Checkliste Incident Response

  • Alarmierung der zuständigen Personen gemäß Alarmierungsplan (vorher erstellen!)
  • Authentizität des Beweise sichern (Zugriff beschränken)
  • Schadensverlauf lückenlos dokumentieren
  • Unterscheidung zwischen systembedingten Ausfall und mißbräuchlicher Nutzung
  • Grundsatz: Eingeschaltete Geräte bleiben eingeschaltet und ausgeschaltete Geräte bleiben ausgeschaltet!
  • Dokumentation mit Fotos statt Bildschirm-Screenshots (ohne Blitz)
  • Umfeld des Computers nicht verändern
  • Umgehende Hinzuziehung von Fachleuten (Kripo, Sachverständige)

Tipps und Verhaltensregeln für den sicherheitskritischen Vorfall / Schadensfall

Nachdem Computer und Netzwerke sowie deren Online-Anbindung aus dem geschäftlichen und privaten Alltag nicht mehr wegzudenken sind und uns viele Tätigkeiten erleichtern oder sogar erst ermöglichen, hat auch die missbräuchliche Nutzung dieses Mediums immer weiter zugenommen.

So sind Computer und verwandte technische Einrichtungen bei Straf- und Zivilprozessen immer häufiger Gegenstand der Untersuchung durch Ermittlungsbehörden und Gutachter. Im Gegensatz zu der üblichen Intention der mit der EDV betrauten Personen steht im Bereich der Computer-Forensik nicht primär die Aufgabenstellung im Vordergrund, das System ggf. auch ohne tief greifende Ursachenforschung schnellstmöglich wieder lauffähig zu bekommen, sondern das „Wie" oder „Warum" für einen Ausfall zu ergründen bzw. konkrete Handlungsschritte, die mit oder durch den Computer erfolgt sind, nachzuvollziehen.

Analog beispielsweise zur Gerichtsmedizin bezeichnet man diese (kriminal-) technische Analyse und Beweissicherung von Computer-Systemen, die kompromittiert oder im Rahmen einer straf- oder zivilrechtlich relevanten Handlung möglicherweise benutzt wurden, als Computer-Forensik. Die Spurensuche beschränkt sich dabei nicht auf die offensichtlichen und vom Betriebssystem bereitgestellten Analysemöglichkeiten, sondern man forscht tiefer im System in für den Anwender üblicherweise nicht bekannten oder erreichbaren Regionen.

Social Engineering als Ursache für Angriffe und Datenmanipulationen

Die Gründe, die Anlass zu einer forensischen Betrachtung von Rechnersystemen und Netzwerken geben können, sind vielfältig. Neben Angriffen auf die Systeme selbst werden sie auch als Werkzeug für Handlungen ge- oder missbraucht und sind dann Gegenstand einer firmeninternen oder externen Ermittlung.

Die Bedrohungsszenarien "Datenausspähung, -manipulation und -zerstörung" entspringen hierbei nicht immer dem „bösen" Internet, sondern haben ihre Quelle oder die undichte Stelle oft auch im eigenen Netz (Social Engineering). Ein unzufriedener oder vor der Entlassung stehender Mitarbeiter hat schon oft Daten zerstört oder zur späteren (missbräuchlichen) Nutzung entwendet. Da kein System der Welt als 100% sicher vor Einbrüchen und Manipulationen angesehen und faktisch jede noch so ausgeklügelte Sicherheitsbarriere mit entsprechendem Aufwand umgangen werden kann, kommt der Feststellung, dass es einen konkreten Angriff auf die EDV gibt oder gab und nachfolgend der entsprechenden Beweissicherung, immer mehr Bedeutung zu. Gerade für Unternehmen, die für Angreifer ein lukratives Ziel darstellen bzw. deren EDV für das tägliche Geschäft als Herzstück oder Rückrat zu bezeichnen ist, ist es äusserst empfehlenswert, sich frühzeitig vor einer Bedrohung Gedanken über Alarmierungssysteme (Intrusion Detection) und konkrete Ablaufpläne im Schadensfall zu machen (Incident Response).

