Nachgefragt bei Hans-Peter Bauer, McAfee

Cyberkriminelle auf frischer Tat ertappen

Interview mit Hans-Peter Bauer, Vice President Central & Eastern Europe beim Sicherheitsexperten McAfee

Hans-Peter Bauer, McAfee

Hans-Peter Bauer, Vice President Central & Eastern Europe bei McAfee

IT-DIRECTOR: Was versteht man gemeinhin unter dem Begriff der IT-Forensik?
H.-P. Bauer:
Unter IT-Forensik oder auch Computerforensik versteht man die Ermittlung und rechtliche Beweisführung von verdächtigen Vorfällen innerhalb eines digitalen Systems oder digitaler Medien. Ziel ist es, Fakten und Meinungen aus den Informationen zu gewinnen, zu erhalten, wiederherzustellen, zu analysieren und diese darzulegen.

IT-DIRECTOR: Welche Lösungen decken das Feld der IT-Forensik am besten ab?
H.-P. Bauer:
Die Besonderheiten der unterschiedlichen Lösungen sind nicht relevant. Wichtiger für die Forensik sind die Fähigkeiten der Ermittler. Fehler bei der Ermittlung können dazu führen, dass der Nachweis kompromittiert ist, oder dass die Quelle des Angriffs nicht exakt bestimmt wird, so dass man nicht sagen kann, ob die Organisation immer noch gefährdet ist.

IT-DIRECTOR: Welche Schritte sollte ein Unternehmen bei dem Verdacht auf einen Hackerangriff, Datendiebstahl oder -missbrauch auf jeden Fall einleiten?
H.-P. Bauer:
Intelligenz! Dies ist der wertvollste „Rohstoff“ jeder Organisation, die vermutet, Opfer eines Hacking-Angriffs geworden zu sein. Was wurde gestohlen? Von wem? Sind wir immer noch gefährdet? Und so weiter. Auf diese Fragen müssen Organisationen in der Praxis Antworten finden, diese innerhalb des Reaktionsplans klar definieren und daraufhin regelmäßig testen.

IT-DIRECTOR: Welche klassischen forensischen Werkzeuge gibt es, um möglicherweise gelöschte Daten wiederherstellen, auslesen und analysieren zu können?
H.-P. Bauer:
Es gibt eine ganze Menge an Tools für die Computerforensik. Diese reichen von Werkzeugen für Computer, die Informationen vom Speicher extrahieren, bis hin zu dem wachsenden Bereich der mobilen Forensik. Weiterhin gibt es sowohl kommerzielle als auch frei verfügbare Tools. Ein gute Übersicht liefert Wikipedia unter: en.wikipedia.org/wiki/List_of_digital_forensics_tools

IT-DIRECTOR: Wo liegen derzeit die größten technischen wie organisatorischen Herausforderungen für die IT-Forensik?
H.-P. Bauer:
Verfügbarkeit ist wohl das größte Problem. Für eine forensische Analyse muss man das physikalische System offline schalten und vom Standort entfernen. Der gegenwärtige Trend hin zur Virtualisierung und zum Cloud Computing erschwert dies noch zusätzlich. Einige Organisationen denken sicherlich, dass ein Verlust der Verfügbarkeit eines wichtigen Systems schlimmer sei als ein möglicherweise angegriffenes System.

IT-DIRECTOR: Welche Schwachstellen haben IT-forensische Verfahren momentan? Wie können diese künftig geschlossen werden?
H.-P. Bauer:
Es gibt derzeit noch viele Schwachstellen. Zu den größten gehören sicherlich die juristische Seite und der Rechtsvollzug. Eine weitere Schwachstelle sehen wir aufgrund des vermehrt auftretenden Cloud Computing. Beim Cloud Computing ist es möglich, so gut wie alle Daten einer Organisation von entfernten Standorten aus nachzubilden. Eine große Menge an Informationen steht heute per Remote-Zugriff bereit. Erschwerend kommt hinzu, dass viele Cloud-Anbieter nicht in Ermittlungen involviert werden möchten. Auch erstellen die Anbieter unterschiedliche Log-Arten. Das erschwert die Aufgabe der Forensiker nicht nur, sondern es stellt sich auch die Frage, ob bestimmte Log-Arten überhaupt vor Gericht verwertbar sind. Ein gewisses Maß an Kohärenz ist wichtig und Microsoft fordert lautstark die Entwicklung einer Vereinheitlichung bei den Anbietern.

IT-DIRECTOR: Welchen Stellenwert können die Ergebnisse der IT-Forensik für interne, zivil- oder strafrechtliche Ermittlungen besitzen?
H.-P. Bauer:
Diese sind absolut unumgänglich. In einem kürzlich geführten Gespräch mit einem leitenden Regierungsmitglied für Rechtsprechung wurde dargelegt, das bei den meisten Straftaten heute irgendeine Art von digitalem System beteiligt ist. Ein Fehler bei den rechtlich zulässigen Beweisen bedeutet, dass jede Art von Ermittlung ohne Forensik unmöglich ist.

IT-DIRECTOR: Inwieweit arbeiten Unternehmen im Rahmen der IT-Forensik Hand in Hand mit behördlichen Einrichtungen, wie beispielsweise BSI, BKA, BND, etc.?
H.-P. Bauer:
Viele Organisationen arbeiten in der Tat mit Behörden zusammen, da sie wollen, dass die Angreifer zur Rechenschaft gezogen werden. Es gibt aber auch solche, die die Öffentlichkeit meiden oder sogar von Cyberkriminellen erpresst werden und sich deshalb nicht an behördliche Einrichtungen wenden.

IT-DIRECTOR: Können Sie uns bitte ein konkretes Beispiel nennen, bei dem Computerkriminalität mithilfe von IT-Forensik aufgeklärt werden konnte?
H.-P. Bauer:
Ein gutes Beispiel für die Aufklärung durch IT-Forensik ist „Operation Night Dragon“, bei der Cyberkriminelle 2011 Öl- und andere Energiekonzerne ausspioniert haben. Dabei sind die Hacker in Webserver eingedrungen, haben Desktops kompromittiert, Sicherungen mit gestohlenen Administratorpasswörtern umgangen und mit Fernwartungstools Informationen gestohlen. Gemeinsam mit anderen Sicherheitsfirmen und mithilfe der Forensik haben wir damals die Methode enttarnt und konnten daraufhin einen Schutz dagegen anbieten. Dazu haben wir auch ein Whitepaper veröffentlicht, das als Download zur Verfügung steht.

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok