Spurensicherung im digitalen Raum

Bei Fernsehkrimis dreht sich alles um die Aufklärung von Straftaten wie Mord, Einbruch oder Erpressung. Dies ist beim Incident Response und der Forensik bei einer Cyberattacke nicht viel anders. Doch während der Fernsehkommissar meistens in 90 Minuten den Fall löst, ist die Analyse einer Cyberattacke ein langer, aufreibender Prozess.

Incident Response beginnt bei der Spurensicherung

Auch bei der Analyse einer Cyberattacke ist zunächst der Tatort der Ausgangspunkt und gleichzeitig der Startpunkt für die Incident Response. Dabei stellt sich zunächst die Frage: Ist der Täter noch im Netzwerk? Allenfalls müssen auch schon erste Sofortmassnahmen ergriffen werden, damit nicht noch grösserer Schaden entstehen kann. Dabei ist es aber entscheidend, dass keine voreiligen Aktionen ausgeführt werden, da sonst wertvolle Spuren verwischt werden könnten. Erst dann kommt die «Spurensicherung». Deshalb darf – wie im Krimi – vorher nichts verändert oder ohne «Handschuhe» angefasst werden. Der Tatort wird dabei grossräumig abgeriegelt. Alle möglichen Zugänge und Systeme werden untersucht – vielleicht hält sich der Angreifer ja noch in der Nähe versteckt. Primäres Ziel bei der ersten Analyse ist die Abklärung, ob es tatsächlich ein gezielter Cyberangriff war oder allenfalls ein harmloser Sicherheitsvorfall. So stammt beispielsweise ein gelöschtes Logfile nicht immer von einem Angreifer, der seine Spuren verwischen wollte. Womöglich hat auch einfach ein Systemadministrator das File (un)absichtlich gelöscht.

Die Kommissare bei einer Attacke sind die Cyber-Analysten

Wenn es sich aber wirklich um eine Cyberattacke handelt, geht es darum, den Sicherheitsvorfall so schnell und so gründlich wie möglich zu analysieren. Dabei suchen Cyber-Analysten nach Spuren, Indizien und digitalen Fingerabdrücken. Sie versuchen so, den Cyberangriff zu rekonstruieren: Wer könnte der Täter sein? Wie ging er vor? Ist er an sensible Daten – oder besser gesagt die «Kronjuwelen» des Unternehmens – gekommen? Welche Werkzeuge hat er eingesetzt? Und wurde bereits etwas entwendet, verändert oder gar zerstört? Aus all diesen Informationen kristallisiert sich das Täterprofil. So wird auch klar, ob es sich um einen bereits bekannten Angreifer handelt oder nicht. Es gilt aber auch zu eruieren, wo der Angriff stattgefunden und welchen Weg der Hacker im Unternehmensnetzwerk eingeschlagen hat. Anhand dieser Angaben lässt sich vielleicht erkennen, was das Ziel der Cyberattacke sein könnte.

Glücklicherweise machen auch professionelle Angreifer Fehler und hinterlassen Spuren. Diese (noch so kleinen und auf den ersten Blick vielleicht unbedeutenden) Hinweise helfen den Cyber Defence-Spezialisten bei der «Festnahme» des Täters. Hierbei geht es nicht um Handschellen und Gefängniszellen – nein, vielmehr geht es darum, den Angreifer auf frischer Tat zu ertappen. Deshalb ist die Suche nach dem eigentlichen Ziel der Attacke auch entscheidend. Es werden an den richtigen Stellen in der Nähe des potentiellen Angriffsziels Sensoren platziert, die umgehend Alarm schlagen, sobald der Angreifer wieder aktiv wird. Allenfalls kommen auch Honey-Tokens als Fallen zum Einsatz, um das vermeintliche Ziel des Angriffs vorzutäuschen. Ziel ist es, den Angreifer aus dem Unternehmensnetzwerk zu verbannen und ihn anschliessend so lange wie möglich draussen zu halten. Denn eines ist klar: Hat ein Angreifer sein Ziel nicht erreicht, kommt er meistens mit noch ausgefeilteren Methoden zurück.

Incident Response ist mehr als Spurensuche

Beim Incident Response geht es aber nicht nur darum, den Angreifer aus dem Unternehmensnetzwerk zu verbannen. Am Ende des Tages müssen die betroffenen Systeme bereinigt und der ordentliche Betrieb wiederhergestellt werden. Zudem müssen die gewonnenen Erkenntnisse aus dem Sicherheitsvorfall zwingend in die Umsetzung neuer Massnahmen einfliessen, um so die eigenen Abwehrkräfte zu stärken.

Der Tatort «Cyber Crime» ist Realität, weshalb Unternehmen immer vor Cyberattacken auf der Hut sein müssen. Dabei reicht es nicht mehr aus, den Fokus nur auf den Schutz und die Abwehr zu legen. Insbesondere die Detektion und die rasche Reaktion auf sicherheitsrelevante Ereignisse sind entscheidend. So dürfen sich Unternehmen nicht nur auf (immer) höhere ICT-Sicherheitsmauern verlassen, denn Angreifer werden immer einen Weg ins Netzwerk finden. Da Attacken rund um die Uhr erfolgen, muss ein Unternehmen an sieben Tagen der Woche – während 24 Stunden – Cyber Security gewährleisten können. Dazu braucht es entsprechende Ressourcen, Know-how und Werkzeuge, und dies am besten aus einem dedizierten Cyber Defence Center. Dieses reagiert nicht nur auf Attacken, sondern sucht auch proaktiv nach potentiellen Bedrohungen und Angriffsmustern. Nur so lässt sich die eigene Cyber Resilience zielgerichtet und kontinuierlich verbessern.

Swiss Cyber Security
InfoGuard ist spezialisiert auf umfassende Cyber Security. Zu den Kompetenzen zählen massgeschneiderte Dienstleistungen im Bereich der Sicherheitsberatung und Security Audits sowie in der Architektur und Integration führender Netzwerk- und Security-Lösungen. Cloud-, Managed- und Cyber Defence-Services erbringt der Schweizer Cyber Security Experte aus dem ISO 27001 zertifizierten InfoGuard Cyber Defence Center in der Schweiz. InfoGuard hat ihren Hauptsitz in Baar / Zug und eine Niederlassung in Bern. Ihre über 120 Sicherheitsexperten sorgen sich tagtäglich um die Cyber Security bei über 300 Kunden in der Schweiz.

Autor: Reinhold Zurfluh, Head of Marketing, InfoGuard AG

InfoGuard AG
Lindenstrasse 10, 6340 Baar
www.infoguard.ch