Aus- & Weiterbildung

Cybersecurity: Welche Schritte umfasst eine forensische Analyse?

15. Juni 2020

Zertifizierte Kompetenz, um Angriffe abzuwehren und Werte zu schützen auf der Basis von BSI/ISO. Darum geht es in 15 intensiven Tagen unseres Lehrgangs. Neben Risikoanalysen, Security Frameworks und einem Deep Dive in Cybersecurity-Technologien, schreiben unsere Absolventinnen und Absolventen einen Blogbeitrag. Dieser ist von Belinda Burger.

Vom Krimi in die Privatwirtschaft: Eine forensische Analyse ist ein wichtiges Hilfsmittel, um verdächtige Aktivitäten zu untersuchen, zu dokumentieren und um einen Verantwortlichen zu ermitteln und daher nicht nur ein Mittel für die Kriminalermittlung. Auch in der Privatwirtschaft wird diese Methodik daher im Zuge der Cybersecurity immer wichtiger.

Die forensische Analyse wird genutzt, um den Hergang von IT-Vorfällen zu rekonstruieren. Dabei werden digitale Spuren gesichert und im Kontext analysiert. Unter digitalen Spuren versteht man sämtliche Aktionen, die in einer IT-Umgebung durchgeführt werden. Beispiele dafür sind:

  • ausgeführte Applikationen
  • erfolgte Anmeldungen aus einem System
  • Systembefehle
  • Zugriffe und Downloads von Dateien
  • Verbindungen mit externen Geräten
  • Anmeldungen von externen Netzwerken

Um eine forensische Analyse durchführen zu können, müssen klare Richtlinien befolgt werden. Eine grosse Wichtigkeit spielt hier die Integrität der gewonnenen Daten.

Forensische Untersuchungsschritte im Überblick
Der forensische Prozess lässt sich in einzelne Untersuchungsschritte bzw. Methoden einteilen. Das BSI teilt den Prozess hier in sechs Untersuchungsabschnitte auf:

  • strategische Vorbereitung: Massnahmen, die vor einem Vorfall getätigt werden. Typische Massnahmen sind hierbei beispielsweise die Aktivierung von Logdiensten.
  • operationale Vorbereitung: Massnahmen, die nach dem Vorfall jedoch vor der Datensammlung stattfinden. Vorfall- und Bestandsaufnahme gehören hier zu den Tätigkeiten.
  • Datensammlung: Massnahmen zur Datensammlung sind beispielsweise Abbilder von existierenden Systemen. Die Beweissicherung muss hier jedoch gewährleistet sein, daher müssen sämtliche erzeugte Abbilder mit einem kryptographischen Verfahren gesichert werden.
  • Untersuchung: In der Untersuchung werden forensisch wertvolle Daten explizit extrahiert.
  • Datenanalyse: Eine detaillierte Analyse mit den gesammelten Daten wird  vorgenommen. Hier kommen Massnahmen zum Zuge, die es ermöglichen, die verschiedenen Verbindungen zwischen Daten, Geräten oder Netzwerken herzustellen und so zum Beispiel die Quelle festlegen zu können.
  • Dokumentation: Die involvierten Geräte, gesammelten Daten und Erkenntnisse werden nun zu einer Ergebnis- und Gesamtdokumentation zusammengetragen.

Diese Untersuchungsschritte werden sowohl in der Betriebssystem-, Netzwerk- und Memory-Forensik angewandt.

Betriebssystem-Forensik
Die System-Forensik ist ein Gebiet der IT-Forensik, bei der wertvolle Informationen aus einem System oder Betriebssystem gewonnen werden können. Um jedoch Daten aus einem Betriebssystem sammeln zu können, muss zuerst eine Definition festgelegt werden. Das BSI definiert ein Betriebssystem wie folgt:

Unter einem Betriebssystem werden nach der Norm DIN 44300 [ITW08] die Programme eines digitalen Rechensystems verstanden, die zusammen mit den Rechenanlage-Eigenschaften die Grundlage der möglichen Betriebsarten des Rechensystems bilden und insbesondere die Abwicklung von Programmen überwachen und steuern.

Im Betriebssystem können generell umfangreiche Informationen gesammelt werden, da hier ein Grossteil der forensischen Datenquelle verwaltet wird. Dabei fallen teils auch Daten zum Netzwerk oder zu einer genutzten Verbindung an.

