[ Aufmachergrafik ] Wer suchet, der findet
Was bei der forensischen Analyse von IT-Systemen zu beachten ist

Ordnungsmerkmale

erschienen in: <kes> 2003#1, Seite 68

Rubrik: Management und Wissen

Schlagwort: IT-Forensik

Autor: Von Christoph Becker, Köln, Lukas Grunwald, Hildesheim, Martin F. Hoffmann, Düsseldorf, Günter Lessing, Jülich, und Eugen Steiner, Cham (CH)

Zusammenfassung: Wer im Falle eines Falles Beweismittel auf IT-Systemen zusammentragen muss, lebt leichter, wenn er vorgesorgt hat. IT-Forensik ist überdies eine multidisziplinäre Aufgabe, die der Steuerung durch das (Krisen-)Management bedarf.

Das kontrollierte Nachvollziehen von Informationsflüssen während der Eskalation und Steuerung von Krisen stellt eine wesentliche Bedingung für die Zuweisung rechtlicher Verantwortung und gegebenenfalls für Schadensersatzforderungen dar. Die Forensik beschäftigt sich grundsätzlich mit deliktischen Handlungen und soll sowohl der Prävention wie auch der Repression dienen. Die Zuständigkeit für forensische Analysen liegt beim Management, das sowohl für die Implementierung des unternehmensinternen Kontrollsystems als auch für die Identifikation von Geschäftsrisiken verantwortlich zeichnet. Zur Entscheidungsfindung ist jedoch Teamwork erforderlich.

Die Bedeutung der IT-Forensik in Krisenfällen liegt im Nachvollzug deliktischer Handlungen und dem Sicherstellen rechtsgültigen Beweismaterials. Dabei darf nicht unerwähnt bleiben, dass die Forensik nicht nur belastendes, sondern auch entlastendes Beweismaterial liefern kann. Die Ohnmacht staatlicher Untersuchungsorgane, die Komplexität vernetzter Unternehmensteile und die Tatsache, dass die meisten Delikte durch Insider begangen werden, zwingen die Unternehmensleitungen zunehmend selbst forensisch aktiv zu werden. Häufig wird es dabei geboten sein, auf die Hilfe fachkundiger Experten und Labore zurückzugreifen. Eine erfolgreiche unternehmensweite Forensik hängt überdies von drei Grundvoraussetzungen ab:

Sind diese Voraussetzungen erfüllt, muss das forensische Vorgehen in taktischer und technischer Hinsicht sowie bezüglich möglicher Befragungen konzipiert werden. Das taktische Vorgehen umfasst eine Gefahren- respektive Risikobeurteilung, einen im Voraus festgelegten Ablauf der einzelnen Untersuchungen sowie die Definition möglicher Maßnahmen. In technischer Hinsicht müssen einerseits die Möglichkeiten der Gegenseite bekannt sein und andererseits die eigenen Möglichkeiten taktisch richtig und rechtlich korrekt so eingesetzt werden, dass sie beweiskräftige Resultate liefern.

Auch bezüglich der Befragung von Mitarbeitern muss ein Konzept vorliegen, das die Planung, Durchführung, Auswertung und wenn möglich die Erkenntnisse umfasst. Dabei sind die rechtlichen Voraussetzungen kompetent abzudecken. Befragungstechnik und -taktik sind Spezialgebiete, die eine technische Beweisführung zur gerichtsrelevanten Abhandlung ergänzen oder auch, sofern nicht professionell durchgeführt, die technische Beweisführung in Frage stellen können.

----------Anfang Textkasten----------

Rechtliche Aspekte der IT-Forensik

Wenn Unternehmen oder ihre Führung bestimmte Maßnahmen, die aus rechtlichen Gründen erforderlich sind, unterlassen, kann dies für Schäden, die dem Unternehmen oder Dritten entstehen, die persönliche Haftung der Mitglieder des Vorstandes beziehungsweise der Geschäftsleitung zur Folge haben. Zu den erforderlichen Maßnahmen können auch forensische Untersuchungen zur Aufklärung eines kritischen Ereignisses in der Informationstechnik gehören.

