In der IT gehören Forensiker zu den meistgesuchten Spezialisten überhaupt, bei Ermittlungsbehörden wie in Unternehmen. Sie kümmern sich um Spuren- und Beweissicherung im Falle einer Cyberattacke. Wir haben unseren Forensik-Experten Julian Krautwald zu seiner Arbeit befragt. Im ersten Teil unseres Gesprächs erfahren wir: Was macht eigentlich ein IT-Forensiker?
Julian, Du bist IT-Forensiker. Was unterscheidet deine Arbeit von der Tätigkeit eines IT-Experten?
Der IT-Experte ist Ihr erster Kontakt, wenn es um “alles Technische” geht. Er sorgt dafür, dass Ihre IT-Geräte ordnungsgemäß funktionieren, und Sie alle nötigen Werkzeuge haben, um Ihre tägliche Arbeit an Ihrem Arbeitsplatzrechner durchzuführen. Darüber hinaus sollte er die erste Anlaufstelle bei technischen Problemen und Störungen an Ihrem Arbeitsplatz sein.
Genauer gesagt kümmert er sich um die Installation, Konfiguration, den Betrieb und die Wartung von Infrastruktur-/Netzwerkkomponenten, Systemen und Services, sowohl Hard- als auch Software. Er ist verantwortlich für die technische Fehlerdiagnose und kümmert sich um die Wiederherstellung von Systemen und Daten. Außerdem betreut er die Dokumentation von technischen Prozessabläufen, Handlungsanweisungen und Konfigurationen.
Dann gibt es ja noch den IT-Sicherheitsexperten. Was macht der genau – im Unterschied zu dir?
Von den Tätigkeiten des IT-Sicherheitsexperten merken Sie bei Ihrer alltäglichen Arbeit erst einmal nicht viel. Dies liegt vor allem daran dass der IT-Sicherheitsexperte sehr eng mit dem IT-Experten zusammenarbeitet, um IT-Sicherheitsmaßnahmen umzusetzen, aber eben nicht um der erste Ansprechpartner für die Mitarbeiter zu sein. Die umgesetzten Maßnahmen des IT-Sicherheitsexperten bekommen Sie eher unterbewusst zu “spüren”. Zum Beispiel, wenn Sie von Ihrem Betriebssystem Ihres Arbeitsplatzrechners auf einmal (mal wieder) dazu aufgefordert werden, Ihr Passwort für die Anmeldung zu ändern. Viele dieser Maßnahmen wirken für die meisten Angestellten erst einmal als Einschränkung der Benutzerfreundlichkeit der zu nutzenden Systeme. Erst wenn ein IT-Sicherheitsexperte den Mitarbeitern einen Einblick darüber gibt, warum bestimmte Maßnahmen äußerst wichtig sind, und was passieren kann, wenn man diese nicht umsetzt, führt dies meist zu mehr Akzeptanz seiner Arbeit im Unternehmen.
Und an welcher Stelle wird deine Arbeit als IT-Forensiker erforderlich?
Erst, wenn Ihr Unternehmen bereits Opfer eines Cyberangriffs geworden ist – oder Sie zumindest vermuten, dass dies der Fall ist – und die oben beschriebenen Kollegen nicht eindeutig bestimmen können, wie es zu dem Vorfall gekommen ist, und/oder was die beste Strategie ist, den Schaden einzudämmen und den Betrieb wieder in den “Normalzustand” zu führen. Hier unterstützt und berät ein IT-Forensiker diese Kollegen bei der Diagnose, Analyse und Ursachenforschung, aber auch bei der Priorisierung von Sofortmaßnahmen als Reaktion auf Informationssicherheitsvorfälle.
Es geht hierbei um die Analyse großer Datenmengen, technischer Protokolle und ganzer Systemabbilder. Das Ziel der Analyse: Anzeichen und Ursachen eines Informationssicherheitsvorfalls nachzuweisen, das Kompromittierungsniveau zu evaluieren und ggfs. die gefundenen Beweise gerichtsverwertbar aufzubereiten. Darüber hinaus ist er verantwortlich für die Erarbeitung von Abwehrstrategien und die Einleitung erforderlicher Maßnahmen zur Schadensminderung. Er definiert auch die Gegenmaßnahmen. Und nicht zuletzt dokumentiert er den Sachverhalt und die durchgeführten Aktivitäten.
Welche Fragen müssen die Opfer im Idealfall beantworten können, damit Sie den Cybernotfall schnell aufklären und behandeln können?
Für eine Klärung der Geschehnisse sollten zumindest die klassischen W-Fragen beantwortet werden können:
Fragenkatalog im Notfall
- Was genau ist vorgefallen?
- Wie wurde der Vorfall entdeckt (Gab es z.B. eine Warnmeldungen des Systems? Stellen Sie eine erhöhte Systemauslastung oder längere Antwortzeiten fest?)
- Wie äußert sich der Incident (z.B. Anomalien auf Clients?!)
- Welche Tätigkeiten wurden im Vorfeld durchgeführt (z.B.Surfen im WWW, E-Mails lesen, USB-Stick eingesteckt?)
- Wurden nach der Entdeckung des Vorfalls Sofortmaßnahmen durchgeführt (z.B. Viren-Scans, Löschen von Daten, Änderungen an Systemdateien)?
- Gab es ein ähnliches Problem schon in der Vergangenheit?Wie wurde mit diesem Problem umgegangen?
- Welche Systeme (OS) und/oder Applikationen sind betroffen?
- Wie viele Systeme sind betroffen?
- Handelt es sich um Client- oder um Serversysteme oder beides?
- Wer hat Zugriff auf die betroffenen Systeme?
- Welche Benutzer / Benutzergruppen sind betroffen?
- Wie viele Benutzer sind betroffen?
- Welche Rechte haben die betroffenen Benutzer auf den betroffenen Systemen?
- Wie sind die betroffenen Systeme abgesichert (Firewalls, AntiVirus, IDS, IPS usw.)?
Generell gilt aber: Je detaillierter der Vorfall geschildert werden kann, desto besser ist das für die Problemdiagnose und -lösung. Sollte ein Smartphone mit Kamerafunktion zur Hand sein, kann es auch helfen, wenn der Vorfall zusätzlich mit Fotos dokumentiert wird.
(Ende Teil 1)