„Ich bin Forensiker, kein Richter“ – Aus dem Alltag der IT-Forensik

Dr. Alexander Schinner ist IT-Forensiker und Principal Cyber Security Consultant bei T-Systems. Im Rahmen eines Vortrags des VDE/VDI-Arbeitskreises Informationstechnik gewährte er am 23. Mai bei Nokia Einblicke in seinen Arbeitsalltag als IT-Forensiker und erzählte, wann seine Arbeit gebraucht wird und mit welchen Methoden er digitale Spuren auf Servern, Laptops und Co. erfasst, analysiert und auswertet. Außerdem erfuhren die Teilnehmer, was im Falle eines Cyberangriffs zu beachten ist und warum Zeit so eine wichtige Rolle spielt.

Unscheinbare Schäden

In einer kurzen Einführung erklärte Schinner die Unterschiede zwischen IT-Forensik und anderen Forensiken. Ein Problem in der IT-Forensik sei, dass die Schäden im Vergleich zu Untersuchungen bei anderen Unglücken, sei es das Reaktorunglück in Tschernobyl oder bei Autounfällen, weniger offensichtlich sind und daher eher unterschätzt werden. : „Die Schäden und Beweise, die wir haben, sind nicht greifbar – es sind nur Informationen“, definiert Schinner den Unterschied. 

Einsatzgebiete der IT-Forensik 

Wenn technische Geräte wie Server oder Laptops gerichtsverwertbar untersucht werden sollen, dann sind Menschen wie Schinner gefragt. Der IT-Forensiker unterscheidet zunächst zwischen Angriffen hoher, mittlerer und niedriger Komplexität. Spam und Betrug beim Online Banking durch Schadprogramme wie WannaCry zählen zu Angriffen mit niedriger Komplexität, während es sich bei Angriffen höherer Komplexität um kritische Themen wie staatliche Sabotage oder Spionage handelt.

Um Angriffe mittlerer Komplexität kümmert sich Schinner am häufigsten. In der Regel handelt es sich dabei um Industriespionage. Dazu gehören z.B. Hackerangriffe wie Operation Shady RAT, durch die Unternehmen und Organisationen systematisch ausgespäht wurden.

205 Tage bis zum Alarm

Ganze 205 Tage bleiben Angriffe in einem Unternehmen durchschnittlich unentdeckt. Die Anzahl der Tage ist natürlich nach oben hin offen. Die Angreifer gelangen oft durch das Einschleusen einer Schadsoftware per E-Mail von außen ins Innere eines Unternehmens. Die Rolle des Gesetzeshüters komme in diesem Zusammenhang anderen zu, stellt der Profiler an dieser Stelle klar: 

 „Ich bin Forensiker, kein Richter“, sagt er. „Ich sammle alles, was für oder gegen einen Verdacht spricht“.

Zeit ist nicht gleich Zeit

Oberste Priorität sei es zunächst, den Datenverlust zu minimieren. Anschließend wird alles genau dokumentiert und die gesammelten Daten analysiert, um schließlich einen möglichst vollständigen Bericht über die Ereignisse zu erstellen. Bei der Analyse der Daten ist auch unbedingt auf die Zeit zu achten, erklärt Schinner. Um welche Zeit es zu welchen Aktivitäten kam, kann entscheidend sein. Daher muss eine mögliche Zeitverschiebung durch die Sommer-Winter-Zeit berücksichtigt werden, ebenso wie die Weltzeit selbst.

Ruhe bewahren lautet die Devise

„Und falls Sie selbst mal in so eine Situation kommen sollten“, gab Schinner zum Abschluss auf den Weg mit, „sind eine konkrete Fragestellung und offene Kommunikation sehr wichtig“. Oft wird der Fehler gemacht, dass Fragen an den IT-Forensiker unpräzise gestellt und bei der Kommunikation nicht alle notwendigen Informationen übermittelt werden. Außerdem rät er davon ab, übereilt zu handeln oder gar vorschnell Daten zu löschen. Dadurch wird die Arbeit für den IT-Forensiker nur verzwickter und die Daten des Unternehmens sind am Ende dadurch möglicherweise gar nicht mehr zu retten.

Sarah Stingl