Die Gründe, die Anlass zu einer forensischen Betrachtung von Rechnersystemen und Netzwerken geben können, sind vielfältig. Denn den Bedrohungs-Szenarien Datenausspähung, -manipulation und -zerstörung liegt nicht immer ein Angriff von außen zugrunde. Die Quelle oder undichte Stelle ist oft auch im eigenen Netz zu finden. Es ist kein Einzelfall, dass ein unzufriedener oder vor der Entlassung stehender Mitarbeiter Daten zerstört oder zur späteren (missbräuchlichen) Nutzung entwendet.
Kein System kann als hundertprozentig sicher vor Einbrüchen oder Manipulationen gelten. Faktisch ist jede noch so ausgeklügelte Sicherheitsbarriere mit entsprechendem Aufwand zu umgehen. Dementsprechend kommt der Feststellung, dass es einen konkreten Angriff auf die IT gibt oder gab und der nachfolgenden Beweissicherung immer mehr Bedeutung zu.
In eigenem Interesse
Unabhängig von der Branche ist ohne funktionierende EDV das tägliche Geschäft für viele Unternehmen nicht mehr realisierbar. Nicht nur aus diesem Grund ist ein Sicherheitskonzept von elementarer Bedeutung. Auch aus wirtschaftlicher Sicht ist es unabdingbar. Im Jahr 2006 erfolgt die Kreditvergabe der Banken nach Basel II. Ein Bewertungskriterium des Ratingverfahrens ist die Umsetzung eines schlüssigen IT-Sicherheitskonzeptes. Dazu gehören auch die Reaktionspläne für die relevanten Bedrohungsszenarien. Handlungsbedarf besteht aber schon jetzt, da bei einem Rating im Jahr 2006 rückwirkend die vergangenen drei Jahre in die Betrachtung einfließen.
Daher ist es äußerst empfehlenswert sich frühzeitig Gedanken über Alarmierungssysteme (Intrusion Detection) und konkrete Ablaufpläne im Schadensfall zu machen (Incident Response). Bei einem tatsächlichen Vorfall kollidieren fast immer zwei gegensätzliche Interessen: Auf der einen Seite wird man bemüht sein, ein beispielsweise mit einem Virus oder Trojaner befallenes System schnellstens wieder im Produktiveinsatz nutzen zu können. Andererseits ist bei einem entstandenen Schaden oder dem Verdacht auf systematische und strafbare Handlungen die konzeptionell richtig angelegte Beweissicherung elementar wichtig, jedoch auch sehr aufwendig.
Ein kleiner Fehler, wie allein das bloße Herunterfahren des kompromittierten Systems, macht dem Analytiker unter Umständen schon unmöglich, wichtige Beweise zu sichten und zu sichern. Für ein mögliches späteres Gerichtsverfahren sind diese jedoch elementar wichtig.
Incident Response
Es gilt ein paar Grundregeln zu beachten, wenn der Verdacht oder konkrete Hinweise bestehen, dass ein Computer oder ein Netzwerk von Fremden angegriffen wird. Dies gilt auch wenn aus anderen Gründen eine analytisch wie rechtlich sichere Untersuchung an der EDV-Anlage erforderlich ist. Im Idealfall erstellt ein Unternehmen vor einem konkreten Fall einen allgemeinen Notfall- und Alarmierungsplan, der den zuständigen Mitarbeitern zugänglich ist. Man bezeichnet die strukturierte Reaktion bei einem Verdachtsfall als Incident Response.
Elementar für die nachfolgende Beweissicherung und Analyse der Erkenntnisse ist, dass an dem betroffenen System keine Veränderungen vorgenommen werden. Zudem muss der Zugang zum System auf das absolute Minimum an Personen begrenzt sein (Authentizität des Beweises). Sämtliche Schritte, die ab der Alarmierung durchzuführen sind, müssen lückenlos dokumentiert sein.
