Vorfallsanalysen - Der Ursache auf der Spur

Computer Forensik ist eine reaktive Dienstleistung, die erbracht wird, nachdem eine Sicherheitsverletzung eingetreten ist und es um den Umgang mit dieser Situation geht.

Was ist passiert?
Wer hat das gemacht?
Wie konnte das passieren?
Was ist zu tun?
Wie kann es zukünftig verhindert werden?

Dies sind die Fragestellungen, die mittels der Dienstleistung geklärt werden. Gründe für derartige Fragestellungen sind z.B. die

  • Ermittlung der bei einem Hacker-Angriff ausgenutzten Schwachstelle,
  • Feststellung der  betroffenen Systeme und die
  • Ermittlung der verursachten Schäden,

damit die genutzte Lücke anschließend dauerhaft geschlossen oder der Verursacher identifiziert werden kann. Wir unterstützen Sie bei der Klärung dieser Fragen.

Ursachen finden - Schwachstellen dauerhaft schließen

Bei aufgetretenen Sicherheitsvorfällen wird die Ursache des Vorfalls sehr häufig nicht ermittelt. Aus Rücksicht auf die Systemverfügbarkeit wird das komplette System neu aufgesetzt, ohne der wirklichen Ursache des Vorfalls auf den Grund zu gehen. Dieses Vorgehen ist nicht empfehlenswert. Es sollte in jedem Fall das Ziel sein, die genutzte Schwachstelle zu ermitteln und dauerhaft zu schließen, so dass der Sicherheitsvorfall nicht erneut eintreten kann. SRC unterstützt Sie in diesem Zusammenhang bei der Identifikation der Ursache und bei der Definition von Maßnahmen zur dauerhaften Beseitigung der Schwachstelle.

Verursacher identifizieren

Die Identifikation des Verursachers eines Schadens ist für solche Vorfälle wichtig, bei denen Sie z.B. Schadensersatzansprüche gegen den Verursacher erheben. SRC unterstützt Sie bei der gerichtsverwertbaren Sicherung verloren gegangener, gelöschter oder vernichteter Daten auf IT-Systemen, um den Verursacher eines Schadens zu identifizieren, Beweise gerichtsverwertbar zu sichern und mutwillig vernichtete Daten zu rekonstruieren.

Schadensausmaß erkennen und begrenzen

Nachdem ein Schaden erkannt wurde, muss dessen Ausmaß ermittelt werden. Ohne dass Beweise vernichtet oder deren Gerichtsverwertbarkeit bedroht wird, muss festgestellt werden, welche IT-Systeme und welche Informationen als kompromittiert anzusehen sind. Die Identifikation des genauen Schadensausmaßes ist besonders vor dem Hintergrund einer effizienten Vorgehensweise zur Schadensbegrenzung relevant. SRC unterstützt Sie bei der Ermittlung des Schadensausmaßes, der betroffenen Systeme und Informationen und gemeinsam mit Ihnen definieren wir eine Vorgehensweise zur Begrenzung des Schadens.

CERT - Nach einem Sicherheitsvorfall schnell die richtigen Entscheidungen treffen

In einzelnen Fällen geht es nach einem Sicherheitsvorfall primär darum, schnellstmöglich das Schadensausmaß zu reduzieren und den Regelbetrieb wiederherzustellen. Ein Computer Emergency Response Team (CERT) übernimmt diese Aufgabe. Die Sicherheitsexperten von SRC unterstützen Sie dabei, die richtigen Entscheidungen zu treffen, so dass das Schadensausmaß nach einem Sicherheitsvorfall so weit wie möglich reduziert wird. Wir helfen Ihnen, die richtigen Entscheidungen zum richtigen Zeitpunkt zu finden und behalten auch in Krisensituationen den Überblick.

Live-Analysen

Häufig wird bei der Identifizierung eines Sicherheitsvorfalls das betroffene System direkt neu aufgesetzt, ohne dass eine Untersuchung des Vorfalls durchgeführt wird. Aus Sicherheitssicht bedeutet dies, dass die Ursache des Vorfalls sehr häufig nicht erkannt wurde und das System weiterhin anfällig für erneute Angriffe ist. Um die Ursache des Vorfalls feststellen zu können, ist es notwendig, dass der Vorfall genau untersucht wird. Das System muss dafür im aktuellen Zustand belassen werden. SRC unterstützt Sie bei der zeitnahen Live-Analyse des Vorfalls am betroffenen System und ist in der Lage, kurzfristig auf Sicherheitsvorfälle zu reagieren.

