Computer-Forensik: Analyse von Angriffen

Incident Response

Es gilt ein paar Grundregeln zu beachten, wenn der Verdacht oder konkrete Hinweise bestehen, dass ein Computer oder ein Netzwerk von Fremden angegriffen wird. Dies gilt auch wenn aus anderen Gründen eine analytisch wie rechtlich sichere Untersuchung an der EDV-Anlage erforderlich ist. Im Idealfall erstellt ein Unternehmen vor einem konkreten Fall einen allgemeinen Notfall- und Alarmierungsplan, der den zuständigen Mitarbeitern zugänglich ist. Man bezeichnet die strukturierte Reaktion bei einem Verdachtsfall als Incident Response.

Elementar für die nachfolgende Beweissicherung und Analyse der Erkenntnisse ist, dass an dem betroffenen System keine Veränderungen vorgenommen werden. Zudem muss der Zugang zum System auf das absolute Minimum an Personen begrenzt sein (Authentizität des Beweises). Sämtliche Schritte, die ab der Alarmierung durchzuführen sind, müssen lückenlos dokumentiert sein.

Übereifrige Anwender und Administratoren vernichten häufig in einer frühen Phase viele Beweise. Auf erkannte Fehlfunktionen (Dialer-, Viren- oder Trojaner-Befall) oder Hackerangriffe wird mit Herunterfahren des Systems oder gar mit Löschen von verdächtigen Programmen und Registrierungsinformationen reagiert. Dies zerstört fast immer wichtige Beweise und erschwert die nachfolgende Analyse. Der aktuelle Speicherinhalt des Rechners ermöglicht unter Umständen sehr aufschlussreiche Analysen hinsichtlich der aktiven Prozesse und Spuren, die bei der letzten Aktion hinterlassen wurden.