Übereifrige Anwender und Administratoren vernichten häufig in einer frühen Phase viele Beweise. Auf erkannte Fehlfunktionen (Dialer-, Viren- oder Trojaner-Befall) oder Hackerangriffe wird mit Herunterfahren des Systems oder gar mit Löschen von verdächtigen Programmen und Registrierungsinformationen reagiert. Dies zerstört fast immer wichtige Beweise und erschwert die nachfolgende Analyse. Der aktuelle Speicherinhalt des Rechners ermöglicht unter Umständen sehr aufschlussreiche Analysen hinsichtlich der aktiven Prozesse und Spuren, die bei der letzten Aktion hinterlassen wurden.
Status quo bewahren
Das Herunterfahren eines Systems löscht die Inhalte des RAM und temporär angelegte Dateien, darüber hinaus verändert sich der Inhalt und Status unzähliger Systemdateien. Das erneute Hochfahren eines Rechners wiederum verstärkt diese Veränderungen nochmals erheblich. Bei einem Windows- oder Linux-System mit entsprechendem Desktop werden in der Startphase rund 1000 Dateien angefasst. Dabei verändern sich unter anderem die Dateiattribute Letzter Zugriff oder Letzte Änderung.
Ein Grundsatz des Incident Response lautet daher: "Eingeschaltete Geräte bleiben eingeschaltet und ausgeschaltete Geräte bleiben ausgeschaltet." Um eine möglicherweise noch bestehende und missbräuchlich genutzte Kommunikationsverbindung in das lokale Netzwerk oder zu externen Zielen (Internet, DFÜ- und Remote-Access-Zugänge) zu unterbinden, sollte man maximal die Kommunikationsleitung zum Endgerät selbst trennen (LAN- oder Telefon-Kabel). Sofern eine konkrete Attacke noch andauert, ist die Dokumentation des Verbindungsstatus beispielsweise bei einer Wählverbindung vor dem Trennen der Verbindung wichtig. Oft sind auf dem System entsprechende Monitorprogramme aktiv. Die dort gezeigte Rufnummer sollte man am besten durch Zeugen und durch Abfotografieren des Bildschirms dokumentieren.
Das Erzeugen eines Bildschirm-Screenshots mit den üblichen Mitteln sollte unterbleiben, da dies bereits wieder auf dem zu untersuchenden System Daten erzeugt. Diese könnten eine spätere Analyse beeinträchtigen. Überhaupt muss gerade in der ersten Phase des Incident Response darauf geachtet werden, dass die Änderungen an den Systemen so minimal wie irgend möglich ausfallen beziehungsweise ganz unterbleiben.
Alarmierungsplan
Verdichten sich die Hinweise, dass eine missbräuchliche Benutzung des Computers vorliegt, so sind je nach Sachlage schnellstens die entsprechend zuständigen Fachleute zur Beweissicherung zu verständigen. Sofern der Verdacht auf eine strafrechtlich relevante Konsequenz des Vorfalles vorliegt, so sind unbedingt in einem ersten Schritt die Ermittlungsbehörden einzuschalten. Die Polizei-Präsidien unterhalten zu diesem Zweck entsprechend mit Fachleuten ausgestattete Kommissariate. Grundsätzlich nimmt jede Polizeidienststelle eine entsprechende Anzeige auf und leitet sie weiter.
Liegt nach Auffassung der mit dem Incident Response beauftragten Mitarbeiter zunächst kein offenkundig strafrechtlich relevanter Hintergrund vor, so kann und sollte die private Beauftragung eines mit der Forensik betrauten Fachmannes erfolgen. Dabei kann es sich um einen EDV-Sachverständigen oder einer auf Analyse spezialisierte Fachfirma handeln. Die aus dem Umfeld der professionellen Datenrettung bekannten Firmen wie beispielsweise Kroll Ontrack oder Ibas bieten entsprechende Dienstleistungen.
Bis zum Eintreffen des Forensiker bleibt die Anlage unter Verschluss. Obwohl es in der Sache selbst stichhaltige Erkenntnisse gegeben hat sind Gerichtsverfahren daran gescheitert, dass diese in einem Verfahren nicht gewertet wurden. Selbst wenn aus Sicht des Technikers die Erkenntnisse für eine Beweisführung vollkommen ausgereicht hätten, hatten zu viele Personen Zugang zu den Beweisstücken und damit Manipulationsmöglichkeiten. In einem solchen Fall bleiben die Ergebnisse unberücksichtigt.
