Trotz einer guten Präventionsstrategie und bester Sicherheitsvorkehrungen lassen sich Angriffe auf IT-Systeme nicht vollständig ausschließen. Oftmals bleiben diese Einbrüche in die Systeme sogar über lange Zeit völlig unbemerkt. So geschehen Ende letzten Jahres bei der Hotelkette Marriott. Schon im Jahre 2014 sind Hacker hier in ein zum Hotelverbund zählendes Unternehmen eingedrungen und haben über die Jahre hunderte von Millionen Kundendaten, Kreditkarteninformationen und Zahlungsdaten entwendet.

Nur aufgrund aufwendiger IT-Forensik-Maßnahmen konnte das Ausmaß des Schadens im Nachhinein festgestellt und aufgearbeitet werden.

Spurensicherung – Auch nach Cyberangriffen der erste Schritt

Die richtige Reaktion auf solche Angriffe kann entscheidend für das Schadensausmaß und die Rettung kritischer Unternehmensdaten und IT-Ressourcen sein, wenn sie früh genug erkannt werden. Auch um im Schadensfall die Informationen gerichtsverwertbar zu sichern und zu analysieren, wurde das Feld der IT-Forensik geschaffen.

Ziel ist es hierbei, einen Tatverdacht zu bestätigen oder aber auch auszuräumen. Sollte sich der Verdacht bestätigt haben, können in der Folge Ansprüche gesichert und Tatbeteiligungen dokumentiert und nachweislich unverfälschte Sicherungen von Daten angefertigt werden. Anschließend werden die Tathergänge rekonstruiert um hieraus später Schutzmaßnahmen und notwendige Verbesserungen abzuleiten.

Die forensische Vorgehensweise zielt nach einem Angriff u.a. auf folgende Untersuchungsbereiche ab:

  • Indizienforschung und Beweissicherung nach Sabotage-Aktivitäten (Incident Response)
  • Analyse von möglichen Aktivitäten bei Verdacht auf Industriespionage
  • Aufbereitung gelöschter und versteckter Kommunikationsdaten
  • Aufspüren indirekter und illegaler Kommunikationswege und deren Inhalte
  • Ermittlung ungeklärter Datenbewegungen (über externe Datenträger wie USB-Speichersticks und USB-Festplatten, Netzwerkbewegungen)
  • Identifizierung von installierter Schadsoftware und Analyse der durchgeführten Aktionen
  • Untersuchung von Datenlecks (Data Breach)

Weitere Informationen zu diesem Thema finden Sie auf den Webseiten des Bundesamts für Sicherheit in der Informationstechnik BSI oder auf unserer Website https://www.datenschutz-nord-gruppe.de/it-forensik.html