Aktueller Channel Fokus:

Server & Hyperkonvergenz

IT-Forensics

Digitale Spurensuche als Business-Enabler

| Autor / Redakteur: Oliver Schonschek / Dr. Andreas Bergler

Anbieter von IT-Forensics nehmen gerne Partner mit ins Boot.
Anbieter von IT-Forensics nehmen gerne Partner mit ins Boot. (Bild: Peter Maszlen - stock.adobe.com)

Digitale Forensik gehört ins Portfolio des Security-Channels. Wer selbst keine Services in Forensik erbringt, kann als Reseller spannende Folgeaufträge generieren. Für Rückenwind sorgen Studien zu den finanziellen Folgen von Cyberattacken und Compliance-Vorgaben.

Die Kosten einer Datenpanne richten sich nach bestimmten Faktoren, berichtet IBM Security anlässlich der „Cost of a Data Breach“-Studie 2019 des Ponemon Instituts. Die Geschwindigkeit, mit der auf eine Datenpanne reagiert wird, ist demnach entscheidend für die Gesamtkosten. Deutsche Unternehmen reagieren deutlich schneller auf Vorfälle als noch im letzten Jahr: Der durchschnittliche Lebenszyklus einer Datenpanne umfasst hierzulande 170 Tage – eine Woche weniger als 2018. Das entspricht aber immer noch 131 Tagen, in denen Unternehmen die Panne erkennen und identifizieren und zusätzlichen 39 ­Tagen, um die Schäden einzudämmen.

Meldepflichten erfordern Spurensuche

Betroffene Unternehmen müssen einen IT-Sicherheitsvorfall nachvollziehen können, denn nur wenn der Angriffsweg oder die Ursache eines IT-Vorfalls verstanden werden, lassen sich auch die richtigen Gegenmaßnahmen einleiten. Ebenso erfordern es die Meldepflichten nach einen IT-Vorfall, dass man möglichst viel über den Hergang in Erfahrung bringt. So verlangt die Datenschutz-Grundverordnung (DSGVO) bei der Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde:

  • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, Kategorien und personenbezogenen Datensätze
  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
  • eine Beschreibung der von den Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer nachteiligen Auswirkungen.

Auch das IT-Sicherheitsgesetz verlangt von Kritis-Betreibern Meldungen zu Vorfällen, ebenso Konzepte und Dokumentationen zur Vorfallserkennung und -bearbeitung (Beschreibung zu Incident Management, Detektion von Angriffen, Forensik). IT-­Forensik hat sich von einer Spezialwissenschaft für Ermittlungsbehörden zu einem wichtigen Werkzeug für professionelle ­Betreiber von IT-Systemen entwickelt, so das BSI (Bundesamt für Sicherheit in der Informationstechnik). Wer IT-Systeme mit den heute üblichen Anforderungen an Vertraulichkeit, Verfügbarkeit und Integrität betreibt, steht immer häufiger vor der Aufgabe, Betriebsstörungen durch Fehlfunk­tionen der IT oder Auswirkungen von ­Angriffen auf die IT-Infrastruktur erkennen und aufklären zu müssen.

Gute Umsatzchancen für Forensik-Dienste

Die Organisation Digital Forensic Research Workshop (DFRWS) definiert „Digitale Forensik“ als „Verwendung wissenschaftlich erprobter Methoden zur Aufbewahrung, Sammlung, Validierung, Identifizierung, Analyse, Interpretation, Dokumentation und Präsentation von digitalen Nachweisen, die aus digitalen Quellen stammen, um die Rekonstruktion von Ereignissen zu erleichtern oder zu fördern, die als strafbar oder als unbefugte Handlung eingestuft wurden, die nachweislich den geplanten Betrieb stören.“

IT-Forensik hat viele Gesichter: Computer Forensics, Mobile Device Forensics, Cloud Forensics, Network Forensics oder Data­base Forensics. Entsprechend vielfältig sind die Anwendungsgebiete und Chancen auf dem Markt. Im Jahr 2018 veröffentlichte Acumen Research and Consulting einen Bericht, aus dem hervorgeht, dass der Markt für digitale Forensik bis 2021 um 12,5 Prozent zulegen und voraussichtlich auf 4,97 Milliarden US-Dollar weltweit wachsen wird. Nicht nur Beratungshäuser und Wirtschaftsprüfer wie EY, Deloitte, BDO und KPMG bieten entsprechende Services für IT-Forensik an, auch der Security-Channel kann und sollte dies tun.