Wichtige Punkte im Alarmierungsplan
Folgende Punkte gehören in einen Alarmierungsplan:
Nennung der bei Alarmierung zuständigen und für die Einleitung weiterer Schritte befugten Personen im Unternehmen
Grundsätzliche Verhaltensregeln für die beteiligten Personen
Lückenlose Dokumentation der Geschehnisse und Umstände
Eingrenzung des Zugangs zum kompromittierten System
Keine oder nur absolut notwendige unmittelbare Eingriffe in das System
Umgehende Hinzuziehung von (anerkannten) Fachleuten zur Beweissicherung
Die eigentliche Arbeit des Forensikers fängt mit der Sicherung des aktuellen (letzten) Standes des Beweisstückes an. Wird der Sachverständige im in der Praxis seltener vorkommenden Idealfall unmittelbar hinzugezogen, so kann er möglicherweise noch den aktuellen Status des Systems aufnehmen. Auch hier muss er abwägen, ob durch die Analyse des laufenden Systems brauchbare Spuren gesichert werden können. Je nach Ergebnis kann auch das "harte" Ausschalten des Systems ohne kontrolliertes Herunterfahren zum Einfrieren des aktuellen Standes sinnvoller sein.
Datenschutz
Von betriebsinternen Analysen und Beweissicherungsverfahren kann man in der Regel nur abraten. Gründe hierfür sind die fehlende Objektivität und Unabhängigkeit des Analytikers. In vielen Betrieben ist zudem nicht ausreichende fachliche Kompetenz vorhanden.
Hinsichtlich des Datenschutzes und der Berührung von Persönlichkeitsrechten gilt es bei der forensischen Analyse auch, die hierbei gewonnenen Erkenntnisse absolut vertraulich zu verwenden. Zudem sind die Daten nach Abschluss des Verfahrens zuverlässig zu zerstören. Wie an späterer Stelle gezeigt, sind bei einer fachmännischen Analyse Informationen auffindbar, die vom Nutzer (Opfer) verloren oder zuverlässig gelöscht geglaubt sind.
Allein aus diesem Grund empfiehlt sich die Hinzuziehung eines Sachverständigen, ist er doch aufgrund seines Standes unter anderem zur Verschwiegenheit verpflichtet. Natürlich lassen sich alle folgend gezeigten forensischen Methoden auch firmen-intern einsetzen, beispielsweise um Informationen über Mitarbeiter und deren gespeicherte Daten zu erlangen. Dieses Ausspähen mit privater Beauftragung hat jedoch sehr schnell arbeits- oder gar strafrechtliche Konsequenzen, die vor einer entsprechenden Aktion rechtssicher zu klären sind.
Anfertigen von Arbeitskopien
Im Falle von zu untersuchenden Systemen mit nicht-flüchtigen Massenspeichern wie Festplatten wird zunächst eine Bit-genaue 1:1 Kopie der Festplatte angefertigt. Moderne Produkte zur Festplattenspiegelung, die üblicherweise bei der Datensicherung im Alltag oder zum Übertragen von Daten von einer alten auf eine neue Festplatte Verwendung finden, eignen sich in der Regel für den Zweck der Computer-Forensik nicht. Programme wie beispielsweise Drive Image von Symantec sind aus Performance-Gründen so optimiert, dass sie nicht benutzte Bereiche der Festplatten bei Kopiervorgängen aussparen.
Hier genau liegt aber unter Umständen wichtiges Material für die spätere Auswertung. Je nach verwendetem Betriebssystem nutzen Forensiker Programme wie DD (Disk-Duplexing), AccessData FTK Explorer oder EnCase, die die geforderte 1:1-Kopie erstellen. Das schnelle und genaue Erstellen eines oder mehrerer Abbilder des Original-Beweisstückes erlaubt es, einer typischen Forderung des Anwenders nachzukommen: die zügige Wiederherstellung des ursprünglichen Systems und dessen Wiederinbetriebnahme durch Neuinstallation oder Einspielen eines Backups.
