Was gute Tools für IT-Forensik auszeichnet

Cyberattacken gehören zur Tagesordnung. Einen hundertprozentigen Schutz vor Cyberangriffen gibt es nicht. Es ist nur eine Frage der Zeit, bis ein Unternehmen davon betroffen ist. Dann schlägt die Stunde von Forensik-Tools, die Ermittlungsteams bei der Untersuchung der Vorfälle, der Sicherung von Beweisen und der Einleitung von Gegenmaßnahmen unterstützen. Für Unternehmen ist es daher wichtig, sich auf den Ernstfall vorzubereiten und koordinierte Prozesse für die Analyse der Sicherheitsvorfälle und die Wiederherstellung des normalen Geschäftsbetriebs aufzusetzen.

„Bei der Reaktion auf Security-Breaches führen manuelle Prozesse und schlecht integrierte Forensik-Lösungen unweigerlich ins Chaos. Unternehmen brauchen Tools, die sich gut in ihre Systemlandschaften einfügen und bei denen sich die Technologien perfekt ergänzen, sodass sie Untersuchungen weitgehend automatisiert durchführen und schnell und zielgerichtet auf Bedrohungen reagieren können“, sagt Jens Reumschüsse vom Forensik-Anbieter Exterro. Manuelle Untersuchungen sind meist zu aufwendig und komplex, sodass Ermittlungsteams auf digitale Forensik-Tools angewiesen sind, um eine Vielzahl räumlich verteilter Systeme zu prüfen und zügig alle benötigten Informationen zusammenzutragen. Exterro gibt Tipps, auf was Unternehmen achten sollten und wie sie im Fall des Falles vorgehen sollten:

  • Großer FunktionsumfangCyberkriminelle setzen heute auf sehr raffinierte Angriffsmethoden und verwischen ihre Spuren geschickt, um eine Entdeckung zu vermeiden. Forensik-Tools brauchen deshalb umfangreiche Fähigkeiten, um die vielfältigen Aktivitäten von Malware und Hackern aufzuspüren. Unabhängig von den eingesetzten Systemen und der darauf laufenden Software müssen sie in der Lage sein, Anwender- und Systemdaten zu sichern, aufzubewahren und zu analysieren. Zu den Anwenderdaten zählen beispielsweise Informationen von Festplatten, aus dem Arbeitsspeicher und von Peripheriegeräten, zu den Systemdaten unter anderem Informationen zu Zugriffen auf Programme, Daten und Netzwerkverbindungen. Das Spektrum ist extrem weit gefasst und geht deutlich über die Fähigkeiten von Lösungen für Endpoint Detection and Response (EDR) hinaus, die sich nur sehr begrenzt für forensische Untersuchungen eignen. Gute Forensik-Tools entdecken Manipulationen an Daten und Einstellungen auf unterschiedlichsten Systemen und sind auch in der Lage, gelöschte Daten zurückzuholen.
  • Automatisierung manueller ProzesseBei Cyberattacken kommt es auf schnelle Reaktionen und eine umgehende Beweissicherung an, um größere Schäden abzuwenden. Die manuelle Untersuchung tausender Rechner an weltweit verteilten Standorten und von Systemen in der Public Cloud ist jedoch sehr zeit- und ressourcenaufwendig, weshalb Forensik-Tools umfangreiche Automatisierungsfunktionen mitbringen sollten. So liefern sie schnell Fakten, was passiert und nun zu tun ist, und dokumentieren alle Erkenntnisse und Beweise zuverlässig.
  • Anpassbarkeit und FlexibilitätGute Forensik-Tools fügen sich nahtlos in die unterschiedlichsten System- und Anwendungslandschaften ein und erlauben sehr individuelle Anpassungen, um spezifische Sicherheitsvorfälle detailliert untersuchen zu können. Ein Schlüssel dafür sind Skripting-Fähigkeiten, durch die sich viele Abläufe effizienter gestalten und vorgegebene Szenarien automatisiert bearbeiten lassen. Ein Skript könnte beispielsweise einen verdächtigen Endpoint automatisch vom Netz trennen, um Datenabflüsse zu verhindern, und direkt mit der Sammlung von Beweisen und der Suche nach dem Ursprung des Angriffs beginnen. Das spart Sicherheits- und Ermittlungsteams wertvolle Zeit.
  • Rechtliche AbsicherungForensik-Tools helfen nicht nur, Attacken aufzuspüren und einzudämmen sowie ihren Ursprung und die betroffenen Systeme zu ermitteln. Sie schützen Unternehmen auch in rechtlichen Auseinandersetzungen, indem sie dabei helfen nachzuweisen, dass zum Zeitpunkt des Angriffs die Datenschutzgesetze, Compliance-Vorgaben und andere regulatorische Anforderungen erfüllt wurden. Darüber hinaus sichern sie alle Untersuchungsergebnisse beweiskräftig, sodass sie vor Gericht bestehen und nicht anfechtbar sind. Dafür nehmen Forensik-Tools während des gesamten Untersuchungsprozesses regelmäßig Überprüfungen vor und legen bei Bedarf sogar eine komplette Image-Sicherung von Endpoints an, sodass Unternehmen durchgängig belegen können, dass Ergebnisse weder mutwillig noch versehentlich verändert wurden.
  • SkalierbarkeitFür den Einsatz in großen Unternehmen mit tausenden oder zehntausenden Endgeräten müssen Forensik-Tools nahtlos skalieren. Nur so sind sie in der Lage, nach einem Sicherheitsvorfall auch eine große Zahl potenziell betroffener Systeme mit einem einzigen Klick zu untersuchen.

Roger Homrich

Recent Posts

Mehr Datenschutz in der Montage

Assistenzsysteme unterstützen Monteure bei der Arbeit. Zu oft zahlt man jedoch mit den eigenen Daten…

1 Tag ago

Cyber Resilience Act: Countdown läuft

Hersteller werden stärker in die Pflicht genommen, den gesamten Lebenszyklus ihrer Produkte in den Blick…

1 Tag ago

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

2 Tagen ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

2 Tagen ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

2 Tagen ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

3 Tagen ago