Netzwerk-Forensik
In der Netzwerk-Forensik wird der Fokus auf Untersuchungen gelegt, die ein Netzwerk betreffen. Dabei werden Informationen über ein Netzwerk oder dessen Aktivitäten gewonnen und analysiert. Die genutzte Methodik in der Netzwerk-Forensik ist unterschiedlich. Die Beobachtungen eines Netzwerkes können daher entweder gezielt oder gesamtheitlich sein. Grundsätzlich wird jedoch versucht, eine zeitliche Abfolge von Netzwerk-Ereignissen zu erstellen, wobei IP-Adresse sowie verschlüsselte und unverschlüsselte Nachrichten gesammelt werden.

In der Netzwerk-Forensik werden grundsätzlich zwei verschiedene Arten von Systemen genutzt, um Netzwerkdaten und -verkehr zu sammeln.

  • Catch-it-as-you-can: Alle Datenpakete werden durch einen Netzwerkverkehrspunkt geschleust und in einer Datenbank gesichert. Die Analyse der Daten basiert rein auf gespeicherten Daten. Die gewonnenen Ergebnisse sollen ebenfalls in der Datenbank gespeichert werden. Die Problematik bei diesem System ist, dass es eine hohe Speicherkapazität benötigt, die oftmals mit zusätzlichen Kosten verbunden ist.
  • Stop-look-listen: Hier werden nur die für die Analyse benötigten Daten in einer Datenbank gesichert. Der eingehende Datenverkehr wird gefiltert und im Arbeitsspeicher in Echtzeit analysiert. Die Speicherkapazität ist hier massiv kleiner, jedoch wird ein stärkerer Prozessor benötigt.

Memory-Forensik
Die Memory-Forensik fokussiert sich auf die Findung und Auswertung von forensischen Informationen aus dem Arbeitsspeicher. Die Memory-Forensik gilt in der Zwischenzeit ebenfalls als essenzieller Bestandteil einer forensischen Untersuchung, da unter anderem Informationen gefunden werden können, die nur in im Arbeitsspeicher ersichtlich sind. Der Arbeitsspeicher enthält dabei wichtige Informationen über Prozesse, aktive Netzwerkverbindungen, zugegriffene Dokumente und Laufzeitzustand des Rechners, solange dieser mit Strom versorgt wird.

Fazit
Forensische Mittel werden zur Sicherstellung von geschehenen Vorfällen genutzt. Dadurch soll eruiert werden, wie ein Sicherheitsrisiko entstanden ist. Wichtig ist hier, dass die Dokumentation aller Teilschritte und die Gesamtdokumentation ausführlich nachgefasst sind. Zudem soll beachtet werden, dass Informationen sowohl im Betriebssystem, Netzwerk und im Arbeitsspeicher gefunden werden können und um ein ganzheitliches Bild zu erlangen, alle involvierten Systeme analysiert werden müssen.

Autorin: Belinda Burger

Quellen:
BSI – Leitfaden IT-Forensik Version 1.0.1. https://https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Leitfaden_IT-Forensik.pdf?

Links:
https://www.security-insider.de/was-ist-it-forensik-a-774063

https://rechtsanwaelte-wirtschaftsstrafrecht-berlin.de/was-sind-eigentlich-digitale-spuren-im-strafprozessualen-sinne/

http://www.betriebswirtschaft-lernen.net/erklaerung/netzwerk-forensik/

https://resources.infosecinstitute.com/category/computerforensics/introduction/areas-of-study/digital-forensics/network-forensics-analysis-and-examination-steps/#gref

https://www.oneconsult.com/de/powershell-4-arbeitsspeicherforensik/

Bild:
Forensische Analyse – in Anlehnung an BSI- Leitfaden IT-Forensik

CAS Cybersecurity und Information Risk Management

Beim nächsten CAS Cybersecurity und Information Risk Management dabei sein?

CAS Cybersecurity und Information Risk Management

Persönliche Beratung

Sie würden sich gerne persönlich beraten lassen? Senden Sie ein E-Mail an martina.dallavecchia@fhnw.ch und vereinbaren Sie einen Termin.

Dozenten in diesem sehr praxisorientierten Lehrgang sind:

Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Andreas Wisler (goSecurity GmbH)

Cybersecurity und Hacking für Schweizer KMU

Cybersecurity: Chancen & Gefahren der künstlichen Intelligenz

Schlagworte: Betriebssytem-Forensik, Cybersecurity, Datensicherheit, IT-Forensik, Memory-Forensik, Netzwerk-Forensik

zurück zu allen Beiträgen

Kommentare

Keine Kommentare erfasst zu Cybersecurity: Welche Schritte umfasst eine forensische Analyse?

Neuer Kommentar

×