Analyse der Daten
Für den Analytiker sind nun je nach Hintergrund des Vorfalles verschiedene Fundstellen auf einer Festplatte interessant. Es ist sehr nahe liegend, dass man allgemein bekannte Stellen eines Betriebssystems nach verwertbaren Daten (auch temporärer Natur) zuerst absucht. Hierzu gehören die Cache- und Temp-Verzeichnisse des Betriebssystems und der genutzten Internet-Browser. Auch wenn manche Datei in diesen Verzeichnissen auf Anhieb nicht mehr lesbar ist, geben die Dateinamen und die Analyse der Fragmente mit Binär-Editoren wertvolle Hinweise für die Spurensicherung.
Sofern keine konkreten Anhaltspunkte zur Eingrenzung des zu untersuchenden Bereiches eines Systems vorliegen, ist eine systematische Analyse des oder der Datenträger sinnvoll. Hier leisten diverse Spezial-Programme für die forensische Analyse eine wertvolle Hilfestellung.
Exemplarisch sei an dieser Stelle die Software EnCase der Firma Guidance Software genannt, welche sich aufgrund ihres mächtigen Funktionsumfanges zu einem beliebten Programm bei Ermittlern und Forensikern entwickelt hat. So ist mit EnCase beispielsweise die Analyse von Festplatten mit verschiedensten File-Systemen (auch komprimierten NTFS-Laufwerken), Platten aus RAID-Systemen oder einzelnen Datei-Typen wie Outlook-PST oder Inhalten von System-Dateien wie beispielsweise der Datei thumbs.db einer Windows XP-Bildersammlung möglich.
Interessante Fundstellen
Bei der Analyse eines Datenträgers sind nicht nur die offensichtlich, mit Bordmitteln erreichbaren Daten interessant, sondern auch vom Betriebssystem ungenutzte Bereiche zwischen den Datenspuren und vor allem auch gelöschte Daten. Das viele Betriebssysteme Dateien bei einem Löschvorgang nicht wirklich unwiderruflich löschen, sondern nur den Verwaltungs-Eintrag in der FAT oder MFT entfernen, ist kein Geheimnis.
Hat ein Forensiker die Chance, ein System zu untersuchen, welches nach einem Vorfall nicht neu gestartet worden ist, so ergibt sich manchmal viel versprechende Quelle für das Sammeln von Indizien. Es handelt sich hierbei um so genannte Slack-Bereiche von Datenträgern. Viele gängige Dateisysteme adressieren als Einheit nur einen Cluster. Die Cluster-Größe ist abhängig von der User-Konfiguration oder bei älteren Dateisystemen durch die Größe der Partition und der maximalen Anzahl adressierbarer Zuordnungs-Einheiten pro Partition festgelegt. Ist ein Cluster nicht vollständig durch eine Datei ausgefüllt, so wird der nicht genutzte Bereich mit willkürlich aus dem Hauptspeicher entnommenem Inhalt beschrieben.
Durch Auswerten dieser Slack-Bereiche mit einem Hex-Editor kann man so für die Spurensuche relevante Fragmente aus dem RAM der letzten Sitzung isolieren. Dieser RAM-Slack findet sich jeweils im letzten Sektor einer Datei. Sind zusätzliche Sektoren zum Auffüllen der Blockgröße des letzten Clusters erforderlich, so werden die übrigen Sektoren mit Slack-Daten der Festplatte gefüllt. Dabei handelt es sich um gelöschte oder nicht zugeordnete Speichereinheiten des Datenträgers. Dies bezeichnet man als Drive-Slack.
Ähnliches gilt für die Auslagerungsdateien oder Hibernation -Files, die zur virtuellen Erweiterung des RAMs beziehungsweise zum Einfrieren des aktuellen Speicherinhaltes für einen Standby-Modus genutzt werden. Bei NTFS-Systemen findet man zudem noch den MFT-Slack.
Zugriffszeiten
Um zielgerichtet suchen zu können, sind zusätzliche Informationen und Erkenntnisse für den Analytiker natürlich von großer Bedeutung. So lassen sich beispielsweise aus den Zeit- und Datumsangaben der einzelnen Dateien die relevanten Bereich eingrenzen. Diese gleicht man mit dem vermuteten oder bekannten Zeitpunkt des Vorfalls ab.
