Auf digitaler Spurensuche

Unübersichtliche IT-Landschaften

Daneben bereitet die zunehmende Komplexität der IT-Umgebungen den IT-Forensikern Kopfzerbrechen. «Wenn Angriffe über weit verzweigte, mehrdimensionale Infrastrukturelemente ausgeführt werden, welche sich darüber hinaus auch noch in unterschiedlichen Ländern befinden, wird es für den IT-Forensiker anspruchsvoller», gibt Kissmann von Accenture zu bedenken. Dabei spiele auch der Faktor Zeit eine wichtige Rolle. «Zieht sich die Analyse zu lange hin, kann es sein, dass wichtige Datensätze bereits überschrieben wurden», führt er weiter aus und weist gleichzeitig darauf hin, dass professionelle Angreifer diese Limits natürlich kennen würden.
Ein paar Standards zur IT-Forensik
IT-Forensik wird erst allmählich in Firmen ein Thema. Allerdings gewinnen ganz generell Threat Detection und Incidence Response an Popularität. Da die IT-Forensik als Teil der Bedrohungserkennung und Vorfallsbearbeitung gelten kann, kommt diese langsam aber sicher auf den Radar von Unternehmen.
Das zeigt sich auch bei der Standardisierung. Die IT-Forensik ist noch nicht im gleichen Umfang genormt wie andere Cyber-Security-Verfahrensbereiche. Dennoch existieren eine Reihe von Normen der beiden Körperschaften ISO (International Organization for Standardization) und IEC (International Electrotechnical Commission), welche für die digitale Forensik relevant sind. Es sind dies:
  • ISO/IEC 27037: Diese Norm enthält Leitlinien zur Identifizierung, Sammlung, Erfassung, Beschaffung, Handhabung und zum Schutz, respektive zur Erhaltung digitaler forensischer Beweise. Gemeint sind damit digitale Daten, die von Beweiskraft sein können und somit für die Verwendung vor Gericht geeignet sind. Diese Norm betrifft die erstmalige Erfassung von digitalen Beweismitteln.
  • ISO/IEC 27041: Sie bietet Leitlinien zu den Sicherheitsaspekten der digitalen Forensik. Mit diesen lässt sich etwa sicherzustellen, dass die geeigneten Methoden und Werkzeuge ordnungsgemäss eingesetzt werden.
  • ISO/IEC 27042: Dieser Standard deckt ab, was nach der Sammlung digitaler Beweise passiert. Sie beschreibt, wie diese zu analysieren und zu interpretieren sind.
  • ISO/IEC 27043: Diese Norm liefert Leitlinien für gängige Untersuchungsverfahren von Vorfällen, bei denen digitale Beweismittel eine Rolle spielen.
  • ISO/IEC 27050: Dieser Standard besteht aus vier Teilen. Er beleuchtet alle Aspekte der elektronische Entdeckung (Electronic Discovery) und deckt damit in etwa ab, was die vorgängig erwähnten Normen schon adressieren.
Auch Ellenberger führt als zunehmendes Problem für die digitale Beweisführung die komplexeren IT-Landschaften ins Feld. Firmen betrieben heute verschiedene Netze einschliesslich diverser Cloud-Installationen. Hinzu kämen die zahlreichen mobilen Geräte der Mitarbeiter, vom Laptop über das Tablet bis hin zum Smartphone oder gar zur Smartwatch. «Früher reichte es, ein einzelnes System nach Spuren abzusuchen. Heute können sich diese überall befinden», gibt er zu bedenken. In Zeiten von Cloud-Diensten wie Azure und AWS sei es fast ein Ding der Unmöglichkeit, genau festzuhalten, wo sich eine bestimmte Datei zu einem gewissen Zeitpunkt befunden habe.
Ein spezieller Show-Stopper sind auch IoT-Geräte (Internet of Things), die in zunehmender Anzahl auch in Firmennetzen zu finden sind. Ellenberger weist in diesem Zusammenhang darauf hin, dass diese Devices oft gar keine oder eine zeitlich sehr beschränkte Log-Funktionalität aufweisen. «Werden solche Geräte, die keine Logs schreiben, für einen Angriff verwendet, hat man als IT-Forensiker schlechte Karten», sagt er.
Die zunehmende Komplexität verunmögliche aber IT-Forensik-Untersuchungen nicht. Sie wird nur zu einer grösseren Herausforderung für den digitalen Fahnder. «Hier braucht es den Menschen mit Know-how und gesundem Menschenverstand, der weiss, wo er suchen soll», folgert Ellenberger.


Das könnte Sie auch interessieren