Bei einem tatsächlichen Vorfall kollidieren fast immer zwei gegensätzliche Interessen. Auf der einen Seite wird man bemüht sein, ein z.B. mit einem Virus oder Trojaner befallenes System schnellstens wieder im Produktiveinsatz nutzen zu können. Andererseits ist bei einem entstandenen Schaden oder dem Verdacht auf systematische und strafbare Handlungen die konzeptionell richtig angelegte Beweissicherung elementar wichtig, jedoch auch sehr aufwändig. Ein kleiner Fehler, wie allein das bloße Herunterfahren des kompromittierten Systems, machen es dem Analytiker u.U. schon unmöglich, wichtige Beweise zu sichten und zu sichern, die in einem möglichen späteren Gerichtsverfahren entscheidend für dessen Ausgang sein werden.#

Incident Response

Es gibt also ein paar Grundregeln, die beachtet werden müssen, wenn der Fall der Fälle eintritt und der Verdacht oder konkrete Hinweise bestehen, dass ein Computer oder ein Netzwerk von Fremden angegriffen („gehackt") wird oder wurde bzw. wenn aus anderen Gründen eine analytisch wie rechtlich sichere Untersuchung an der EDV-Anlage vorgenommen werden soll. Im Idealfall erstellt ein Unternehmen vor einem konkreten Fall einen allgemeinen Notfall- und Alarmierungsplan, der den zuständigen Mitarbeitern zugänglich gemacht wird. Man bezeichnet die (strukturierte) Reaktion bei einem Verdachtsfall als „Incident Response". Elementar für die nachfolgende Beweissicherung und Analyse der Erkenntnisse ist, dass an dem betroffenen System keine Veränderungen vorgenommen werden und der Zugang zu diesem auf das absolute Minimum an Personen begrenzt wird (Authentizität des Beweises). Sämtliche Schritte, die ab der Alarmierung durchgeführt werden, sind lückenlos zu dokumentieren. Frühzeitig wird hierbei auch eine Unterscheidung stattfinden, ob es sich tatsächlich um eine missbräuchliche Nutzung eines EDV-Systems oder nur um eine „normale" Betriebsstörung handelt.

Der Tod vieler Beweise sind in der frühen Phase übereifrige Anwender und Administratoren, die z.B. auf erkannte Fehlfunktionen (Dialer-, Viren- oder Trojaner-Befall) oder Hackerangriffe durch Herunterfahren des Systems oder gar durch Löschen von verdächtigen Programmen und Registrierungsinformationen reagieren. Hierdurch werden fast immer wichtige Beweise zerstört bzw. die nachfolgende Analyse, was genau auf dem Computer-System manipuliert wurde, erschwert. Der aktuelle Speicherinhalt des Rechners ermöglicht u.U. sehr aufschlussreiche Analysen bzgl. der aktiven Prozesse und Spuren, die bei der letzten Aktion hinterlassen wurden. Durch das Herunterfahren eines Systems jedoch werden die Inhalte des flüchtigen Speichers (RAM) und temporär angelegter Dateien gelöscht und der Inhalt und Status unzähliger Systemdateien verändert. Das erneute Hochfahren eines Rechners wiederum  verstärkt diese Manipulationen nochmals erheblich. Bei einem Windows- oder Linux-System mit entsprechendem Desktop werden in der Startphase rund 1000 Dateien „angefasst" und so u.a. die Dateiattribute „Letzter Zugriff" oder „Letzte Änderung" verstellt. Ein Grundsatz des Incident Response lautet daher: „Eingeschaltete Geräte bleiben eingeschaltet und ausgeschaltete Geräte bleiben ausgeschaltet!". Um eine möglicherweise noch bestehende und missbräuchlich genutzte Kommunikationsverbindung in das lokale Netzwerk oder zu externen Zielen (Internet, DFÜ- und Remote-Access-Zugänge usw.) zu unterbinden, sollte maximal die Kommunikationsleitung zum Endgerät selbst getrennt werden (LAN- oder Telefon-Kabel). Sofern eine konkrete Attacke zu diesem Zeitpunkt noch andauert, ist die Dokumentation des Verbindungsstatus, z.B. bei einer Wählverbindung, vor dem Trennen der Verbindung natürlich sehr wichtig. Oft sind auf dem System entsprechende Monitorprogramme aktiv, die auf einfachste Weise z.B. die Nutzung der ISDN-Kanäle durch eine ISDN-Karte anzeigen (Beispiel ISDN-Watch der AVM Fritz!-Karte). Die hier gezeigte Rufnummer sollte am besten durch Zeugen und durch Abfotografieren des Bildschirms mit einer Digital-Kamera dokumentiert werden. Das Erzeugen eines Bildschirm-Screenshots mit den üblichen Mitteln sollte unterbleiben, da hierdurch bereits wieder auf dem zu untersuchenden System Daten erzeugt werden, die die spätere Analyse möglicherweise beeinträchtigen. Überhaupt muss gerade in der ersten Phase des Incident Response darauf geachtet werden, dass die Änderungen an den Systemen so minimal wie irgend möglich ausfallen bzw. ganz unterbleiben. Dazu gehört auch das äußere Umfeld eines Computers.

Hinzuziehung von Fachleuten

Verdichten sich die Hinweise, dass eine missbräuchliche Benutzung des Computers vorliegt, so sind je nach Sachlage schnellstens die entsprechend zuständigen Fachleute zur Beweissicherung zu verständigen. Sofern der Verdacht auf eine strafrechtlich relevante Konsequenz des Vorfalles vorliegt, so sind unbedingt in einem ersten Schritt die Ermittlungsbehörden einzuschalten. Die Polizei-Präsidien unterhalten zu diesem Zweck entsprechend mit Fachleuten ausgestattete Kommissariate, die die Ermittlung aufnehmen. Grundsätzlich nimmt jede Polizeidienststelle eine entsprechende Anzeige auf und leitet sie weiter, jedoch ist es auch hier sinnvoll, im Vorfeld ohne eine konkrete Bedrohung bereits mit den lokalen Behörden Kontakt aufzunehmen und die Zuständigkeiten zu erfragen. Diese Kontaktdaten ermöglichen dann im Rahmen des Alarmierungsplanes deutlich schnellere Reaktionszeiten der Ermittler.

Liegt nach Auffassung der mit dem Incident Response beauftragten Mitarbeiter zunächst kein offenkundig strafrechtlich relevanter Hintergrund vor, so kann und sollte die private Beauftragung eines mit der Forensik betrauten Fachmannes (meist in Form eines EDV-Sachverständigen oder einer auf die Analyse spezialisierten Fachfirma) umgehend erfolgen. Bis zu dessen Eintreffen bleibt die Anlage unter Verschluss. Nicht wenige Gerichtsverfahren sind in der Folge daran gescheitert, dass, obwohl es in der Sache selbst stichhaltige Erkenntnisse gegeben hat, die aus Sicht des Technikers für eine Beweisführung vollkommen ausreichend gewesen wären, diese in einem Verfahren nicht gewertet wurden, weil zu viele Personen Zugang zu den Beweisstücken und damit ebenfalls eine Manipulationsmöglichkeit hatten.

Zusammengefasst gehören in einen Alarmierungsplan also u.a. folgende Punkte:

  • Nennung der bei Alarmierung zuständigen und für die Einleitung weiterer Schritte befugten Personen im Unternehmen
  • Grundsätzliche Verhaltensregeln für die beteiligten Personen (Anwender etc.)
  • Lückenlose Dokumentation der Geschehnisse und Umstände
  • Eingrenzung des Zugangs zum kompromittierten System
  • Keine oder nur absolut notwendige unmittelbare Eingriffe in das System
  • Umgehende Hinzuziehung von (anerkannten) Fachleuten zur Beweissicherung

Datenschutz und Persönlichkeitsrechte

Von betriebsinternen Analysen und Beweissicherungsverfahren kann im Hinblick auf die Objektivität und Unabhängigkeit des Analytikers (Befangenheit) und natürlich auch aufgrund der meist nicht oder nicht ausreichend vorhandenen fachlichen Kompetenz nur dringend abgeraten werden.

