Den Hackern auf der Spur

Cyber-Forensiker sind die digitale Feuerwehr

Digitale Forensiker werden immer häufiger zu Hilfe gerufen: Bei Datenklau sind sie zur Stelle - und überführen die Täter.

Bis der Spion im System enttarnt war, waren schon jede Menge Daten nach außen geflossen. Ein ehemaliger IT-Mitarbeiter, so erzählt der Cyber-Forensiker Alexander Geschonneck von der Beratungsgesellschaft KPMG, hatte sich, noch während er in dem Unternehmen arbeitete, eine Hintertür ins System gebaut. "So konnte er nach Belieben auf das System zugreifen und seine ehemaligen Kollegen ausspionieren", sagt er. Bis er von Geschonneck und seinem Team enttarnt wurde.

Ein Eindringling saugt unbemerkt Informationen ab - nur digitale Forensiker kommen ihm auf die Schliche.
Ein Eindringling saugt unbemerkt Informationen ab - nur digitale Forensiker kommen ihm auf die Schliche.
Foto: Nmedia, Fotolia.com

Für das Unternehmen war der Angriff ein Schock. Doch Hacker-Angriffe, Datendiebstähle aller Art oder Datenmanipulationen sind in deutschen Firmen keine Seltenheit. "Fast täglich kommt so etwas vor", sagt der Forensiker von der KPMG. Und das sind natürlich nur die Anfragen, die er bekommt. Dass sich ein Wettbewerber am Markt Zugriff auf Forschungsdaten, Angebotsdaten, Personalstrukturen oder Kalkulationen verschaffe, geschehe sehr häufig. "Da werden Hacker beauftragt - und schon ist der Konkurrent im System", erzählt Geschonneck. Solche Angriffe treffen auch Behörden, erzählt die Referatsleiterin des Bundesamts für Sicherheit in der Informationstechnik (BSI), Isabel Münch.

Die Ghost-Busters unter den ITlern

Zeit, die Cyber-Forensiker zu rufen - die Ghost-Busters unter den ITlern. "Wir sind die digitale Feuerwehr", sagt Geschonneck. "Wir werden gerufen, wenn einem Unternehmen bereits ein Schaden entstanden ist oder es vermutet, dass es angegriffen wurde", sagt er. Die Aufgabe des Forensikers ist das Spurensichern und Auswerten selbst - nicht das Schließen von Sicherheitslücken. "Wir sehen uns die Daten an und schauen, ob das Unternehmen tatsächlich angegriffen wurde. Dann identifizieren wir den Täter und die Schwachstelle, über die er ins System gelangt ist, damit das Unternehmen sie schließen kann", erzählt Geschonneck. Das geschehe mit technologischen Mitteln, aber auch mit klassischen Methoden wie Interviews und gründlichen Dokumentenrecherchen.

Anomalien jagen gehen

Im Fall des spionierenden Mitarbeiters war das Entdecken mühsam: "Das Unternehmen hatte eine Anomalie-Erkennung durchgeführt. Dabei war aufgefallen, das Accounts aktiv waren, die nicht hätten aktiv sein sollen", sagt Geschonneck. Er und seine Kollegen machten sich an die Arbeit. Mit dem analytischen Forensischen Rechenzentrum, das speziell dafür entworfen wurde, werteten sie Terabytes an Logfiles aus, die aus dem kompromittierten System stammten, und versuchten herauszufinden, was im System passierte. "Das ist ein sehr spezielles Vorgehen, das einige Zeit dauert", sagt Geschonneck.

Jagt Hacker: der Cyber-Forensiker Alexander Geschonneck von der KPMG.
Jagt Hacker: der Cyber-Forensiker Alexander Geschonneck von der KPMG.
Foto: KPMG

In diesem Fall kamen sie dem Ex-Mitarbeiter auf die Schliche. Doch das gelingt nicht immer. "Viele Angriffe werden gar nicht erst gesehen, oder die Hacker verwischen Spuren", sagt er. "Der Täter kommt nicht durch die Haustür oder übers Kellerfenster, sondern durch das angelehnte Toilettenfenster - und macht dann das Fenster wieder hinter sich zu", vergleicht Münch. Mit Standardsystemen sei so ein Angriff kaum zu identifizieren. Das macht das Entdecken von Einbrüchen umso schwerer. Auch sei es möglich, dass das Unternehmen aus Versehen selbst die Spuren des Täters verwische, während es eigentlich die Daten sichern wollte, fügt Geschonneck hinzu. "Aber wir haben eine gute Quote", lacht er.