Tools für IT-Forensik nach Cyberattacken

Tools für IT-Forensik nach Cyberattacken

Beitrag teilen

Cyberattacken gehören bei den meisten Unternehmen zur Tagesordnung, in der Regel ist es nur eine Frage der Zeit, bis es zu einer Verletzung der Datensicherheit kommt. Dann schlägt die Stunde von Forensik-Tools, die Ermittlungsteams bei der Untersuchung der Vorfälle, der Sicherung von Beweisen und der Einleitung von Gegenmaßnahmen unterstützen.

Einen hundertprozentigen Schutz vor Cyberangriffen gibt es nicht – das belegen unter anderem die zahlreichen Berichte über Ransomware-Attacken und Data Breaches in den Nachrichten und Tageszeitungen. Für Unternehmen ist es daher wichtig, sich auf den Ernstfall vorzubereiten und koordinierte Prozesse für die Analyse der Sicherheitsvorfälle und die Wiederherstellung des normalen Geschäftsbetriebs aufzusetzen. Manuelle Untersuchungen sind dabei viel zu aufwendig und komplex, sodass Ermittlungsteams auf digitale Forensik-Tools angewiesen sind, um eine Vielzahl räumlich verteilter Systeme zu prüfen und zügig alle benötigten Informationen zusammenzutragen. Exterro, Anbieter von Legal-GRC-Software, die E-Discovery, digitale Forensik, Datenschutz und Cybersecurity-Compliance vereint, erläutert, wie die Lösungen die Verantwortlichen bei der Arbeit unterstützen:

Anzeige

Großer Funktionsumfang

Cyberkriminelle setzen heute auf sehr raffinierte Angriffsmethoden und verwischen ihre Spuren geschickt, um eine Entdeckung zu vermeiden. Forensik-Tools brauchen deshalb umfangreiche Fähigkeiten, um die vielfältigen Aktivitäten von Malware und Hackern aufzuspüren. Unabhängig von den eingesetzten Systemen und der darauf laufenden Software müssen sie in der Lage sein, Anwender- und Systemdaten zu sichern, aufzubewahren und zu analysieren.

Zu den Anwenderdaten zählen beispielsweise Informationen von Festplatten, aus dem Arbeitsspeicher und von Peripheriegeräten, zu den Systemdaten unter anderem Informationen zu Zugriffen auf Programme, Daten und Netzwerkverbindungen. Das Spektrum ist extrem weit gefasst und geht deutlich über die Fähigkeiten von Lösungen für Endpoint Detection and Response (EDR) hinaus, die sich nur sehr begrenzt für forensische Untersuchungen eignen. Gute Forensik-Tools entdecken Manipulationen an Daten und Einstellungen auf unterschiedlichsten Systemen und sind auch in der Lage, gelöschte Daten zurückzuholen.

Automatisierung manueller Prozesse

Bei Cyberattacken kommt es auf schnelle Reaktionen und eine umgehende Beweissicherung an, um größere Schäden abzuwenden. Die manuelle Untersuchung tausender Rechner an weltweit verteilten Standorten und von Systemen in der Public Cloud ist jedoch sehr zeit- und ressourcenaufwendig, weshalb Forensik-Tools umfangreiche Automatisierungsfunktionen mitbringen sollten. So liefern sie schnell Fakten, was passiert und nun zu tun ist, und dokumentieren alle Erkenntnisse und Beweise zuverlässig.

Anpassbarkeit und Flexibilität

Gute Forensik-Tools fügen sich nahtlos in die unterschiedlichsten System- und Anwendungslandschaften ein und erlauben sehr individuelle Anpassungen, um spezifische Sicherheitsvorfälle detailliert untersuchen zu können. Ein Schlüssel dafür sind Skripting-Fähigkeiten, durch die sich viele Abläufe effizienter gestalten und vorgegebene Szenarien automatisiert bearbeiten lassen. Ein Skript könnte beispielsweise einen verdächtigen Endpoint automatisch vom Netz trennen, um Datenabflüsse zu verhindern, und direkt mit der Sammlung von Beweisen und der Suche nach dem Ursprung des Angriffs beginnen. Das spart Sicherheits- und Ermittlungsteams wertvolle Zeit.