Dabei zieht man zur Auswertung die sogenannte MAC-Time heran. MAC steht für Modification-, Access- und Change-Time einer Datei. Die Modification-Time (MTime) ist der Zeitpunkt des letzten Schreibzugriffs, die Access-Time (ATime) gibt den letzten Lesezugriff an. Die Change-Time (CTime) wurde bei der letzten Veränderung der Dateiattribute (Zugriffsrechte, Eigentümer) gesetzt.
Hier verhalten sich die Betriebs- und File-Systeme oftmals unterschiedlich. So ist im Gegensatz zu Unix bei einem Windows-System mit NTFS die MTime der neuen Datei gleich der MTime der Originaldatei. Hier werden ATime und CTime verändert und zeigen somit den Kopiervorgang an. Für eine sinnvolle Auswertung der Zeitangaben von Dateien wird der Forensiker daher auch immer die Systemzeit überprüfen und gegebenenfalls vorhandene Zeitdifferenzen zwischen beteiligten Systemen berücksichtigen.
Netzwerk-Analyse
Netzwerkkomponenten wie Switches, Firewalls und Router sind für die Spurensicherung ebenfalls wichtig und werden in die Analyse mit einbezogen. Diese sind vor allem dann von vorrangigem Interesse, wenn es sich um die Analyse eines noch anhaltenden Angriffs handelt. Durch Auswertung der Netzwerkprotokolle und Logfiles wird versucht, verdächtige Datenpakete zu identifizieren und deren Herkunft oder Ziel zu ermitteln. Dabei ist die Nutzlast des Datenpakets auf mögliche Manipulationen zu untersuchen. Zeitgleich lässt sich feststellen, ob der Angreifer im lokalen oder in einem externen Netzwerk zu finden ist.
Beim TCP/IP-Protokoll ist es teilweise gewollt (NAT), aber auch durch fehlende Sicherheitsmaßnahmen oder Implementierungsfehler für Angreifer möglich, die Quelle des IP-Paketes zu fälschen und damit zu verschleiern. Bei einem Backtracking verdächtiger Pakete ergibt sich dabei möglicherweise nur, dass es sich bei diesen tatsächlich um externe Ziele handelt. Deren wahre Identität ist auf Grund unzähliger zwischengeschalteter Hops nicht aufzudecken.
Eine derzeit sehr häufig angewandte Form dieser Verschleierungstaktik ist das Adress-Spoofing bei Viren- oder SPAM-E-Mails. Hierbei suchen spezielle Robot-Programme Webseiten systematisch nach E-Mail-Adressen ab und bauen diese als Absender und/oder Empfänger in die E-Mails ein. Dies sorgt dafür, dass Nachforschungsversuche oder Beschwerden (auch automatisiere Rückmeldungen von Virenschutz-Programmen) der Empänger an den vollkommen unbeteiligten E-Mail-Inhaber gehen.
Die Unsicherheit wird nach Erhalt einer solchen Rückmeldung beim E-Mail-Besitzer natürlich umso größer, wenn er sich angeblich selbst die E-Mail geschickt hat oder diese von einem Bekannten oder Geschäftspartner kommt. Der Verdacht liegt dann nahe, dass dieser tatsächlich einen aktiven Virus auf seinem System hat, der vom Benutzer unbemerkt Daten und Viren versendet.
E-Mail-Analyse
Ein konkretes Beispiel verdeutlicht dieses Verfahren und die Möglichkeiten und Grenzen der forensischen Analyse (Namen sind anonymisiert). Ein Firmenkunde betreibt neben seinem Mutterhaus mit der Internet-Domain Domain1.com eine Filiale im Ausland mit einer eigenen Domain Domain2.com. Zwischen beiden findet ein intensiver E-Mail-Austausch statt. Benutzer2 aus der Domain2 erhält nun regelmäßig korrekte E-Mails von Benutzer1 aus Domain1. In diesem E-Mail-Verkehr tauchen nun auch E-Mails auf, die (vom Virenscanner erkannte und entfernte) Anhänge mit Virenbefall aufweisen. Für den Benutzer sind diese hinsichtlich der Adressierung nicht von einer regulären E-Mail zu unterscheiden.
