Portait Nico Müller von DigiFors GmbH
Kurz informiert
IT-Forensik: Was ist das eigentlich?

Digitale Beweissicherung: Zwischen Angreifern und Verteidigern

26. Oktober 2023

Gespräch mit dem Geschäftsführer der DigiFors GmbH Nico Müller 

58 Prozent der deutschen Unternehmen wurden, laut britischem Versicherer Hiscox, im letzten Jahr ein- oder mehrfach von Cyberkriminellen angegriffen. Das sind 12 Prozent mehr als im Vorjahr. Cyberkriminalität ist also ein viel größeres Thema, als es in den Medien Aufmerksamkeit erfährt.

WIRTSCHAFT ONLINE befragt deshalb in Serie Expertinnen und Experten zum Thema. Diese Woche ist unser Gesprächspartner Nico Müller, der sich seit Jahren intensiv mit IT-Forensik auseinandersetzt.

WIRTSCHAFT ONLINE: Guten Tag, Herr Nico Müller. Im Vorfeld des Cyber-Sicherheits-Tages des Cyber-Sicherheitsnetzwerks Sachsen am 17. April 2024 wollen wir uns den unterschiedlichsten Facetten des Themas Cyber-Sicherheit widmen. Sie sind Experte im Segment IT-Forensik. Den meisten Menschen wird nicht bewusst sein, was IT-Forensik überhaupt ist. Deshalb fragen wir da einfach nach: Was ist IT-Forensik?

Nico Müller: IT-Forensik, Computerforensik oder auch Digitale Forensik ist ein Bereich der Forensik, der sich mit der Untersuchung von digitalen Medien und elektronischen Geräten befasst, um Beweise für kriminelle Aktivitäten zu sammeln und zu analysieren. Dieser Bereich ist von entscheidender Bedeutung, um Cyberkriminalität und andere Straftaten, die digitale Spuren hinterlassen, zu untersuchen und die Täter zu identifizieren.

WIRTSCHAFT ONLINE: Speziell für unsere Mitgliedsunternehmen (Sie bieten Ihre Angebote auch Behörden an), gilt es, im Falle eines Notfalls den richtigen Umgang damit zu finden. Hier kommen Sie mit Ihren Erfahrungen in der IT-Forensik ins Spiel. Wie muss vorgegangen werden, um etwa wichtige Beweise für spätere Ermittlungsverfahren zu sichern?

Nico Müller: Es ist von entscheidender Bedeutung, digitale Beweise zu sichern, bevor sie verändert oder gelöscht werden können. Bei einer Ransomware-Attacke ist das korrekte Vorgehen möglicherweise nicht ganz so wichtig, da es eher selten vorkommt, dass die Urheber derlei Attacken vor deutschen Gerichten irgendwann zu finden sind, aber im Themenfeld dolose Handlungen, also der klassische Innentäter, ist die Unversehrtheit der Beweismittel oberstes Gebot. Also erst sichern und nicht irgendwie sichern, sondern nach anerkannten Regeln der Technik sichern, dokumentieren und dann analysieren. Bei der Leiche in der Küche ziehe ich nicht vorher schon das Messer raus, bevor der Tatort gesichert ist.

Je nach Art der Anomalie muss auch die Reihenfolge der Beweissicherung der Daten beachtet werden. In vielen Fällen werden zur Analyse flüchtige Daten benötigt. Nur damit lassen sich bestimmte Tatmuster nachweisen. Flüchtige Daten sind z.B. aktive Netzwerkverbindungen oder Daten im Arbeitsspeicher, die bei einem Ausschalten des Computers einfach weg wären. Erst nach dem Sichern der flüchtigen Daten kann der Computer ausgeschaltet werden und anschließend wird die Festplatte oder Festplatten gesichert.

WIRTSCHAFT ONLINE: Auf Ihrer Homepage fand ich unter „Auszug aus unserem Angebot“ auch Ermittlungen bei Cybersicherheit. Sie ermitteln auch? Inwieweit?

