Live ist "King"

Schwieriger als eine Post-Mortem-Analyse wie das "File Carving" sind sogenannte Online- oder Live-Analysen. Bei dieser "Königsdisziplin" in der IT-Forensik wird das laufende System untersucht. Etwa bei der Untersuchung eines Malware-Angriffs muss der Computer eingeschaltet bleiben, um überhaupt Spuren zu sichern, da diese sich oft im flüchtigen Memory befinden und beim Ausschalten schlicht und einfach verschwinden würden.

Das große Problem bei der Live-Analyse ist, dass bei einer Untersuchung unweigerlich Datenspuren des Forensikers entstehen. "Schon beim Einloggen wird das System verändert", gibt Ellenberger zu bedenken. Hier muss also noch genauer die "Chain of Custody" respektiert werden. Die Fahnder müssen somit peinlich genau jeden einzelnen Schritt dokumentieren und beispielsweise aufzeigen, dass er zu dieser exakten Uhrzeit sich mit diesem Login und Passwort auf dem System angemeldet hat.

In diesem Zusammenhang rät der Oneconsult-COO als präventive Maßnahme zu einem Zeitabgleich. Denn die Uhren gehen in komplexen IT-Umgebungen oft "anders". So kann sich die Systemzeit eines Servers in der Schweiz um ein paar Sekunden von jener des benutzten Laptops in entfernten Landen unterscheiden, da diese z.B. unterschiedliche Zeitserver verwenden, welche sich nicht synchronisieren. "Es kann manchmal recht aufwändig sein, diese unterschiedlichen Zeiten zu erfassen und zu korrelieren", meint er.

Eine Live-Analyse ist im Allgemeinen nicht nur ratsam, um aktuelle Spuren zu sichern. Sie kann sich auch dazu anbieten, einem Täter auf die Schliche zu kommen. Wird das System nämlich ausgeschaltet, merkt der Angreifer in der Regel, dass seine Attacke aufgefallen ist. Lässt man ihn dagegen weiter gewähren, kann man ein Täterprofil erstellen. So lässt sich beispielsweise feststellen, ob jemand einfach alle Daten, die ihm in die Hände fallen, sammelt, um diese im Darknet zu verkaufen, oder ob er es auf spezifische Informationen wie etwa Rezepturen und Pläne abgesehen hat. Dann könnte es sich nämlich um Wirtschaftsspionage handeln, und es steckt vielleicht ein Mitbewerber hinter dem Angriff. Gerade im zweit genannten Fall ist es sogar dann vielleicht möglich, dem Täter wie im echten Krimi mit Hilfe eines Lockvogels eine Falle zu stellen.

Allerdings wird es zunehmend schwierig, den Angreifern auf die Schliche zu kommen. Denn sie sind immer mehr darauf bedacht, kaum aufzufallen und so wenig Spuren wie möglich zu hinterlassen. "Während diese Professionalität vor ein paar Jahren sehr selektiv gestreut war, stellen wir bei Analysen immer wieder fest, dass dieses Wissen des möglichst unerkannten Eindringens in Systeme, immer breiteren Kreisen zugänglich geworden ist", berichtet Uwe Kissmann, der bei Accenture für den Raum Europa, Afrika und Lateinamerika als Managing Director für Cyber Security Services verantwortlich zeichnet. Immerhin: "Da sich aber die absolute Anzahl der Vorfälle erhöht, nimmt auch gesamthaft die Anzahl der schlecht durchgeführten Angriffe zu", so Kissmann.

Auch Ellenberger sieht diese Tendenzen. Immer mehr Angreifer verstünden es, ihre Spuren zu verwischen und hätten auch ausgezeichnete Rückzugsstrategien in petto für den Fall, dass sie entdeckt würden. Auch die verwendeten Werkzeuge wie Malware könnten immer klandestiner eingesetzt werden. "Viele Schadprogramme haben heute z.B. Schutzmechanismen vor Sandboxing-Technologien. Sie funktionieren beispielsweise nicht, wenn sie realisieren, dass sie nicht auf einem Rechner, sondern in einer virtuellen Maschine ausgeführt werden", führt er aus.

Ähnliches beobachtet auch Sean Sullivan, Security Advisor bei F-Secure, und zwar besonders bei Angriffen, die von Staaten gesponsert werden. "Hier ist man oft sehr darauf bedacht, die Spuren aktiv zu verwischen", berichtet er. Eine Spurensicherung sei dann sicherlich noch möglich, aber bedeutend schwieriger.