Tools und Partnerschaften zu Digital Forensics

Ein Spezialist für digitale Forensik verwendet routinemäßig Softwaretools, um zum Beispiel Spuren (Indicators of ­Compromise; IoCs) auf einer Festplatte oder einem Mobiltelefon zu extrahieren und zu analysieren. Der Markt ist gut bestückt mit Lösungen für IT-Forensik. Wer entsprechend geschulte Mitarbeiterinnen und Mitarbeiter hat und Werkzeuge sucht, wird bei großen Playern fündig wie IBM, AccessData, Cellebrite, Elcomsoft, FireEye, Cisco, Ontrack, LogRhythm, Guidance Software/ Opentext, Oxygen Forensics, Paraben, aber auch bei neuen Anbietern wie Tenzir.

Ergänzendes zum Thema
 
Forensiker gesucht: Kriterien für Dienstleister

Wer selbst keine IT-Forensiker im Team hat, kann und sollte trotzdem entsprechende Lösungen und Services ins Portfolio aufnehmen. Auf dem Markt in Deutschland und Europa gibt es zahlreiche Anbieter und Lösungen, die für eine Partnerschaft in Betracht kommen könnten, wie die Aufzählung oben zeigt. Als Reseller solcher Lösungen erweitert man damit auch sein Angebot um einen Baustein, den Kunden für ihre Compliance und zur Senkung der Folgekosten von IT-Sicherheitsvorfällen benötigen.

SIEM als Basis der IT-Forensik

Grundlage eines IT-Forensik-Angebots ist das SIEM-System (Security Information and Event Management). Kunden, die ­bereits eine SIEM-Lösung einsetzen, sind gute Kandidaten für Forensics-Services, die es zu integrieren gilt. Hat der Kunde noch kein (geeignetes) SIEM-System, sollten ­Forensik und SIEM am besten gemeinsam angeboten werden. Ein SIEM zeichnet auf, wer, was, wann und wie in der überwachten IT-Infrastruktur getan hat. Viele Störungen und Angriffe lassen sich in den Aufzeichnungen nachvollziehen, allerdings werten Unternehmen die Daten meist nur unregelmäßig aus.

Bietet man SIEM- und Forensics-Services gemeinsam an, kann die Erkennung von Angriffen für den Kunden optimiert werden. Zudem lassen sich digitale Spuren im SIEM-Archiv aufspüren, um auch nach ­einer zu spät erkannten Attacke noch ­Beweismittel sichern zu können. Entscheidend ist, dass das SIEM alle möglichen ­Angriffswege abdeckt, da die Attacken zunehmend komplex und vielschichtig sind. Angriffe können zum Beispiel auf dem Smartphone eines Außendienstmitarbeiters beginnen, sich über einen Cloud-Service fortsetzen und dann über das Firmennetzwerk auf das Notebook des Vorstands zielen.

Damit nicht Mobile Forensik, Cloud- und Netzwerk-Forensik getrennt und einzeln eingesetzt werden müssen, ist entweder ein übergreifendes Forensik-Tool wichtig oder aber eine SIEM-Lösung, die von allen relevanten Stellen die notwendigen Daten über die Attacke eingeholt hat. Je nach SIEM ­stehen dann Werkzeuge zur Verfügung, die den verdächtigen Vorfall für die Forensiker aufbereiten, entweder als Reporting und sogar über eine Exportschnittstelle für das Forensik-Tool.

Attacken können sich mehrerer Angriffsvektoren bedienen, gleichzeitig und nachgeschaltet. Wie vielfältig die Angriffswege sind, die kombiniert werden können, zeigt der Threat Landscape Report 2018 von der EU-Agentur für Cybersicherheit ENISA. Forensiker müssen deshalb in vielen Bereichen fundierte Kenntnisse haben.
Attacken können sich mehrerer Angriffsvektoren bedienen, gleichzeitig und nachgeschaltet. Wie vielfältig die Angriffswege sind, die kombiniert werden können, zeigt der Threat Landscape Report 2018 von der EU-Agentur für Cybersicherheit ENISA. Forensiker müssen deshalb in vielen Bereichen fundierte Kenntnisse haben. (Bild: ENISA)

Von Angriffen lernen und Bedarf erkennen

Der durch die IT-Forensik aufgedeckte ­Angriffsweg macht auch deutlich, wo kritische Schwachstellen bestehen, die ausgenutzt wurden. Dadurch wird ein dringender Bedarf für weitere Security-Services und Produkte sichtbar, die der Channel durch weitere Angebote und Leistungen bedienen kann, sei es durch erweiterte Malware-Erkennung, Phishing-Schutz, eine Web Application Firewall oder einen Cloud Access Security Broker (CASB) – je nachdem, wo die Schwachstellen erkannt und ausgenutzt wurden. Mit IT-Forensik lernen also die Kunden und der Channel etwas: Was ist passiert, wie konnte es passieren, was man an Schwachstellen behoben werden, und wo kann man entsprechend weitere Security-Dienste anbieten?

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46075871 / Security)