Nico Müller: Wir sind keine Ermittlungsbehörde. Ermitteln heißt in unserem Kontext nicht unbedingt den Täter zu identifizieren, sondern die W-Fragen, Was ist Wann, Wieso, Weshalb geschehen, möglichst zweifelsfrei zu beantworten. Bei Vorfällen in Unternehmen sind üblicherweise drei Fragen zu beantworten.

  • Was ist der eigentliche Angriffsvektor – heißt, wie sind die Cyberkriminellen in die IT-Infrastruktur eingedrungen, welche Schwachstelle wurde ausgenutzt?
  • Was ist der Patient 0 – welcher Rechner wurde zuerst infiziert? Dieses ist wichtig, um die Ausbreitung in der Infrastruktur nachvollziehen zu können.  
  • Sind personenbezogene Daten abgeflossen? Das ist die Königsfrage, die leider nicht immer zweifelsfrei beantwortet werden kann, da hier einige Rahmenbedingungen erfüllt werden müssen. Die Firewall muss die richtigen Daten protokollieren, diese Daten muss ich mit Daten auf den Servern korrelieren können, um so feststellen zu können, was wann wohin abgeflossen ist.

WIRTSCHAFT ONLINE: Es gibt unterschiedliche Methoden der IT-Forensik. Auf Ihrem Blog berichten Sie davon. Können Sie uns eine Auswahl klassischer Werkzeuge vorstellen?

Nico Müller: Generell gibt es zwei grundlegende Analysemethoden: Post Mortem oder Live. Bei Post Mortem Analysen liegt das Corpus Delicti, die Festplatte oder das Mobiltelefon, sozusagen in ausgeschaltetem Zustand auf dem Tisch. Bei Live-Analysen handelt es sich um Untersuchungen am lebenden bzw. laufenden Objekt, der Computer oder der Server ist noch eingeschaltet. Live-Analysen sind technisch anspruchsvoller als Post Mortem Analysen. Eine Live-Analyse geht auch immer mit der Manipulation des eigentlichen Untersuchungsgegenstandes einher. Dies lässt sich nicht verhindern. Hier ist es umso wichtiger, jeden Schritt mit seinen Auswirkungen zu dokumentieren. Folgendes Beispiel: Server XYZ verhält sich merkwürdig, der Lüfter und die Festplatte arbeiten und arbeiten, obwohl eigentlich keine Prozesse laufen sollten. Ich möchte den Sachverhalt analysieren, ohne den Server auszuschalten. Um meine Forensik-Werkzeuge auszubringen, muss ich mich am Server anmelden. Schon diese Anmeldung modifiziert Daten am Server. Welche Daten das sind, muss ich wissen und dokumentieren.

Eine wichtige Gruppe von Werkzeugen sind Disk Imaging-Software-Anwendungen, die dazu verwendet werden, forensische Abbilder von Festplatten oder Speichermedien zu erstellen. Beispiele für solche Software sind „EnCase“, „dd“ (unter Unix/Linux) und „FTK Imager“. Diese Abbilder sind eine genaue Kopie des ursprünglichen Datenträgers und dienen dazu, Beweise zu sichern und vor Veränderungen zu schützen.

Für die eigentliche forensische Analyse von digitalen Medien, Dateien und Metadaten gibt es spezialisierte forensische Analyse-Software. Hierzu gehören Tools wie Autopsy und The Sleuth Kit oder X-Ways Forensics. Mit diesen Anwendungen können IT-Forensiker Dateien und Ordner durchsuchen, Metadaten analysieren und Informationen über Aktivitäten auf einem System gewinnen.

Netzwerkanalyse-Tools wie „Wireshark“ und „Tcpdump“ werden verwendet, um Netzwerke und den Netzwerkverkehr zu überwachen und zu untersuchen. Malware-Analyse-Tools sind auf die Untersuchung schädlicher Software spezialisiert. „IDA Pro“ ist ein Beispiel für eine Software zur statischen Analyse von Binärdateien, während „Cuckoo Sandbox“ zur dynamischen Analyse von Malware verwendet wird.

Passwortknackwerkzeuge wie „John the Ripper“ und „Hashcat“ werden verwendet, um Passwörter zu entschlüsseln oder wiederherzustellen. Sie können hilfreich sein, um Zugang zu geschützten Systemen oder Daten wiederzuerlangen.

Ein weiterer wichtiger Bereich ist die Analyse von Aktivitäts- und Ereignisprotokollen. Hierzu werden Log-Analyse-Tools wie der „ELK Stack“ (Elasticsearch, Logstash, Kibana) eingesetzt, um Protokolldateien zu untersuchen und Informationen über Aktivitäten und Sicherheitsvorfälle zu gewinnen.

Schließlich gibt es mobile Forensik-Tools wie XRY von der schwedischen Firma MSAB, die zur Untersuchung von mobilen Geräten wie Smartphones und Tablets verwendet werden. Sie ermöglichen die Extraktion von Daten und Informationen aus diesen Geräten, was in Ermittlungen und forensischen Untersuchungen von großer Bedeutung sein kann.

Die Auswahl des richtigen Werkzeugs hängt von den spezifischen Anforderungen eines Falles ab, und IT-Forensiker müssen sich ihrer Funktionsweise und Einschränkungen bewusst sein, um genaue und zuverlässige Ergebnisse zu erzielen.

WIRTSCHAFT ONLINE: Ich fand bei der Recherche den Begriff der Stimmenforensik. Worum geht es hier?

Nico Müller: Korrekterweise handelt es sich um Audioforensik. Die Audioforensik hilft dabei, die Echtheit von Audioaufnahmen zu überprüfen, um sicherzustellen, dass sie nicht gefälscht oder manipuliert wurden. In Zeiten von DeepFake immer wichtiger werdend. Auch die Identifikation von Sprechern in Audiosequenzen ist möglich, um die Identität von Personen zu bestätigen oder zu überprüfen, die in der Aufnahme sprechen. Dies ist nützlich, um Zeugenaussagen zu überprüfen oder Verdächtige zu identifizieren.

WIRTSCHAFT ONLINE: Ebenfalls auf Ihrem Blog haben Sie einen Beitrag veröffentlicht: „Notfall Hackerangriff: So gelingt die Datenrettung in fünf Schritten“. Welche fünf Schritte sind dies denn?

Nico Müller: Es ist wichtig zu beachten, dass Hackerangriffe sehr unterschiedlich sein können und es keine Einheitslösung gibt. Die Schritte zur Datenrettung und zur Bewältigung des Angriffs sollten immer an die spezifischen Umstände und die Art des Angriffs angepasst werden. Überdies sollten Organisationen gut auf solche Notfälle vorbereitet sein, indem sie robuste Sicherheitsrichtlinien und -verfahren implementieren sowie regelmäßig Backups durchführen und ihre Mitarbeiter in Sicherheitsbewusstsein schulen.

Der erste Schritt besteht darin, den Hackerangriff erst einmal zu erkennen und sofort zu reagieren. Dies kann bedeuten, dass das betroffene System vom Netzwerk getrennt werden muss, um eine weitere Schädigung zu verhindern bzw. um den Angriff einzudämmen.

Nachdem der Angriff eingedämmt wurde, ist es wichtig, den Vorfall detailliert zu dokumentieren und die Beweise zu sichern. Notieren Sie, welche Systeme betroffen sind, welche Daten verloren gegangen sein könnten und welche Aktivitäten von den Hackern durchgeführt wurden. Dies hilft bei der späteren forensischen Analyse und bei der Identifizierung von Schwachstellen.