Der Unterschied zwischen den Headern wird schnell deutlich. Zum einen ist der Weg der E-Mail von Absender zu Empfänger wesentlich ausführlicher dokumentiert und zum anderen lassen sich die genutzten SMTP-Server auch identifizieren. Hinter der Ready-Meldung des SMTP-Servers helo=mailc0910.dte2k.de findet sich bei entsprechender Rückverfolgung tatsächlich ein Mailserver der Telekom, bei der Domain1 gehosted wird. Das angebliche Prompt helo=kresin-nw3pifbk.com verweist hingegen auf keine real existierte Domain (Ergebnis eines Whois-Abfrage).
IP-Adressen rückverfolgen
An weiteren Details, wie der manuell gepflegten, realen Anrede mit Vornamen und Nachname in der richtigen E-Mail oder der Warnung des Providers der Empfänger-Domain "Domain2" in der Fake-E-Mail, dass es sich bei dem Absender um eine Domain aus einer so genannten Black-List handelt, lassen sich weitere Indizien für eine Fälschung fest machen. Endgültige Sicherheit brachte in diesem Fall zusätzlich die Untersuchung des PCs des Absenders: Mittels Untersuchung des Postausgangs, einem Virencheck, einem Portscan und der Suche nach aktiven, virus-eigenen SMTP-Prozessen (Ergebnisse alle negativ) wurde die Vermutung bestätigt, dass Benutzer1 nicht diese E-Mail versendet hat.
Den Beweis zu führen, dass die E-Mail nicht von Benutzer1 stammte, ist natürlich wesentlich einfacher, als den tatsächlichen Absender zu ermitteln. Durch die Fälschung der IP-Adresse beziehungsweise des Host-Namens des entscheidenden SMTP-Servers ist eine Rückverfolgung vom Ende der Kette her ohne Hinzuziehung der beteiligten Provider und Auswertung deren Logfiles praktisch unmöglich. Bei einem entsprechenden Interesse an der Verfolgung des Absenders wäre nun eine Analyse des Netzwerkprotokolls der beteiligten Router und SMTP-Server des Providers der Domain2 nötig.
Die Internet-Provider sind aufgrund der aktuellen Gesetzeslage zum Bereithalten dieser Daten für Strafverfolgungsbehörden verpflichtet. Da davon auszugehen ist, dass ein professionell arbeitender Spammer seine Spuren mehrfach verwischt, wird eine solche Auswertung nicht unmittelbar im nächsten Schritt auf die richtige IP-Adresse des Absenders verweisen. Durch die Nutzung dynamisch vergebener IP-Adressen bei Einwahl und möglicherweise durch eine unberechtigte Nutzung eines fremden Rechensystems wird man auf diese Weise den eigentlichen Verursacher nur äußerst schwer fassen können.
Protokollierung
Aus genannten Gründen ist es im Bereich der Netzwerk-Sicherheit wichtig, sämtliche zur Verfügung stehenden Protokollierungs-Mechanismen zu aktivieren und zu pflegen. Im Gegensatz zu den für den Forensiker auch nach langer Zeit noch auswertbaren Spuren auf nicht flüchtigen Speichern wie Festplatten, sind die Daten in einer aktiven Netzwerkkomponente wie einem Netzwerk-Switch oder einem Router extrem flüchtig. Nur entsprechend ausgestattete und konfigurierte Netzwerk-Systeme erlauben ein kontinuierliches Mitschreiben der für eine Zuordnung und Nachverfolgung nötigen Adress- und Protokoll-Informationen.
Firewall-Systeme und Intrusion-Detection-Systeme werten den Datenverkehr aus und überprüfen nicht nur wie beim reinen Packet-Filtering die Zulässigkeit von Quell-, Ziel- und Port-Adresse eines Paketes. Darüber hinaus analysieren sie auch dessen Inhalt. Entsprechend versierte Eindringlinge versuchen beispielsweise bekannte Betriebssystemschwächen durch Verstecken von gefährlichem Code in Paketen mit ungefährlichen Portadressen auszunutzen, beispielsweise durch das Tarnen von Telnet-Paketen in SMTP-Paketen. Eine gute Firewall - damit sind nicht die Desktop-Firewalls gemeint - wird also nicht nur solche Pakete blockieren, sondern anhand einer Vielzahl von Kriterien versuchen festzustellen, ob ein konkreter Angriff vorliegt (beispielsweise Port-Scan-Detection) und den Systemadministrator entsprechend informieren.