Nach den Bestimmungen des deutschen und EU-Rechts setzt der Anspruch auf Schadensersatz – von Ausnahmen abgesehen – voraus, dass ein Geschädigter nachweist, dass die Gegenseite den Schaden verursacht hat. Dieser Nachweis muss zudem in gerichtsverwertbarer Form erfolgen, das heißt: Alle Tatsachen, die für den Nachweis erforderlich sind, müssen schlüssig vorgetragen und bewiesen werden. Vermutungen und Indizien sind nicht ausreichend. Hieraus kann sich die Notwendigkeit forensischer Untersuchungen ergeben.

Dabei ist es – nicht zuletzt aus Kostengründen – erforderlich, sowohl bei der Einleitung der Forensiktätigkeiten als auch während ihres Ablaufs die Haftungsfragen laufend zu überprüfen, um überflüssige Analysen zu vermeiden. In jedem Stadium muss dazu auch die Frage der Beweislast geprüft werden.

In rechtlicher Hinsicht hängen die Ziele forensischer Maßnahmen davon ab, ob ein Schaden schon feststeht oder zunächst nur ein kritisches Ereignis vorliegt, das möglicherweise einen Schaden zur Folge hat oder haben könnte. Ist bereits ein Schaden aufgetreten, ist seine Ursache festzustellen. Wenn mehrere Faktoren zusammengewirkt haben, ist so weit wie möglich zu klären, in welchem Verhältnis diese zu dem Schaden beigetragen haben.

Ist lediglich ein kritisches Ereignis, hierdurch aber noch kein Schaden aufgetreten oder erkennbar, so ist durch forensische Untersuchungen vor allem zu klären, wodurch und gegebenenfalls von wem der Vorfall verursacht worden ist. Damit verbunden ist die Frage der Verantwortlichkeit, gegebenenfalls auch der Haftung für das Ereignis. Dies dient zudem der Feststellung, wie derartige Begebenheiten in Zukunft technisch oder organisatorisch zu vermeiden sind.

Ob forensische Untersuchungen aus rechtlichen Gründen geboten sind, folgt bei kritischen Ereignissen der Frage, diese einen Schaden verursachen können oder bereits verursacht haben, dieser aber noch nicht festgestellt werden konnte. Regelmäßig notwendig ist eine Analyse zudem, wenn das kritische Ereignis von einem Dritten verursacht worden ist oder für einen eingetretenen Schaden ein Dritter haften muss (Vertragspartner, Mitarbeiter oder andere). Ein dritter Aspekt ist die Frage, ob das schadenverursachende Ereignis bei sorgfältiger Betriebsführung hätte verhindert werden können oder zukünftig verhindert werden kann – analog dazu: Können gleichartige kritische Ereignisse zukünftig erneut eintreten? Sollte eine dieser Fragen bejaht werden, so sind forensische Maßnahmen durchzuführen. Denn einerseits ist die Unternehmensleitung verpflichtet, eventuelle Haftungsansprüche geltend zu machen. Zum anderen gehört es zur Organisationspflicht der Unternehmensleitung, unternehmensinterne Fehler aufzuklären, die zu Schäden geführt haben oder führen könnten.

Die Organisationspflicht ist durch die Vorschriften des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) und des 2002 in Kraft getretenen Transparenz- und Publizitätsgesetzes (TransPuG) deutlich verschärft worden. Die Unternehmensführung ist verpflichtet, alle kostenmäßig vertretbaren Maßnahmen durchzuführen, um den Eintritt von Schäden zu verhindern oder zumindest zu minimieren. Unterbleibt dies, so können die dafür verantwortlichen Mitglieder der Unternehmensleitung für die durch ihre Untätigkeit eingetretenen Schäden persönlich haftbar sein.

Die Unternehmensleitung sollte daher auch bei Vertragsverhandlungen vermehrt darauf achten, dass nicht nur Haftungsfragen zugunsten des eigenen Unternehmens geregelt sind, sondern auch die Beweislast für bestimmte Ereignisse, soweit dies rechtlich und tatsächlich möglich ist, beim Vertragspartner liegt. Solche Fragen können speziell bei Outsourcing-Verträgen und Service-Level-Agreements (SLA) von entscheidender Bedeutung sein: Trägt das eigene Unternehmen die Beweislast für die Ursache kritischer Ereignisse oder Schäden, so wird es oftmals unmöglich sein, entsprechende Ansprüche nachzuweisen. Liegt die Beweislast beim Vertragspartner, sind Ansprüche leichter durchzusetzen und zudem muss in der Regel der Vertragspartner auch die Kosten für eigene forensische Maßnahmen tragen.

