"Vielen Cyberkriminellen ist mit einfachen Methoden das Handwerk nicht mehr zu legen"
Nach einer kriminellen Tat die Spuren zu untersuchen – das ist der Job der Forensiker. Das gilt auch für die IT und für Cybercrime. Derzeit verkompliziert sich deren Arbeit massgeblich, wie Dominique Alessandri, IT-Sicherheitsexperte und Forensiker bei IBM, im Gespräch mit der Netzwoche erläutert.
Herr Alessandri, was beschäftigt Sie im Moment am meisten im Zusammenhang mit dem Thema Cybercrime?
Vieles, was unter Cybercrime-Experten bisher Theorie war, ist Realität geworden beziehungsweise an die breite Öffentlichkeit gelangt. Die Anzahl und das Ausmass der uns bekannten Fälle der letzten 12 Monate ist erschreckend. Die Angreifer sind viel professioneller geworden und kommerziell ausgerichtet. Insbesondere haben auch Staaten erkannt, dass man die IT nutzen kann, um Organisationen und andere Staaten im Mark zu treffen. Es geht beispielsweise um kritische Infrastrukturen und Industriespionage. Viele Attacken werden dabei so ausgeführt, dass sie "unter dem Radar" bleiben und kaum je oder erst sehr spät entdeckt werden.
Was können Sie als IT-Forensiker dagegen tun?
Ein Forensiker untersucht das Geschehene, das heisst die Forensik ist reaktiv. Im Zusammenhang mit Cybercrime können dann basierend auf den gefunden Erkenntnissen proaktive Massnahmen ergriffen werden. Klar ist, dass vielen Cyberkriminellen mit einfachen Methoden das Handwerk nicht mehr zu legen ist. Der Aufwand der forensischen Analyse steigt entsprechend stark an.
Wer das Wort "Forensiker" hört, denkt mitunter an die klischeehafte Darstellung in Kriminalfilmen. Was steckt wirklich dahinter, insbesondere in der IT?
Die Forensik als solche ist eine naturwissenschaftliche Disziplin, in der man beispielsweise untersucht, wie jemand ums Leben gekommen ist. Anstatt um Haare und DNA-Spuren geht es in der IT jedoch um Bits und Bytes und dabei insbesondere um die Sicherung virtueller Spuren. Den Tatort zu sichern ist auch in der IT-Forensik eine wichtige Basis, um danach Daten untersuchen zu können.
Wie wird sich die IT-Forensik Ihrer Ansicht nach in den nächsten Jahren entwickeln?
Die IT-Forensik ist im Kontext der Kinderpornografie gross geworden. Dabei ging es in den meisten Fällen darum, eine überschaubare Anzahl von Rechnern zu untersuchen. Durch die weitreichende Vernetzung sind forensische Untersuchungen entsprechend komplexer geworden. Stuxnet ist ein gutes Beispiel dafür, was eine Cyberattacke heutzutage alles beinhalten kann. Ein spezielles Augenmerk gilt auch der starken Verbreitung von mobilen Geräten, kombiniert mit den mittlerweile immer stärker verbreiteten Cloud-Services. Analog zur gesellschaftlichen Entwicklung eröffnet dies aus der Sicht der Forensik eine neue Dimension der Komplexität.
Welchen Stellenwert hat die Forensik innerhalb der IT-Sicherheit heute?
Das ist unterschiedlich und hängt stark vom Geschäftsfeld der jeweiligen Organisation ab. Bei weitem nicht alle Firmen betreiben ihre eigene Forensik. In einigen Firmen ist die Forensik ein Teil der Rechtsabteilung, bei anderen ist sie der IT angegliedert. Es gibt viele externe Anbieter, die IT-Forensik als Service anbieten.
Welche Branchen fragen diese besonders nach?
Mit Sicherheit gehören die Finanzbranche wie auch andere reglementierte Branchen dazu. Die IT-Forensik kann aus verschiedensten Gründen zum Einsatz gelangen. Dazu gehören Szenarien wie Hacking, Wirtschaftskriminalität, Industriespionage. Mit der Grösse einer Firma wächst die Wahrscheinlichkeit von Angriffen und kriminellen Handlungen.
In Unternehmen wird ja derzeit intensiv darüber diskutiert, wie man mit Social Media umgehen soll.
Social Media haben für ein Unternehmen positive wie auch negative Seiten. Bevor auf der IT-Ebene Massnahmen ergriffen werden, sollte eine Strategie zum Umgang mit Social Media definiert werden. Gewisse Risiken, wie die Verbreitung von Malware, betreffen jedoch Nutzer von Social Media. Gegen solche Risiken existieren etablierte Mittel, jedoch verbleibt ein nicht zu unterschätzendes Restrisiko. Ein spezielles Augenmerk sollte auch auf die ausgetauschten Informationen gelegt werden. Social Media erlauben es Menschen, sich mit möglichst vielen anderen zu verknüpfen und sich untereinander auszutauschen. Die Informationen, die da ausgetauscht werden, betreffen in den wenigsten Fällen nur die Person selbst. Aus der Sicht der IT- und Informationssicherheit ist dies gewissermassen ein «soziales Problem». So spielen Social Media unter anderem dem Social Engineering in die Hände.
Wie beurteilen Sie aus forensischer Sicht die Auswirkungen des Cloud-Trends?
Die IT-Forensik hat sich traditionell stark auf die Sicherung von statischen Informationen, die auf physischen Speichermedien zu finden sind, konzentriert. Dies hat sich nicht zuletzt im Hinblick auf den Cloud-Trend stark verändert und bezieht nun auch sogenannte dynamische Informationen wie den Arbeitsspeicher oder Netzwerkdaten mit ein. Bei Cloud-Services stellt sich denn auch die Frage nach den relevanten Daten und wo diese zu finden und zu sichern sind. Dies hängt stark von der eingesetzten Technologie und den Betriebsprozessen ab. Was die IT-Forensik betrifft, wird die Cloud sicherlich noch einige Innovationen auf der technologischen, wie auch auf der Ebene der Methoden erfordern und hervorbringen.
Ein hüpfender Roboter für die Asteroiden-Erkundung
Schweizer Armee beteiligt sich an internationaler Cyberübung
Immer weniger Ransomware-Opfer zahlen Lösegeld
Update: Softwareone-Aktionäre wechseln fast alle Verwaltungsräte aus
Meta präsentiert die nächste Llama-Generation
Simap-Meldungen Woche 16: Zuschläge
Rauchende Köpfe und Küchen beim Swico
Swisspro-Gruppe wird Opfer eines Ransomware-Angriffs
Das rote Pferd im Metal-Partyfieber
