Daten

  • Rekonstruktion bei Datenmanipulation

  • Untersuchung von Angriffen

  • Systemwiederherstellung

  • Erstellen eines Notfallplans

 

Druckversion Druckversion | Sitemap
Copyright:
    Dr. Thiele IT-Beratung
    64354 Reinheim
    Darmstädter Straße 53
    Tel.: 06162 1052
    Fax: 06162 1055