----------Ende Textkasten----------

Managementrahmen

Eine entscheidende Rolle zur Bewältigung von Schadensereignissen in der Informationstechnik spielen Vorbereitungen im Sinne des Risiko- und Krisen-Managements (inkl. "Incident Response"-Abläufen) sowie Planungen zur Business Continuity. Im Ereignisfall gilt es, die Art des Vorfalls exakt zu bestimmen und zudem vorliegende Informationen umfassend zu bewerten und auf ihre Verlässlichkeit zu überprüfen, um entsprechende technische, organisatorische und strategische Gegenmaßnahmen steuern und zeitnah rechtsgültige Beweise dokumentieren zu können.

[Illustration]
Abbildung 1: Bewusstseins-, Technik- und Organisationssteuerung bilden das Crisis-Management-Trigon.

Dazu muss das Crisis Management (CM) beim Eintritt eines schweren IT-Krisenfalls gleichzeitig drei Handlungsstränge in enger fachlicher Abstimmung und klarer Einzelsteuerung bewältigen: Bewusstseins-, Technik- und Organisationssteuerung. Dieser "Dreiklang" bildet das CM-Trigon, dessen Ansatz in der methodischen Kategorisierung relevanter Kriseninformationen und der entsprechenden Definition von Bewertungs-, Prüfungs- und Handlungsabläufen liegt.

Dieses auf den ersten Blick rein technische Problem muss man von Anfang an managementmäßig kontrollieren und dem Vorfall entsprechend behandeln, das heißt man muss:

Den Erfolg eines kostengerechten, rechtsgültigen und schadensorientierten Nachvollzugs sicherzustellen, ist eine entscheidende Aufgabe des Managements. Die IT-Forensik lässt sich nicht ausschließlich technisch bewältigen, sondern sie bedarf der interessenorientierten Organisationssteuerung, der Vergegenwärtigung psychologischer Abläufe und Strategien in der Bewusstseinssteuerung. Hierbei ist es notwendig, zwischen dem Verlauf eines Ereignisses und seiner Aufarbeitung in der Folge zu unterscheiden. Das CM-Trigon leistet dabei einen wesentlichen Beitrag zur systematischen Beurteilung von Entscheidungs- und Anweisungsstrategien und liefert Rahmenbedingungen für die technisch-forensische Tätigkeit im Krisenfall.

Organisationssteuerung

Zunächst muss der verantwortliche Security Officer die Tragweite eines Vorfalls aus technischer Sicht beschreiben und Einschränkungen für dessen Bewältigung durch die eigene Abteilung aufzeigen können. Organisation, technische Rahmenbedingungen und Arbeitsstrukturen müssen dem Management klar sein; es ist verantwortlich für die Einschätzung und Prüfung des strategisch, operativ und funktional möglichen beziehungsweise wahrscheinlichen Schadenpotenzials. Die vom Management festgelegte Bedeutung für das Unternehmen stellt dann die Grundlage für die Organisation und Zielfestlegung seiner Aufklärung sowie die Kostenkontrolle dar. Dazu gehören unter anderem:

Eine notwendige Bedingung für die forensische Arbeit besteht in der lückenlosen, zeitnahen, nachvollziehbaren und rechtsgültigen Protokollierung und Dokumentation aller Kommunikationsabläufe und ihrer Ergebnisse, sowohl während eines Ereignisses als auch in der Folge.

Je nach Konflikt- und Schadensumfang sollten Expertisen von Wirtschaftsprüfern und Rechtsberatern zur umfassenden Lagebeurteilung hinzugezogen werden. Des weiteren sind ständig Kosten/Nutzen-Analysen und Fortschrittskontrollen durchzuführen, die sich an der Relation zwischen der zu erwartenden Schadenshöhe, den definierten Aufklärungszielen, den voraussichtlich erreichbaren Ergebnissen und den Aufwendungen für die Maßnahmen orientieren.

Techniksteuerung

Technische Situationsanalysen, die Beweissicherung und die Ermittlung von Angriffszenarien sind im IT-Krisenfall von entscheidender Bedeutung. Die Technikverantwortlichen müssen dem Management regelmäßig Informationen zur Verfügung stellen, damit es Entscheidungen und Handlungsanweisungen in Abstimmung mit den Berichten zu Maßnahmenfortschritten festlegen kann.

