27/5/2021

Spurensicherung - Arbeit am Tatort

Zur erfolgreichen Aufklärung eines Security Incidents sind Hinweise zur Kompromittierung notwendig. Daher sollten Sie so wenig Spuren wie möglich verwischen.
Von
Ellen Leipelt
Marketing Specialist
und
Jochen Meyer
Senior SOC Analyst

Wie schließt man am besten auf Täter und Tatumstände?

Indem man während der Tatortarbeit die Spuren einer Tat untersucht. Bei Ermittlungsbehörden übernimmt die Spurensicherung diese Aufgabe. Bei IT-Sicherheitsvorfällen kümmert sich das CERT (Computer Emergency Response Team) inklusive IT-Forensiker um die Sicherstellung der Hinweise und Bereinigung der Systeme. Die klassischen Tätigkeiten der SpuSi umfassen die Spurensuche, Spurenerfassung und die Spurenauswertung – kein Unterschied zum IT-Forensiker.

Wie beginnt die Spurensicherung?

Immer und wirklich immer mit der Sicherung des Tatorts. Aus einem Grund: Es dürfen keine neuen Spuren gesetzt und keine vorhandenen Spuren verunreinigt werden. Und dies gilt ebenso für den Tatort „Informationssysteme“.

Machen Sie den IT-Forensikern die Arbeit nicht schwerer als sie sein muss und versuchen Sie nicht selbstständig die Spuren des Angriffs zurückzuverfolgen. Einen Sicherheitsvorfall zu erleben ist nervenaufreibend und man tendiert dazu unbedingt etwas tun zu wollen. Das ist vollkommen verständlich. Deswegen halten Sie sich im Falle des Falles einfach an die folgenden Handlungsempfehlungen. Mit diesen haben Sie das Gefühl einen sinnvollen Beitrag zu leisten, weil Sie ihn auch tatsächlich leisten: Sie sichern die Spuren des Cyberangriffs, helfen gleichzeitig bei der Behebung des Vorfalls und beschäftigen Ihre nervösen Hände.

Wie Sie den Tatort richtig absperren:

Um möglichst wenig Hinweise auf den Cyberangriff zu verwischen, sollten Sie sich an ein paar „Regeln“ halten.

  1. Bemerken Sie einen Security Incident verfallen Sie nicht in Panik, sondern bewahren Sie Ruhe. Panik ist selten ein guter Berater.
  2. Stellen Sie die weitere Arbeit an den IT-Systemen ein.
  3. Melden Sie den Sicherheitsvorfall einem auf Incident Response spezialisierten Unternehmen wie uns und fordern Sie Hilfe an. Finden Sie am besten schon Antworten auf folgende Fragen: Was ist passiert? Welche Systeme sind betroffen? Wann ist das passiert? Wo soll sich das CERT einfinden?
  4. Dokumentieren Sie Ihre Beobachtungen. Alle Hinweise sind zur erfolgreichen Aufklärung und zur Prävention weiterer Angriffe hilfreich.

Welche Spuren Sie selbst sichern können:

Um die Arbeit des CERTs zu erleichtern, können Sie folgende Maßnahmen selber einleiten:

Konservieren Sie Systeme:

  • Hardware-Systeme und Server ausschalten oder Netzwerkstecker ziehen
  • Schalten Sie virtuelle Systeme, die über Hyper-V oder VMware gehostet werden, nicht aus sondern isolieren Sie diese vom Netzwerk

Sichern Sie relevante Logs:

  • Firewall-Logs
  • Proxy-Zugriffs-Logs
  • Ereignisverzeichnisprotokolle

Letztere liegen unter:

C:\Windows\System32\winevt\Logs im Format *.evtx.

Relevant sind hier Ereignisse über:

  • Security
  • System
  • Application
  • Microsoft-Windows-Powershell/Operational
  • Microsoft-Windows-Powershell/Admin
  • Microsoft-Windows-CMBClient/Operational
  • Microsoft-Windows-RemoteConnectionManager/Operational
  • Microsoft-Windows-LocalSessionManager/Operational

Erstellen Sie eine Liste aller vorhandenen/genutzten Systemen mit Namen und IP-Adresse:

  • Domain Controller
  • DNS-Server
  • Mailserver
  • Fileserver
  • Datenbankserver
  • Virenscanner-Managementsysteme

Erstellen Sie eine Liste der Domain-Administratoren

Falls vorhanden: Eine Liste von Netzsegmenten

  • VPN-Netz
  • DMZ
  • Produktionsnetz
  • Client-Netz
  • Server-Netz

Abschließend noch ein Rat: Sollten Sie selbst Viren auf Ihren Systemen finden, laden Sie diese keinesfalls auf Portalen wie z.B. VirusTotal hoch. Sie fragen sich warum? Sollte ein Angreifer den Virus speziell für Ihr Unternehmen entwickelt, aber seine eigentliche Attacke noch nicht gestartet haben, dann spätestens jetzt. Sobald der Virus auf dem Portal veröffentlicht wurde, weiß der Angreifer um seine Entdeckung und beginnt vielleicht die Verschlüsselung, um seine eigenen Spuren zu verwischen.

Tatort vermeiden?

Mit unserem Incident Response Management schützen wir Unternehmen auch präventiv!
Informieren Sie sich jetzt!

Lesen sie Weitere Artikel passend zum thema