Rechtliche Absicherung

Forensik-Tools helfen nicht nur, Attacken aufzuspüren und einzudämmen sowie ihren Ursprung und die betroffenen Systeme zu ermitteln. Sie schützen Unternehmen auch in rechtlichen Auseinandersetzungen, indem sie dabei helfen nachzuweisen, dass zum Zeitpunkt des Angriffs die Datenschutzgesetze, Compliance-Vorgaben und andere regulatorische Anforderungen erfüllt wurden. Darüber hinaus sichern sie alle Untersuchungsergebnisse beweiskräftig, sodass sie vor Gericht bestehen und nicht anfechtbar sind. Dafür nehmen Forensik-Tools während des gesamten Untersuchungsprozesses regelmäßig Überprüfungen vor und legen bei Bedarf sogar eine komplette Image-Sicherung von Endpoints an, sodass Unternehmen durchgängig belegen können, dass Ergebnisse weder mutwillig noch versehentlich verändert wurden.

Skalierbarkeit der Forensik-Tools

Für den Einsatz in großen Unternehmen mit tausenden oder zehntausenden Endgeräten müssen Forensik-Tools nahtlos skalieren. Nur so sind sie in der Lage, nach einem Sicherheitsvorfall auch eine große Zahl potenziell betroffener Systeme mit einem einzigen Klick zu untersuchen.

„Bei der Reaktion auf Security-Breaches führen manuelle Prozesse und schlecht integrierte Forensik-Lösungen unweigerlich ins Chaos. Unternehmen brauchen Tools, die sich gut in ihre Systemlandschaften einfügen und bei denen sich die Technologien perfekt ergänzen, sodass sie Untersuchungen weitgehend automatisiert durchführen und schnell und zielgerichtet auf Bedrohungen reagieren können“, betont Jens Reumschüssel, Director of Sales DACH bei Exterro. „Selbst Unternehmen, die ihren Sicherheitslösungen vertrauen, sollten ihre Tools und Prozesse zur Untersuchung von Sicherheitsvorfällen kontinuierlich überdenken und verbessern. Die Bedrohungslandschaft verändert sich täglich, und Cyberkriminelle nutzen jede noch so kleine Lücke in der Bedrohungsabwehr, um zuzuschlagen.“

Mehr bei Exterro.com​

 


Über Exterro

Exterro ist Anbieter einer Software für Legal Governance, Risk and Compliance, mit der die weltweit größten Unternehmen, Anwaltskanzleien und Regierungsbehörden ihre komplexen Prozesse rund um Datenschutz, Cybersecurity-Compliance, rechtliche Vorgänge und digitale Forensik proaktiv administrieren und schützen. Die Software ist die branchenweit einzige, die alle Legal-GRC-Anforderungen innerhalb einer einzigen Plattform vereint und umfassende Automatisierungsfunktionen bietet.


 

Passende Artikel zum Thema

Open-Source-Tool zur Analyse von Linux-Malware

Mit dem neuen Open-Source-Tool können SOC-Teams und Entwickler die Sicherheit überwachen und Bedrohungen untersuchen. Traceeshark kombiniert die dynamische Analyse von ➡ Weiterlesen

Cyberkriminalität: Aktuelle Bedrohungen und Taktiken

Ein Anbieter im Bereich Connectivity Cloud stellt seine Forschungsdaten zur weltweiten Cyberkriminalität der Allgemeinheit zur Verfügung. Sie haben Angreifer aufgespürt, ➡ Weiterlesen

NIS2: Veraltete Software ist ein Risiko

NIS2 betrifft Unternehmen, die zur kritischen Infrastruktur gehören. Sie alle müssen prüfen, ob die Software ihrer Geräte auf dem neuesten ➡ Weiterlesen

Quishing: Phishing mit QR-Codes

In Anlehnung an Albert Einstein ließe sich wohl sagen, dass der kriminelle Einfallsreichtum der Menschen unendlich ist. Der neueste Trend ➡ Weiterlesen

Authentifizierungs-Codes geknackt

Forscher in China haben einen Ansatz demonstriert, der erfolgreich auf kürzere Authentifizierungs- und Verschlüsselungscodes abzielt - allerdings noch nicht auf ➡ Weiterlesen

Drei Schritte zur quantensicheren Verschlüsselung (PQC)

Vor wenigen Wochen hat das US-amerikanische National Institute of Standards and Technology (NIST) die ersten drei – von insgesamt vier ➡ Weiterlesen

Eine aktuelle Software Bill of Materials ist die Ausnahme

Eine Software Bill of Materials (SBOM), also eine Stückliste aller Software-Komponenten in einem vernetzten Gerät, stellt in der deutschen Industrie ➡ Weiterlesen

IT-Sicherheit für alle – kostenlose Sicherheitstools

Ein führender Anbieter im Bereich Connectivity Cloud stellt mehrere wichtige Sicherheitstools, die oft teuer sind, Unternehmen kostenlos zur Verfügung. Dies ➡ Weiterlesen