Beweise sichern nach IT-Angriffen

Die Analyse

Sind diese Punkte abgeschlossen, geht es an die Sicherung der Beweismittel zur anschließenden Analyse. Es wird zwischen Live- und Dead-Analyse unterschieden. Live-Analyse bedeutet, dass im laufenden System analysiert wird. Bei der Dead-Analyse hingegen wird nur mit den Daten gearbeitet, die auf einem Datenträger gespeichert sind, nachdem der eigentliche Computer abgeschaltet wurde. Sind die wichtigsten Beweismittel gesichert, erhält der Kunde eine Kopie der gesammelten Daten. Die weitere Untersuchung findet in der Regel aber beim Dienstleister statt.

Bei allen Spuren gilt es nun, folgende Fragen zu klären:

• Wer hat es getan?

• Warum wurde es getan?

• Wann wurde es getan?

• Was genau wurde getan?

• Von welchem Ort aus wurde es getan?

• Welche Programme und Hilfsmittel wurden dabei verwendet?

Der Analyst versucht also, den genauen Tathergang möglichst lückenlos nachzustellen beziehungsweise Auffälligkeiten in der Datenflut aufzuspüren. Als Datenquelle dienen ihm dabei komplette Kopien von Datenträgern, Logdateien oder Memory dumps. Vormals gelöschte Dateien werden wieder hergestellt, es wird nach Schlüsselwörtern und Verletzungen von Zugriffserlaubnissen gesucht. Wichtig ist dabei, dass grundsätzlich nie mit den Originaldatenträgern gearbeitet wird. Alle Untersuchungen werden immer an Kopien durchgeführt, nicht zuletzt, weil die Originaldatenträger im Unternehmen meist benötigt werden, während die Untersuchung läuft.

Am Ende der Analyse steht schließlich der Abschlussbericht. Im Idealfall konnte festgestellt werden, wer der Angreifer war, was seine Motive waren, was genau passiert ist, in welchem Zeitraum der Angriff stattfand und auch, wie hoch das Restrisiko einzuschätzen ist. Natürlich sollte ein Hinweis nicht fehlen, wie das Unternehmen ähnliche Vorfälle in Zukunft vermeiden kann.