Wenn vorhanden, sollten auf vorhandene Datensicherungen zurückgegriffen werden, um verlorene oder beschädigte Daten wiederherzustellen. Es ist wichtig, sicherzustellen, dass die Backups intakt und nicht ebenfalls kompromittiert sind. Für eine sichere Datenwiederherstellung sind Indikatoren des Angriffs enorm wichtig. Indikatoren sind z.B. die eigentliche Malware. Nur so kann wirklich sichergestellt werden, dass die Backups nicht kompromittiert sind, und diese Indikatoren liefert die forensische Untersuchung. Die Datenwiederherstellung sollte immer in eine separate Zone erfolgen. Datenwiederherstellung aus Backups ist oft die schnellste und zuverlässigste Methode zur Datenrettung.

Parallel zur Datensicherung erfolgt die forensische Analyse, um den Angriff genauer zu verstehen und Hinweise auf die Taktiken und Methoden der Angreifer zu erhalten. Hierbei können auch forensische Analysewerkzeuge und -techniken eingesetzt werden, um den Umfang des Angriffs und die betroffenen Systeme zu ermitteln.

Nach der Analyse ist es entscheidend, die Sicherheitsmaßnahmen zu verstärken, um zukünftige Angriffe zu verhindern. Dies kann die Aktualisierung von Sicherheitsrichtlinien, die Implementierung zusätzlicher Schutzmaßnahmen, das Schulen von Mitarbeitern in Sicherheitsbewusstsein und die regelmäßige Überprüfung und Aktualisierung von Systemen und Software umfassen.

WIRTSCHAFT ONLINE: Sie bieten in Ihrer Forensik-Akademie Schulungen für Darknet-Ermittlungen, Bitcoin-Transaktionen, Reverse Engineering und Mobile Forensik an. Können Sie uns bitte etwas zu Ihrer Akademie erzählen? Wer ist Zielgruppe, wie und wo finden die Schulungen statt?

Nico Müller: Wissen ist wichtig und da wir uns mit unserem Business in einer Nische befinden, ist Wissen noch viel wichtiger. Unsere Forensik-Akademie ist ein Schulungszentrum, das sich auf die Ausbildung von Fachleuten in den Bereichen IT-Forensik spezialisiert hat. Diese Akademie bietet in der Regel Schulungen, Kurse und Zertifizierungen für Personen an, die im Bereich IT-Forensik und digitale Untersuchungen arbeiten möchten. Wir sind nicht nur vom BSI als APT-Response-Dienstleister akkreditiert, sondern dürfen auch die BSI-Fortbildungen zum BSI-Vorfall-Praktiker und Vorfall-Experten anbieten. Hier vermitteln unsere Incident Response und Forensik Experten das nötige Rüstzeug zur Bekämpfung und Analyse bei Verdachts- oder Cybervorfällen.

WIRTSCHAFT ONLINE: Sie sind Geschäftsführer der seit 2011 am Markt bestehenden Firma DigiFors GmbH. Wie hat sich die digitale Welt seitdem verändert und wo geht, Ihrer Meinung nach, die Reise beim Thema Cybersicherheit hin?

Nico Müller: Die digitale Welt hat sich seit 2011 erheblich verändert, und diese Veränderungen haben auch die Landschaft der Cybersicherheit stark beeinflusst. In den letzten Jahren gab es eine Zunahme der Vernetzung von Geräten und Systemen, wobei das Internet der Dinge (IoT) eine entscheidende Rolle spielt. Cloud Computing hat die Art und Weise verändert, wie Daten gespeichert und verarbeitet werden, und mobile Technologien sind weit verbreitet, was neue Sicherheitsanforderungen mit sich bringt. Die Verwendung von künstlicher Intelligenz (KI) und Automatisierung hat sowohl auf der Angreifer- als auch auf der Verteidigungsseite zugenommen. Cyberkriminalität und Hackerangriffe sind in Bezug auf Anzahl und Raffinesse gestiegen.