E-Mail Forensik

Unternehmen erhalten heutzutage eine große Menge unerwünschter E-Mails. Für gewöhnlich sind dies SPAM E-Mails oder Nachrichten mit betrügerischer Absicht (Phishing, Trojaner, Malware, usw.). Allerdings findet man auch vereinzelt E-Mails mit beleidigendem Inhalt. Von extern empfangene E-Mails können einfach vernichtet oder das Aufkommen durch den Einsatz von Viren- und Spamfiltern eingedämmt werden. Ist der Ursprung beleidigender E-Mails allerdings mutmaßlich das eigene Unternehmensnetzwerk, sollte nach heutigem Rechtstand eine Verfolgung dieses Falls erfolgen. Die Beleidigung ist ein Angriff auf die Ehre einer Person durch Kundgebung der Missachtung oder Nichtachtung. Gemäß § 185 StGB wird die Beleidigung mit einer Freiheitsstrafe bis zu einem Jahr oder mit einer Geldstrafe bestraft. Wird die Beleidigung mittels einer Tätlichkeit begangen, wird sie mit einer Freiheitsstrafe bis zu zwei Jahren oder mit einer Geldstrafe bestraft. Wird eine Beleidigung auf der Stelle erwidert, so kann der Richter beide Beleidiger oder einen derselben für straffrei erklären. Mit Hilfe von E-Mail Forensik wird die Authentizität des E-Mail Absenders verifiziert und vorgetäuschte E-Mails werden erkannt.

Reverse-Engineering

Sehr häufig werden Rechnersysteme durch Schadsoftware (Viren, Trojaner, Spyware) befallen. Aktuelles Beispiel sind spezielle Trojanische-Pferde (banking Trojaner), die Passwörter, PINs und TANs abfangen. Um eine detaillierte Aufklärung eines Vorfalls durchführen zu können, sollte auch die auf einem kompromittierten System gefundene Malware genauer untersucht werden. Mitarbeiter von SRC unterstützen Sie bei der Analyse von Trojanischen Pferden und stellen mit Hilfe von Reverse-Engineering die genaue Funktionsweise der maliziösen Software fest. Ziel der Analyse ist es z.B., weitere Informationen für die Ermittlungsbehörden zu sammeln, die zur Strafverfolgung der Täter beitragen.

Anwendungsbeispiele

  • Wirtschaftskriminalität, z.B. Diebstahl von Forschungsdaten, Identifikation des Täters und gerichtsverwertbare Sicherung von Beweismitteln
  • Betrugsfälle, z.B. Rechnungsmanipulation
  • Manipulation von Systemen, z.B. Buchhaltungssoftware, Warenwirtschaftssysteme, Kassensysteme, Datenbanken, Fileserver
  • Manipulation von Hardwarekomponenten, z.B. Identifikation von Manipulationen an Zahlungsterminals und Geldautomaten sowie Rekonstruktion der Vorgehensweise der Angreifer und Definition von Gegenmaßnahmen
  • Analyse trojanischer Pferde, z.B. im Rahmen des Anti-Phishing zur Identifikation betroffener Online-Banking Systeme, Ermittlung von Zielkonten

Referenzen

SRC hat u.a. ein großes deutsches Medienunternehmen bei der Aufdeckung eines Angriffs auf den Internetauftritt, der Ermittlung der Auswirkung und des Schadensausmaßes beraten und ein Konzept zur Beseitigung der Schwachstellen erarbeitet. SRC hat mehrere Post-Mortem Vorfallsanalysen für international tätige Banken durchgeführt. Mitarbeiter von SRC haben einem großen deutschen Telekommunikationsanbieter bei der Entwicklung von Algorithmen zur forensischen Analyse von E-Mail Headern bei Message Transport Agents unterstützt und waren maßgeblich am Aufbau und Betrieb des ersten kommerziellen CERT Dienstleisters in Deutschland beteiligt. SRC hat für MasterCard forensiche Analysen im kreditwirtschaftlichen Bereich durchgeführt.

Ansprechpartner

Detlef Kraus
Thilo W. Pannen
Randolf Skerka

info[at]src-gmbh.de
Telefon: +49(0)228 2806-0
Telefax: +49(0)228 2806-199