IT-Forensik

IT Forensik oder auch "digitale Computer-Forensik" ist eine relativ neue Methode in der IT und behandelt die Untersuchung von verdächtigen Vorfällen im Zusammenhang mit IT-Systemen und der Feststellung des Tatbestandes und der Täter durch Erfassung, Analyse und Auswertung digitaler Spuren in Computersystemen.

Dabei hilft uns die IT Forensik bei der Beantwortung von vielen Fragen, die in der Praxis häufig vorkommen. z.B.

  • Welche Verborgenen Daten enthält ein Computersystem?
  • Wurden Daten aus dem Unternehmen geschleust, und welche Systeme wurden dazu benutzt?
  • Wann wurde zuletzt mit einem Computersystem gearbetiet, und wer war das?
  • Welche Programme wurden in welcher Reihenfolge von Anwendern gestartet?
  • Wer hat auf Datenressourcen des Unternehmens zugegriffen?
  • Wer hat die Erpresser e-Mail gesendet?
  • u.v.m...

Wozu IT Forensik?

Warum digitale Computer-Forensik? Nun, hat ein Angreifer ein System erfolgreich attackiert, hinterlässt er meist Spuren, deren Auswertung unter bestimmten Umständen hilfreich sein können. Andererseits möchte man gerne wissen, was der Angreifer auf dem System alles „angestellt“ hat, oder welche Artefakte er am System hinterlassen hat. Durch eine forensische Analyse kann rekonstruiert werden, wie ein Angreifer auf das System gelangt ist, und was er dabei gemacht hat.

Das BSI in Deutschland hat in seinem Verfassungsschutzbericht für das Jahr 2009 einen eindeutigen Anstieg von Wirtschaftsspionage gemeldet, wobei der verstärkte Einsatz von Internet-Technologien festzustellen ist. Dabei sind auch Klein und Mittelbetriebe betroffen, da hier meist die IT Sicherheit noch nicht so gelebt wird, wie sie eigentlich sollte. Der Verfassungsschutzbericht des BMI.gv.at für das Jahr 2009 hält für Österreich ebenfalls eine entsprechende Gefärdung fest und erwähnt dies auch in seinem Bericht.

Die IT Forensik hilft auch bei internen "Vorfällen" wie z.B. Datendiebstahl oder dem Verdacht, dass Schadsoftware im Umlauf ist; wie auch bei verletzungen der internen Security Policies oder bei Betrugsverdacht.

Wann sollte man IT Forensik anwenden?

Es gibt viele Gründe eine IT Forensikuntersuchung zu starten, unsere Kunden reagieren meist bei diesen Anzeichen

  • Schadsoftware (Computer-Viren und Malware) ist absichtlich oder unabsichtlich im Unternehmen aufgetaucht. Man sollte wissen, welche Daten und Systeme tatsächlich kompromittiert wurden um geeignete Gegenmaßnahmen einleiten zu können
  • Der Verdacht auf Datenmissbrauch (inter oder extern) oder Industriespionage liegt dann vor, wenn z.B. der Mitbewerb plötzlich interne Details kennt, oder Angebote immer wieder knapp unterboten werden, oder wenn Mitarbeiter von Social Engineering Angriffen berichten.
  • Betrugsversuche (e-Fraud) gegen oder oder in Ihrem Unternehmen gestützt durch Internet-Technologien
  • Verdächtige und unerklärliche Kommunikation von IT Systemen mit Systemen im Internet
  • u.v.m...

Diese und noch viel mehr Gründe rechtfertigen eine forensische Untersuchung um Ihnen Gewissheit zu verschaffen

Unsere Dienstleistung

Wir bieten ihnen für IT-Forensik eine umfassende Unterstützung in folgenden Bereichen an.

Planung und Vorbereitung

IT Forensik (besonders wenn es sich um Live Systemanalysen handelt) muss unbedingt vorher geplant werden. Unser jahrelanges Know-How in diesem Bereich unterstützt Sie bei der erforderlichen Planung und Vorbereitung, damit die forensischen Untersuchungen auch klappen. Gemeinsam mit Ihnen werden die Anforderungen und Prozesse definiert die eine reibungslose Analyse garantieren.

Forensische Datenacquisition

Die Acquisition von Daten ist ein heikles Thema. Wenn beim Sammeln der Daten nicht forensisch korrekt vorgegangen wird, können dabei durch Unwissenheit wichtige Beweise zerstört werden. Wir unterstützen Sie einerseits bei einer forensische korrekten Datenacquise und führen diese gemeinsam mit Ihrer IT durch, oder übernehmen die Datenacuise als Outsourcing-Prozess und führen diese für Sie durch.

Forensische Auswertungen und Reporting

Die Auswertung und das Erstellen von Berichten ist der Abschluss einer forensischen Untersuchung. Hierbei werden die zuvor gesammelten Daten und Beweise analysiert und Schlussfolgerungen daraus getroffen, die den Tathergang erklären können. Wir unterstützen sie und ihre IT hierbei ebenfalls und stehen mit jahrelangem Know-How zur Seite.

Sollten sie weitere gerichtliche Schritte (z.B. nach einem schwerwiegenden Verstoß der Datensicherheit) planen so arbeiten wir mit Partner zusammen, die als gerichtlich beeidigte Sachverständige zugelassen sind und somit auch eine fachliche Vertretung vor einem österreichischen Gericht erfolgen kann.

Auf Wunsch steht Ihnen auch Fachexpertise für Detailuntersuchungen in diesen Bereichen zur Verfügung.

  • Reverse Engineering von Malware-Angriffen in ihrem Unternehmen
  • Reverse Engineering von Netzwerkangriffen auf ihre IT Infrastruktur
  • Forensische Auswertung von Log-Daten
  • Definition der relevanten Log-Daten, die ihre Systeme protokollieren sollten

Forensik-Trainings für Ihre IT

Manchmal möchte man nicht gleich einen externen Forensik-Experten rufen, wenn man intern Vorfälle untersuchen soll. Dazu bieten wir mehrtägige Workshops an, in denen wir ihre IT Spezialisten in den wichtigsten forensischen Techniken ausbilden. Somit sind ihre eigenen IT Experten in der Lage forensisch korrekt vorzugehen ohne dabei wichtige Beweise zu vernichten.

Unterstützung beim Incident Response Prozess

Ein Incident Response Prozess und die Prozesse für digitale Computer-Forensik haben viele Gemeinsamkeiten. Wir unterstützen Sie bei der Definition, Planung und Umsetzung von Incident Response Prozessen die Teil einer gesamtheitlichen Informationssicherheit sein sollten. Mehr dazu finden sie auch im Bereich IT-Notfallplanung.