Cyberattacken gehören zur Tagesordnung. Einen hundertprozentigen Schutz vor Cyberangriffen gibt es nicht. Es ist nur eine Frage der Zeit, bis ein Unternehmen davon betroffen ist. Dann schlägt die Stunde von Forensik-Tools, die Ermittlungsteams bei der Untersuchung der Vorfälle, der Sicherung von Beweisen und der Einleitung von Gegenmaßnahmen unterstützen. Für Unternehmen ist es daher wichtig, sich auf den Ernstfall vorzubereiten und koordinierte Prozesse für die Analyse der Sicherheitsvorfälle und die Wiederherstellung des normalen Geschäftsbetriebs aufzusetzen.
„Bei der Reaktion auf Security-Breaches führen manuelle Prozesse und schlecht integrierte Forensik-Lösungen unweigerlich ins Chaos. Unternehmen brauchen Tools, die sich gut in ihre Systemlandschaften einfügen und bei denen sich die Technologien perfekt ergänzen, sodass sie Untersuchungen weitgehend automatisiert durchführen und schnell und zielgerichtet auf Bedrohungen reagieren können“, sagt Jens Reumschüsse vom Forensik-Anbieter Exterro. Manuelle Untersuchungen sind meist zu aufwendig und komplex, sodass Ermittlungsteams auf digitale Forensik-Tools angewiesen sind, um eine Vielzahl räumlich verteilter Systeme zu prüfen und zügig alle benötigten Informationen zusammenzutragen. Exterro gibt Tipps, auf was Unternehmen achten sollten und wie sie im Fall des Falles vorgehen sollten:
- Großer Funktionsumfang
Cyberkriminelle setzen heute auf sehr raffinierte Angriffsmethoden und verwischen ihre Spuren geschickt, um eine Entdeckung zu vermeiden. Forensik-Tools brauchen deshalb umfangreiche Fähigkeiten, um die vielfältigen Aktivitäten von Malware und Hackern aufzuspüren. Unabhängig von den eingesetzten Systemen und der darauf laufenden Software müssen sie in der Lage sein, Anwender- und Systemdaten zu sichern, aufzubewahren und zu analysieren. Zu den Anwenderdaten zählen beispielsweise Informationen von Festplatten, aus dem Arbeitsspeicher und von Peripheriegeräten, zu den Systemdaten unter anderem Informationen zu Zugriffen auf Programme, Daten und Netzwerkverbindungen. Das Spektrum ist extrem weit gefasst und geht deutlich über die Fähigkeiten von Lösungen für Endpoint Detection and Response (EDR) hinaus, die sich nur sehr begrenzt für forensische Untersuchungen eignen. Gute Forensik-Tools entdecken Manipulationen an Daten und Einstellungen auf unterschiedlichsten Systemen und sind auch in der Lage, gelöschte Daten zurückzuholen. - Automatisierung manueller Prozesse
Bei Cyberattacken kommt es auf schnelle Reaktionen und eine umgehende Beweissicherung an, um größere Schäden abzuwenden. Die manuelle Untersuchung tausender Rechner an weltweit verteilten Standorten und von Systemen in der Public Cloud ist jedoch sehr zeit- und ressourcenaufwendig, weshalb Forensik-Tools umfangreiche Automatisierungsfunktionen mitbringen sollten. So liefern sie schnell Fakten, was passiert und nun zu tun ist, und dokumentieren alle Erkenntnisse und Beweise zuverlässig. - Anpassbarkeit und Flexibilität
Gute Forensik-Tools fügen sich nahtlos in die unterschiedlichsten System- und Anwendungslandschaften ein und erlauben sehr individuelle Anpassungen, um spezifische Sicherheitsvorfälle detailliert untersuchen zu können. Ein Schlüssel dafür sind Skripting-Fähigkeiten, durch die sich viele Abläufe effizienter gestalten und vorgegebene Szenarien automatisiert bearbeiten lassen. Ein Skript könnte beispielsweise einen verdächtigen Endpoint automatisch vom Netz trennen, um Datenabflüsse zu verhindern, und direkt mit der Sammlung von Beweisen und der Suche nach dem Ursprung des Angriffs beginnen. Das spart Sicherheits- und Ermittlungsteams wertvolle Zeit. - Rechtliche Absicherung
Forensik-Tools helfen nicht nur, Attacken aufzuspüren und einzudämmen sowie ihren Ursprung und die betroffenen Systeme zu ermitteln. Sie schützen Unternehmen auch in rechtlichen Auseinandersetzungen, indem sie dabei helfen nachzuweisen, dass zum Zeitpunkt des Angriffs die Datenschutzgesetze, Compliance-Vorgaben und andere regulatorische Anforderungen erfüllt wurden. Darüber hinaus sichern sie alle Untersuchungsergebnisse beweiskräftig, sodass sie vor Gericht bestehen und nicht anfechtbar sind. Dafür nehmen Forensik-Tools während des gesamten Untersuchungsprozesses regelmäßig Überprüfungen vor und legen bei Bedarf sogar eine komplette Image-Sicherung von Endpoints an, sodass Unternehmen durchgängig belegen können, dass Ergebnisse weder mutwillig noch versehentlich verändert wurden. - Skalierbarkeit
Für den Einsatz in großen Unternehmen mit tausenden oder zehntausenden Endgeräten müssen Forensik-Tools nahtlos skalieren. Nur so sind sie in der Lage, nach einem Sicherheitsvorfall auch eine große Zahl potenziell betroffener Systeme mit einem einzigen Klick zu untersuchen.