Zudem müssen Detailkonzepte zur Verfügung stehen, um technische Schutzmaßnahmen umsetzen und einzelne Systeme kapseln zu können. Im Aufgabenbereich der Techniksteuerung liegt darüber hinaus die Berichterstattung über die Risikoanalyse hinsichtlich der Kompromittierbarkeit der System- und Netzwerkinfrastrukur sowie der jeweiligen Applikationen. Die stetige Kommunikation zwischen den beteiligten Technikern und dem Management ist ein notwendiger Faktor für die Kontrollierbarkeit der IT-Forensik.

Maßnahmenfestlegungen und ihre Umsetzung sollten von den Technikverantwortlichen auch auf ihre langfristige Verbesserung und die damit einhergehenden Konsequenzen für die Zukunft beurteilt und vom Management entsprechend berücksichtigt werden. In der Konsequenz sind permanent Kontroll- und Auditkonzepte festzuschreiben, Prozessstrukturen zu organisieren und Sensibilisierungsmaßnahmen umzusetzen.

Bewusstseinssteuerung

Letztlich müssen in einem IT-Krisenfall auch die psychischen Auswirkungen bei den Beteiligten berücksichtigt werden. Unter dem Komplex der Bewusstseinssteuerung wird im weiteren Sinne des CM-Trigons der Einbezug rationaler und irrationaler Handlungsmuster und ihre Steuerung verstanden. Für gewöhnlich treten während der Krisenbewältigung personenbezogene Bedrohungspotenziale wie Haftungsfragen, Verantwortungszuweisungen und Schuldfragen auf. Das kann leicht zu Konfliktsituationen bei Beurteilungen und Abschätzungen von Konsequenzen führen, zu Überreaktionen oder im Gegenteil zu passivem (und somit ebenfalls schädigendem) Verhalten beitragen.

Daher ist es notwendig, die Beurteilung der Dimension eines Vorfalles bezüglich Schadensabschätzung und Maßnahmenvolumen "realpolitisch" und sachbezogen sicherzustellen. Besonderes Augenmerk ist dabei auf eine sensibilisierte und fachspezifische Beurteilung von Konfliktkomplexitäten zu legen.

Aspekte der Bewusstseinssteuerung liegen in der konstruktiven Führung und Kontrolle von Informationsflüssen und Kommunikationsstrukturen zwischen allen Beteiligten: Wer muss, wer darf und wer sollte wann von was in Kenntnis gesetzt werden? Gleichzeitig gilt es, gemeinsam Konsequenzen für zukünftige Ereignisfälle zu beurteilen und festzulegen.

Die qualitative und kostengerechte Forensikarbeit in der IT wird wesentlich durch eine konstruktive und kontrollierende Führung geprägt, verbunden mit der Chance, die Handlungshoheit eines Unternehmens aufrecht zu erhalten. Vorsorgliche Workshops und Qualifizierungsprogramme bieten geeignete Möglichkeiten zur Aneignung von grundlegendem Basiswissen für die effiziente Betreuung und das erfolgreiche Bewältigen von IT-Krisenfällen mit Hilfe forensischer Untersuchungen.

[LONGDESC MISSING]
Abbildung 2: Detaillierte Ausprägungen im CM-Trigon (beispielhaft)

Technische Umsetzung

Die Suche nach evidentem Material gliedert sich technisch betrachtet in die Phase der Sicherstellung beziehungsweise Beweissicherung und die anschließende forensische Analyse, gegebenenfalls mit Laboruntersuchungen. Zunächst sind nicht nur alle technischen Geräte inklusive persistenter Datenspeicher (Festplatten, Disketten, CD/CDR-Medien usw.) sicherzustellen, zusätzlich müssen auch die Sicherstellungsorte dokumentarisch erfasst werden.

Zu diesen Daten gehören unter anderem auch die Prozessor-ID, der Swap- oder Page-Bereich, die File-Systeme, die MAC-Adressen der Netzwerkadapter, Token- und Flash-Speicher sowie die Ausdrucke und Schreibtischaufzeichnungen des Benutzers. Personal-Databases, PDAs und andere digitale Aufzeichnungs- und Hilfsgeräte inklusive Handys und Adressbuch sind ebenfalls einzubeziehen. Zusätzlich gilt es, alle erfassten Daten von Zugangkontrollsystemen, Netzwerkanschlüssen (inkl. Telekommunikation) und die zugehörigen Berechtigungskonzepte zu sichern.

Bei einer Einbruchsanalyse auf einem Server sind außerdem die Audit-Trails, Router-Logs und andere Daten, die ein potenzieller Täter auf seiner Datenspur durchs Netz hinterlassen haben kann, zu sichern und zu analysieren. Wenn hingegen ein Mitarbeiterarbeitsplatz untersucht wird, ist die (physische) Arbeitsplatzumgebung durch eine Reihe von Tatort-Bildern zu sichern. Zudem sind mechanische Sicherungssysteme wie Türschlösser zu dokumentieren und der Personenkreis zu ermitteln, welcher berechtigt oder unberechtigt Zugang hatte.

Ist das zu untersuchende Computersystem noch online, muss man entscheiden, ob es besser ist, erst "flüchtiges" Beweismaterial (z. B. den Speicher-Adressraum laufender Prozesse, aktive Netzwerk-Verbindungen usw.) zu sichern oder das System sofort ohne Shutdown in einem definierten Betriebszustand einzufrieren. Es ist dabei nicht auszuschließen, dass ein Angreifer Anti-Forensic-Tools installiert hat, die bereits im Hintergrund Daten für eine Plattenforensik aktiv vernichten. Die Entscheidung muss der Verantwortliche meist vor Ort und umgehend treffen.

[LONGDESC MISSING]
Abbildung 3: Logische Struktur der forensischen Analyse

Nachdem alle Daten gesichert sind, muss üblicherweise ein Forensik-Labor mit der Analyse beauftragt werden. Neben der Beherrschung der organisatorischen und technischen Abläufe und dem notwendigen Sicherheitsniveau sollte es unbedingt das Vertrauen des Kunden genießen. Sensitive Daten sollten keinesfalls an Labore gehen, die auch für eine Konkurrenzfirma tätig sind oder von ausländischen Spionage- und Militärabteilungen betrieben werden.

Eine Analyse kann in verschiedenen Ausprägungstiefen erfolgen. Je nach Tiefe werden die Informationen auf verschiedenen Layers abgegriffen, die sich vom File-System-Check bis zur Disassemblierung von Swap-Bereichen erstrecken. Die einzelnen Ergebnisse sind zu korrelieren und in einem Bericht zusammenzufassen.

Die Analyse darf keinesfalls Daten oder Meta-Daten verändern können und somit Beweismittel vernichten. Um das zu gewährleisten, kommen Analysen auf dem betroffenen Trägersystem selbst nicht in Frage. Vielmehr sind Abbilder des Systems zu erstellen, so genannte Arbeits-Images. Anwendungsspezifisch ist mit einem Spezial-Tool eine Spiegelung auf physikalischer oder logischer Block-Ebene durchzuführen. Sind die Festplatten oder andere Datenträger beschädigt oder wurde mit grober Gewalt versucht, diese Beweismittel zu vernichten, kommt zuvor eine Rekonstruktion durch ein Datenrettungslabor in Betracht.

Damit diese Analyse vertrauenswürdig ist, muss durch eine Integritäts- und Plausibilitätsanalyse sichergestellt sein, dass die Meta-Daten nicht auf tieferer Systemebene manipuliert sind. Neben der Auswertung von Speichermedien müssen auch gesondert gewonnene Informationen in die Analyse mit einbezogen werden. Dazu zählen die Audit-Trails, die Radius- und AAA-Informationen (Authentication/Authorization/Accounting), die entweder für eine Einwahl oder zur Benutzerverwaltung (evtl. bei einem ISP) anfallen.

Forensik-Beispiele

Wenn etwa ein Server-System mit Internet-Anbindung einen offensichtlichen Angriff erlitten hat, stehen drei Gesichtspunkte im Vordergrund der Analyse: Wer war der Täter? Welche Schwachstelle hat er zum Eindringen benutzt? Was hat er auf dem System manipuliert und hinterlassen? Hier ist unbedingt die Vertrauenswürdigkeit des Systems nach dem Angriff zu ergründen: Hat der Eindringling Hintertüren oder Root-Kits zurückgelassen, wurden Manipulationen an Serverfunktionen oder Sub-Systemen vollzogen?

Eine große Hilfe bei der Spurensuche ist es, wenn ein unabhängiger Syslog-Server die Kommunikationsbeziehungen manipulationssicher abgelegt hat. Allerdings sind Angreifer mit Sitz im Ausland oder einem außereuropäischen System als Sprungbrett häufig nicht oder nur schwierig zu belangen, selbst wenn ihre IP-Adressen bekannt sind.

Besonders wichtig ist es, die benutzte Schwachstelle zu finden, um sie bei einer erneuten Inbetriebnahme des Systems zu vermeiden. Wenn keine bekannten Schwachstellen ausgenutzt wurden, muss man wohl oder übel mit einem Disassembler eine aufwändige Programmcode-Analyse des Speicherbereichs von Pagefiles/Swap-Bereichen sowie gesicherten Prozessen nach maliziösen Maschinensprachen-Anweisungen durchführen. Zuvor sollten per Prüfsummenabgleich Manipulationen an Betriebssystem und Anwendungssoftware identifiziert werden.

Mit denselben Methoden ist auch Innentätern beizukommen. Die überwiegende Anzahl von Systemen ist gegen Angriffe aus dem internen Firmennetz nur schwach gesichert. Innentäter sind zudem meist mit reichlichen Geldmitteln versehen und verfügen über viele Informationen für legale und illegale Zugriffsmöglichkeiten. Sie richten durch Sabotage oder Wirtschaftsspionage erhebliche Schäden an. Angriffe von innen sind meist nur schwer zu erkennen; eine forensische Begutachtung zur Täter- und Integritätsanalyse erscheint bei derartigen Übergriffen zwingend notwendig.

Vorarbeit spart Geld

Checkliste I

  1. Existiert ein kryptographisch gesicherter zentraler Zeitstempelserver?
  2. Existiert ein Syslog-Server?
  3. Existiert ein Network Intrusion Detection System?
  4. Existiert ein Host Intrusion Detection System?
  5. Existiert eine Prüfsummenliste der Systemkomponenten?
  6. Existiert eine vollständige Dokumentation des Netzwerkes?

Checkliste zur Vorbeugung

Wenige technische und organisatorische Maßnahmen im Vorfeld helfen dabei, die forensischen Analysen erheblich zu vereinfachen und gleichzeitig das Sicherheitsniveau der Systeme zu erhöhen. Als erstes ist ein Regelwerk mit genauen Konzepten zu erstellen. Dieses umfasst einen Notfallplan zur Incident Response, der erste Reaktionen auf einen Vorfall festlegt – vorbereitete Checklisten leisten dabei gute Dienste. Alarmierungsketten, Zuständigkeiten und die Vorgehensmethode sind genau zu definieren. Nach dem Erstellen des Regelwerks sind die Benutzer zu schulen; dabei muss auch ein Sicherheitsbewusstsein gegenüber den Gefahren geschaffen werden. Letztlich ist ein Netzwerk mit allen aktiven Komponenten genauestens zu dokumentieren und die Dokumentation per Security-Change-Management up to date zu halten.

Checkliste II

Allgemeine Systeminformationen

  1. Name des Systems
  2. IP-Adresse(n) des Systems
  3. weitere Netzwerk-Adressen (Telefon, SNA, Token Ring)
  4. Funktion
  5. Sicherheitseinstufung
  6. System-Hardware
  7. System-Betriebssystem
  8. Patchlevel
  9. Aufstellungsort
  10. Zeitzone
  11. verantwortliche Person
  12. Uptime
  13. Vorfall
  14. Wer hat den Vorfall bemerkt?
  15. Wie ist der Vorfall aufgefallen?

Protokolle
(Nichtvorhandensein ist jeweils zu begründen)

  1. Zugangskontrolle Syslog-Server
  2. Syslog-Server-Logs vom betreffenden Datum
  3. Meldungen des Netzwerk-IDS
  4. Meldungen des Host-IDS
  5. Prüfsummenliste der Systemkomponenten
  6. Kommunikationsbeziehungen
  7. Benutzerliste
  8. Log-Daten benachbarter Systeme (inkl. Router, Firewalls, IDS)

Checklisten zur Erfassung eines Vorfalls

Jedes produktive System ist durch Risikoanalyse zu klassifizieren und je nach seinem Schutzbedarf mit einem Intrusion Detection System (IDS) und einer aktiven Firewall zu schützen. Alle Systeme sollten einen gemeinsamen Zeitstempel-Server nutzen und sämtliche Ereignisse auf einem manipulationssicheren Syslog-Server protokollieren. Von allen System-Binaries und dem System-Kern ist eine Liste von Prüfsummen zu bilden (z. B. mit MD5) und zu verfolgen. Änderungen und Updates sind über ein Security-Change-Management so zu dokumentieren, dass jederzeit der Systemstand im Labor nachgebildet werden kann. Hierdurch lassen sich Modifikationen einfach und schnell erkennen.