Grundsätzlich besteht das Bestreben eines Eindringlings darin, sich in dem angegriffenen System unbemerkt zu bewegen und sich für die spätere Rückkehr eine Hintertür (Backdoor) offen zu halten. Hierzu wird er versuchen, aktive Logging-Mechanismen und für ihn gefährliche Systemüberwachungsdienste abzuschalten. Des Weiteren wird er danach streben, privilegierte Rechte zu erlangen, um einen möglichst tief greifenden Einblick und Zugriff auf das System oder Netzwerk zu erhalten. Die Kenntnis solcher Verhaltensweisen und von Sicherheitslöchern der beteiligten Systeme ermöglicht dem Analytiker, Spuren des Eindringlings zu erkennen beziehungsweise im Rahmen der Prevention die Schwachstellen zu schließen.
Faktor Überwachung
Gegenüber der Post-Mortem-Analyse ist beim einrichten einer Backdoor der Zeitfaktor Problem und Chance zugleich. Die Alarmierung des Forensikers muss zeitnah erfolgen und dieser muss sich sehr schnell in die Netzwerk-Infrastruktur einarbeiten. Nur dies erlaubt es ihm die für die Nachverfolgung relevanten Daten von den enormen Mengen des üblichen Datenverkehrs zu separieren.
Auf der anderen Seite besteht bei einem noch aktiven oder sich wiederholenden Angriff die Chance, den Weg des Täters nachzuvollziehen und ihn unter Umständen zu lokalisieren. Damit eine einmal notwendige forensische Analyse auch im Netzwerkbereich Erfolg haben kann, ist es also sehr wichtig, die Logging-Funktionen von Routern und Firewalls, aber auch der Betriebssysteme zu aktivieren.
Praktisch alle für den professionellen Einsatz konzipierten Betriebssysteme bieten Systemprotokollierdienste, mit denen über die Aktivitäten des Systems und dessen Dienste selbst. Das gilt für Windows-Systeme ab NT aufwärts mit den System- und Anwendungsprotokollen, aber auch die Remote-Access-Logs, Logs der E-Mail-Systeme und Internet-Proxies. Diese muss der Administrator jedoch konfigurieren, manche Ereignisse werden aus Performance- oder Bequemlichkeitsgründen nicht aktiviert - beispielsweise das Logging der fehlgeschlagenen Anmeldeversuche.
Fazit
Die Möglichkeiten der modernen Computer-Forensik sind weit reichend, der Aufwand für die Beweissicherung und Datenrekonstruktion ist jedoch oft enorm. Nicht selten wird der Erfolg derartiger Bemühungen durch vermeidbare Fehler im Vorfeld der forensischen Analyse oder im direkten Umfeld eines Vorfalles vereitelt.
Je mehr ein Unternehmen oder eine Person von Ihrer EDV abhängig ist und zudem auch noch ins Blickfeld möglicher Angriffe von innen und außen rückt, umso mehr bedarf es auch ohne konkreten Schadensfall eines durchdachten Sicherheitskonzeptes. Dazu gehören vorbeugende Maßnahmen zur Datenabsicherung (Backups, Firewall, Sicherheitskonzepte und Intrusion-Detection-Systeme), funktionsfähige Protokollierungssysteme (aktivierte Log-Files in allen relevanten Systemen) sowie Alarmierungspläne für den tatsächlichen Eintritt eines Vorfalles. Unabhängige Informationen zum Thema finden Sie beim Bundesamt für Sicherheit in der Informationstechnik. (mje)
Der Autor
Thomas Käfer ist Inhaber eines Systemshauses und als EDV-Sachverständiger im Bereich Gutachtenerstellung und Beweissicherung für private und öffentliche Auftraggeber tätig.