W(h)at
is IT?

IT-Forensik

Informationssicherheit sollte ein zentraler Bestandteil erfolgreicher Geschäftsstrategien sein. In fast allen Organisationen und Unternehmen werden heute technische Lösungen zur Erhöhung des Sicherheitsniveaus eingesetzt, Prozesse entsprechend angepasst. Trotz aller Maßnahmen, lassen sich Sicherheitsvorfälle niemals ganz vermeiden. Die Möglichkeiten ein bestehendes System/eine bestehende Infrastruktur zu infiltrieren, auszuspähen und mithilfe der gewonnenen Daten und Zugriffe Geld zu stehlen oder das Unternehmen zu erpressen (Ransomware), sind mannigfaltig.

Eingriffe in die IT-Sicherheit eines Unternehmens sind kriminell und werden strafrechtlich verfolgt. Anders als bei analog begangenen Verbrechen, sind die Täter oft nicht vor Ort und folglich physisch nicht sofort greifbar. Spuren hinterlassen sie dennoch. Hier kommt die IT-Forensik ins Spiel. Spezialisten schlüpfen in die Rolle des Hackers, versuchen wie der Kriminelle zu denken, sichern Spuren und Beweise. Je besser das Incident Management respektive je besser die Antwort/Reaktion auf einen IT-Sicherheitsvorfall vorbereitet ist (Incident Response), desto schneller kann ein Unternehmen auch wieder in Betrieb genommen werden und funktionieren. 

Definition

IT-Forensik ist die streng methodisch vorgenommene Datenanalyse auf Datenträgern und in Computernetzen zur Aufklärung von Vorfällen unter Einbeziehung der Möglichkeiten der strategischen Vorbereitung insbesondere aus der Sicht des Anlagenbetreibers eines IT-Systems.

Bundesamt für Sicherheit in der Informationstechnik (BSI)

Praxisbezug

Incident Response Einsätze, sprich das schnelle Reagieren auf einen IT-Sicherheitsvorfall, und forensische Analysen sind häufig komplex und müssen oft unter Zeitdruck durchgeführt werden. Dabei ist jeder Fall anders und erfordert ein umfassendes Wissen vom gesamten Analyseteam.

Gesetzliche Regelung

IT-Forensik ist auch ein politisches Thema. Es geht dabei sowohl darum, welche staatlichen Stellen digitale Spuren suchen, aber auch darum, was Behörden dürfen. Die Landeskriminalämter und das Bundeskriminalamt (BKA) müssen auch digitale Straftaten aufklären – die Polizei nutzt also IT-Forensik. Bei Angriffen auf kritische Infrastrukturen, wird das Bundesamt für Sicherheit in der Informationstechnik (BSI) aktiv, auch die Bundeswehr, Geheimdienste und andere Behörden haben digitale Forensiker. In der politischen Debatte geht es um Ausweitungen der Kompetenzen für Behörden (Stichworte: Bundestrojaner und Quellen-Telekommunikationsüberwachungen) und darum, ob auch Unternehmen, die keine kritische Infrastruktur sind, nach Angriffen vom BSI unterstützt werden sollten.

Mitarbeiterzitat

Es macht Spaß sein Wissen einzubringen und bei jedem Einsatz immer noch viele neue Erfahrungen zu sammeln. Zudem ist es schön zu sehen, wie alle beteiligten Personen im Laufe des Projekts zusammenwachsen und gemeinsam daran arbeiten, den Angriff aufzuklären und das Netzwerk der betroffenen Unternehmen zu bereinigen

Nico Jansen, IT Forensiker bei @-yet

Warum ist das für die Geschäftsführung wichtig?

Die gesammelten Daten aus der IT-Forensik dienen der Aufklärung von Vorfällen und im besten Fall als Beweise vor Gericht. Forensische Kopien der IST-Zustände werden gesichert und so in aller Regel gerichtsfest – also juristisch als Beweis anerkannt. Nur so bekommt ein Unternehmen die Möglichkeit, aktiv gegen Cyberkriminalität vorzugehen, Täter zu identifizieren und sich für zukünftige Angriffe zu wappnen.