Hinsichtlich des Datenschutzes und der Berührung von Persönlichkeitsrechten gilt es bei der forensischen Analyse u.a. auch, die hierbei gewonnenen Erkenntnisse absolut vertraulich zu verwenden und die Daten nach Abschluss des Verfahrens zuverlässig zu zerstören. Wie an späterer Stelle gezeigt, sind bei einer fachmännischen Analyse Informationen auffindbar, die vom Nutzer (Opfer) verloren oder zuverlässig gelöscht geglaubt sind. Allein aus diesem Grund empfiehlt sich die Hinzuziehung eines Sachverständigen, ist er doch aufgrund seines Standes u.a. zur Verschwiegenheit verpflichtet. Nur nebenbei bemerkt sei an dieser Stelle, dass natürlich alle folgend gezeigten forensischen Methoden auch firmen-intern eingesetzt werden könnten, um z.B. Informationen über Mitarbeiter und deren gespeicherten Daten zu erlangen. Dieses Ausspähen mit privater Beauftragung hat jedoch sehr schnell arbeits- oder gar strafrechtliche Konsequenzen, die vor einer entsprechenden Aktion rechtssicher geklärt werden müssen.

Phasen der forensischen Analyse

Die eigentliche Arbeit des Forensikers fängt mit Beauftragung durch private oder öffentliche Auftraggeber und mit der Sicherung des aktuellen (letzten) Standes des Beweisstückes an. Wird der Sachverständige im in der Praxis seltener vorkommenden Idealfall unmittelbar hinzugezogen, so kann er möglicherweise noch den aktuellen Status des Systems aufnehmen. Auch hier muss er abwägen, ob durch die Analyse des laufenden Systems brauchbare Spuren gesichert werden können oder beispielsweise durch das „harte" Ausschalten des Systems ohne kontrolliertes Herunterfahren der aktuelle Stand besser eingefroren werden kann.

Analyse-Konzept

Grundsätzlich gehört an den Anfang eines schlüssigen Analyse-Konzeptes die Planung der notwendigen Schritte nach dem Motto „Erst denken – dann handeln". Die falsche Reihenfolge der Maßnahmen verhindert ansonsten ggf. die rechtssichere Beweisführung, da einem weiteren Grundsatz folgend das Original Beweisstück nicht verändert werden darf (oder soll).

Erstellen von Arbeitskopien

Im Fall von zu untersuchenden Systemen mit nicht-flüchtigen Massenspeichern wie Festplatten wird dann zunächst eine BIT-genaue 1:1-Kopie der Festplatte angefertigt. Moderne Produkte zur Festplattenspiegelung, die üblicherweise zur Datensicherung im Alltag oder zum Übertragen von Daten von einer alten auf eine neue (vielleicht größere) Festplatte genutzt werden, eigenen sich i.d.R. für den Zweck der Computer-Forensik nicht. Programme, wie z.B. Drive Image von Powerquest bzw. Symantec, sind nämlich aus Performance-Gründen so optimiert, dass sie nicht benutzte Bereiche der Festplatten bei Kopiervorgängen aussparen. Hier genau liegt aber u.U. wichtiges Material für die spätere Auswertung. Je nach verwendetem Betriebssystem gibt es daher in Forensiker-Kreisen üblicherweise genutzte Programme wie z.B. DD (Disk-Duplexing), AccessData FTK Explorer, X-Ways Forensic Explorer oder EnCase, die die geforderte 1:1-Kopie erstellen können. Das schnelle und genaue Erstellen eines Abbildes des Original-Beweisstückes (bzw. mehrere Arbeitskopien) macht es dann ggf. möglich, einer typischen Forderung des Anwenders nachzukommen, nämlich einer zügigen Wiederherstellung des ursprünglichen Systems und dessen Wiederinbetriebnahme durch Neuinstallation oder Einspielen eines Backups.

Ähnlich wie bereits in Bezug auf die Maßnahmen durch den Anwender oder Geschädigten gefordert, wird auch der Sachverständige alle Maßnahmen und Erkenntnisse genauestens dokumentieren und je nach Auftragslage ein Gutachten erstellen oder auch verloren geglaubte Informationen wiederherstellen.

Bestandsaufnahme

Bevor Daten rekonstruiert werden, erstellt der Forensiker zunächst einen Statusbericht. Hierbei wird der Zustand des zu untersuchenden Systems unmittelbar nach dem Bekanntwerden des Vorfalles festgehalten. Auch hier gibt es zahlreiche Methoden und Tools, um Software- und Konfigurationsstände zu dokumentieren. Wie bereits erwähnt, werden durch das Hochfahren eines Systems eine Vielzahl von Dateien und deren Status verändert. Von daher wird man versuchen, die Festplatte nicht zu booten, sondern diese als Sekundär-Platte in ein Testsystem einzubauen, sodass sie inhaltlich nicht verändert wird.