Article

Auf der digitalen Spur

Cyber Forensic

Das Erkennen und Aufklären doloser Handlungen im Netz sind das Metier der Cyber-Forensiker. Dafür machen sie sich auf die Suche nach digitalen Spuren in IT-Systemen. Ihr Ziel: Angriffe zügig unter Kontrolle zu bringen, den Schaden zu begrenzen und zukünftige Attacken zu erschweren.

Ein Beitrag aus dem Deloitte-Jahresbericht 2015/2016

Tatzeit: 23.45 Uhr MEZ. Tatort: Internet. Der Schaden: Ein eingeschleuster Trojaner ermöglicht den Zugriff auf vertrauliche Entwicklungsdaten. Der digitale Einbruch wird von den Überwachungssystemen entdeckt und gemeldet. Forensiker-Kollegen der analogen Welt würden sich nun auf den Weg zum Tatort begeben, die Cyber-Forensiker um Deloitte-Partner Peter Wirnsperger loggen sich stattdessen unverzüglich in die digitalen Systeme des Kunden ein, um die Spuren zu sichern. „Wir müssen jederzeit für den Fall der Fälle gewapp­net sein“, beschreibt Wirnsperger die Herausforderung im Bereich Cyber Forensic. Denn bei einem Angriff auf die unternehmenseigenen IT-Systeme ist Schnelligkeit ein entscheidender Erfolgsfaktor. Idealerweise sind die Systeme bereits so konfiguriert und die Mitarbeiter so geschult, dass alle Akteure wissen, was bei einem Sicherheitsvorfall zu tun ist.

Ermitteln am digitalen Tatort

Werden die Forensic-Experten im Ernstfall kontaktiert, starten sie sofort erforderliche Abwehrmaßnahmen, um den Übergriff zu stoppen. Unter Einsatz spezieller Methoden und Anwendungen werden Daten gesichert, digitale Spuren im Netz identifiziert und analysiert. Auch gelöschte Dokumente und Datenträger werden wiederherstellt. So lässt sich das verdächtige Benutzer­verhalten nachvollziehbar machen. Bei aller Schnelligkeit ist immer besonnen vorzugehen; nicht selten wurden wertvolle Spuren bei unbedachten Reaktionen verwischt. Nach der Identifikation des Vorfalls und Sicherung der Daten ist kriminalistischer Einsatz gefordert. Die Cyber-Forensiker analysieren kritische Fragen: Was ist genau passiert? Welches Schlupfloch wurde genutzt, welche Daten wurden manipuliert, welche Systeme missbraucht? Gibt es Hinweise auf die Identität der Angreifer? Die Antworten sind wichtig, zum einen um gerichts­verwertbare Informationen zu generieren, vor allem aber um Gegen­maßnah­men einzuleiten. Dazu kann auch die Einschaltung eines Deloitte-Teams auf einem anderen Kontinent gehören: „In IT-Hinsicht ist die Welt sehr klein. So etwa, wenn sich der Vorfall bei einer Niederlassung auf einem Kontinent ereignet, die verantwortliche Zentrale aber ihren Sitz auf der anderen Seite der Erdkugel hat. Unsere Experten sind mit den jeweils nötigen Kompetenzen ausgestattet und können überall schnell vor Ort sein“, so Wirnsperger. Denn, und da ist es ähnlich wie bei den Forensikern der analogen Welt: Für die umfassende Aufklärung dieser Fälle ist die räumliche Nähe der Forensik-Experten oft entscheidend.