Wie schließt man am besten auf Täter und Tatumstände?

Indem man während der Tatortarbeit die Spuren einer Tat untersucht. Bei Ermittlungsbehörden übernimmt die Spurensicherung diese Aufgabe. Bei IT-Sicherheitsvorfällen kümmert sich das CERT (Computer Emergency Response Team) inklusive IT-Forensiker um die Sicherstellung der Hinweise und Bereinigung der Systeme. Die klassischen Tätigkeiten der SpuSi umfassen die Spurensuche, Spurenerfassung und die Spurenauswertung – kein Unterschied zum IT-Forensiker.

Wie beginnt die Spurensicherung?

Immer und wirklich immer mit der Sicherung des Tatorts. Aus einem Grund: Es dürfen keine neuen Spuren gesetzt und keine vorhandenen Spuren verunreinigt werden. Und dies gilt ebenso für den Tatort „Informationssysteme“.

Machen Sie den IT-Forensikern die Arbeit nicht schwerer als sie sein muss und versuchen Sie nicht selbstständig die Spuren des Angriffs zurückzuverfolgen. Einen Sicherheitsvorfall zu erleben ist nervenaufreibend und man tendiert dazu unbedingt etwas tun zu wollen. Das ist vollkommen verständlich. Deswegen halten Sie sich im Falle des Falles einfach an die folgenden Handlungsempfehlungen. Mit diesen haben Sie das Gefühl einen sinnvollen Beitrag zu leisten, weil Sie ihn auch tatsächlich leisten: Sie sichern die Spuren des Cyberangriffs, helfen gleichzeitig bei der Behebung des Vorfalls und beschäftigen Ihre nervösen Hände.

Wie Sie den Tatort richtig absperren:

Um möglichst wenig Hinweise auf den Cyberangriff zu verwischen, sollten Sie sich an ein paar „Regeln“ halten.

Bemerken Sie einen Security Incident verfallen Sie nicht in Panik, sondern bewahren Sie Ruhe. Panik ist selten ein guter Berater.
Stellen Sie die weitere Arbeit an den IT-Systemen ein.
Melden Sie den Sicherheitsvorfall einem auf Incident Response spezialisierten Unternehmen wie uns und fordern Sie Hilfe an. Finden Sie am besten schon Antworten auf folgende Fragen: Was ist passiert? Welche Systeme sind betroffen? Wann ist das passiert? Wo soll sich das CERT einfinden?
Dokumentieren Sie Ihre Beobachtungen. Alle Hinweise sind zur erfolgreichen Aufklärung und zur Prävention weiterer Angriffe hilfreich.

Welche Spuren Sie selbst sichern können:

Um die Arbeit des CERTs zu erleichtern, können Sie folgende Maßnahmen selber einleiten:

Konservieren Sie Systeme:

Hardware-Systeme und Server ausschalten oder Netzwerkstecker ziehen
Schalten Sie virtuelle Systeme, die über Hyper-V oder VMware gehostet werden, nicht aus sondern isolieren Sie diese vom Netzwerk

Sichern Sie relevante Logs:

Firewall-Logs
Proxy-Zugriffs-Logs
Ereignisverzeichnisprotokolle

Letztere liegen unter:

C:\Windows\System32\winevt\Logs im Format *.evtx.

Relevant sind hier Ereignisse über:

Security
System
Application
Microsoft-Windows-Powershell/Operational
Microsoft-Windows-Powershell/Admin
Microsoft-Windows-CMBClient/Operational
Microsoft-Windows-RemoteConnectionManager/Operational
Microsoft-Windows-LocalSessionManager/Operational

Erstellen Sie eine Liste aller vorhandenen/genutzten Systemen mit Namen und IP-Adresse:

Domain Controller
DNS-Server
Mailserver
Fileserver
Datenbankserver
Virenscanner-Managementsysteme

Erstellen Sie eine Liste der Domain-Administratoren

Falls vorhanden: Eine Liste von Netzsegmenten

VPN-Netz
DMZ
Produktionsnetz
Client-Netz
Server-Netz

Abschließend noch ein Rat: Sollten Sie selbst Viren auf Ihren Systemen finden, laden Sie diese keinesfalls auf Portalen wie z.B. VirusTotal hoch. Sie fragen sich warum? Sollte ein Angreifer den Virus speziell für Ihr Unternehmen entwickelt, aber seine eigentliche Attacke noch nicht gestartet haben, dann spätestens jetzt. Sobald der Virus auf dem Portal veröffentlicht wurde, weiß der Angreifer um seine Entdeckung und beginnt vielleicht die Verschlüsselung, um seine eigenen Spuren zu verwischen.

Spurensicherung - Arbeit am Tatort