In Bezug auf die Zukunft der Cybersicherheit erwarte ich, dass Zero Trust Security an Bedeutung gewinnt, wobei jedes Gerät und jeder Benutzer kontinuierlich authentifiziert und überprüft wird. Die Automatisierung von Sicherheitsprozessen wird verstärkt, um auf Bedrohungen in Echtzeit zu reagieren. Es wird voraussichtlich mehr Datenschutzvorschriften geben, da Datenschutzverletzungen zunehmen. Der Mangel an qualifizierten Cybersicherheitsexperten wird anhalten, und Bewusstseinsbildung wird entscheidend sein, um Mitarbeiter und Nutzer über Cybersicherheitsrisiken aufzuklären.

Die Reise in der Cybersicherheit wird von einem fortwährenden Wettlauf zwischen Angreifern und Verteidigern geprägt sein, wobei die Verteidiger sich an neue Bedrohungen anpassen müssen. Eine starke Zusammenarbeit zwischen Unternehmen, Regierungen und der Cybersicherheitsgemeinschaft wird entscheidend sein, um diesen Herausforderungen zu begegnen.

Aus Sicht eines IT-Forensiker ist es wichtig, stets auf dem neuesten Stand zu bleiben, sich an die sich ständig ändernden Herausforderungen und Möglichkeiten anzupassen. KI-Modelle könnten dabei helfen, Muster in großen Datenmengen zu erkennen, Anomalien zu identifizieren und komplexe Zusammenhänge schneller zu verstehen. Dies könnte die Analysezeit deutlich verkürzen und die Effizienz von Forensikern steigern.

Augmented Reality (AR) und Virtual Reality (VR) könnten dazu verwendet werden, forensische Daten zu visualisieren und komplexe Datenstrukturen oder Ereignisketten interaktiv zu untersuchen. Auch weitere Automatisierung wird helfen, Prozesse und wiederkehrende Aufgaben zu beschleunigen.

Da Blockchain-Technologien immer häufiger in verschiedenen Anwendungen eingesetzt werden, könnten sie auch in der IT-Forensik genutzt werden, um die Integrität von digitalen Beweisen sicherzustellen.

WIRTSCHAFT ONLINE: Danke, Herr Müller, für Ihre Zeit und Ihre Antworten.

Ihre Kontaktperson

Bei Fragen hilft Ihnen Jenny Krick gerne weiter.

T: +49 341 1267-1176
M: +49 151 12671378
F: +49 341 1267-1290
E: jenny.krick@leipzig.ihk.de

Porträt Jenny Krick

Ähnliche Artikel

Krimilounge: Mann raucht und tippt auf einer altmodischen Schreibmaschine Unser gefährliches Angebot während der Buchmesse

Krimilounge in der IHK zu Leipzig

26. Februar 2024

Während der Leipziger Buchmesse darf auch in diesem Jahr in den Räumen der IHK zu Leipzig nach Täterinnen und Tätern gejagt werden. Die Krimilounge ist hier traditionell Austragungsort spannender Lesungen. 2024 ebenfalls mit Andreas M. Sturm, Franziska Steinhauer und anderen.

Jetzt lesen
Man zündet Wunderkerze im Freien mit Feuerwerk im hintergrund Ein Jahr geht zu Ende

Rückschau 2023 und Hoffnung für 2024

27. Dezember 2023

Was war das für ein Jahr! Selten gab es so viele Brüche, selten wurde die regionale Wirtschaft vor solche Herausforderungen gestellt. Die überbordende Bürokratie grenzt ans Absurde, die viel zu langsame und inkonsequente Umsetzung von Lösungen erschwert das Wirtschaften immer mehr.

Jetzt lesen
Frage der Woche IHK Service Team Frage der Woche Nr. 50

„Stellt die IHK zu Leipzig Urkunden für Dienstjubiläen aus?“

11. Dezember 2023

In dieser Woche antwortet das Service-Team der IHK zu Leipzig auf unsere FRAGE DER WOCHE.

Jetzt lesen