----------Anfang Textkasten----------

Aspekte der forensischen Wirtschaftsprüfung

Betrugsrisiken können wie allgemeine Geschäftsrisiken nicht ausgeschlossen, wohl aber begrenzt werden. Hierzu ist neben dem Aufbau effektiver, transparenzschaffender Kontroll- und Steuerungsmechanismen eine Unternehmens- und Kommunikationskultur erforderlich. Dem internen Kontrollsystem ist gegebenenfalls ein forensisch geschultes Risikomanagementsystem zur Seite zu stellen, um Risiken durch wirtschaftskriminelle Handlungen umfassend identifizieren und minimieren zu können.

Im forensischen Risikomanagement des Unternehmens sind aus der Sicht der Wirtschaftsprüfung folgende Punkte besonders zu berücksichtigen:

Eine forensische Wirtschaftsprüfung kann neben einer System-, Daten- und allgemeinen Risikoanalyse des Unternehmensumfelds auch die Qualität interner und externer Berichterstattung und des Management-Informationssystems beurteilen. Durch die Prüfung des Risikomanagementsystems führt sie zur Verbesserung der Unternehmensintegrität. Verfahrensprüfungen und Detailanalysen können zur Aufdeckung von Schwachstellen und Kontrollrisiken führen. Zudem steht eine Prüfung der Einhaltung/Verletzung von Vertragspflichten durch die Geschäftsführung sowie leitende Angestellte des Unternehmens innerbetrieblich und gegenüber Lieferanten und Kunden auf dem Programm.

In der Praxis haben sich regelmäßige Untersuchungen und überraschende Sonderprüfungen als geeignetes Mittel erwiesen, um Täuschungshandlungen zu verhindern. Sie bieten die besten Voraussetzungen, die angewendeten Verfahren zu erfassen, zu analysieren und aufgrund der Schlussfolgerungen so zu korrigieren, dass vorsätzliche Eingriffe auch bei komplizierten Geschäftsvorfällen deutlich erschwert oder ganz unterdrückt werden können.

----------Ende Textkasten----------

Technik ist nicht alles!

All die genannten Maßnahmen vereinfachen die Suche nach der "Nadel im Heuhaufen" deutlich. Nach dem Auffinden der Beweismittel müssen Ergebnisse aber auch in einem Bericht zusammengefasst werden, der juristisch einwandfrei formuliert ist, um in einem Prozess einem technisch nicht versierten Richter den vorliegenden Sachverhalt eindeutig widerzuspiegeln. Insofern ist die IT-Forensik keine Sache für Einzelkämpfer: Ins Team gehören neben Technikern gleichermaßen Manager, Revisoren, Juristen und eventuell Wirtschaftsprüfer.

Weitere Informationen zur technischen IT-Forensik finden Sie auch im Internet auf den Seiten von Lukas Grunwald ([externer Link] http://labs.dn-systems.de/forensic)

Christoph Becker ist Rechtsanwalt in Köln.
Lukas Grunwald ist Leiter der DN-Systems Labs Hildesheim / San Francisco
Rechtsanwalt Martin F. Hoffmann ist Wirtschaftsprüfer, Steuerberater und Partner bei der BDO Deutsche Warentreuhand AG ([externer Link] www.bdo.de).
Günter Lessing ist geschäftsführender Gesellschafter der Lessing & Partner Unternehmensberatung für EDV-Sicherheit GmbH, Jülich ([externer Link] www.lessing.de).
Eugen Steiner ist Verwaltungsratspräsident und geschäftsführender Gesellschafter der Lessing & Partner AG, Cham (CH).

Fachtagung zur IT-Forensik

Am 8. Mai 2003 wiederholt die Unternehmensberatung Lessing & Partner aufgrund der großen Nachfrage ihre Fachtagung zum Thema IT-Forensik im Forschungszentrum Jülich. Für nähere Informationen und bei Fragen zu diesem Artikel steht Ihnen Günter Lessing unter der E-Mail-Adresse info@lessing.de gerne zur Verfügung.

zurück zum Inhalt
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2003#1, Seite 68

Valid HTML 4.01! | Valid CSS!

Haben Sie einen Fehler gefunden? Bitte benachrichtigen Sie uns per  E-Mail. Vielen Dank.