IT-Forensik: Spuren eines Angreifers aufdecken mit KAPE
Früher oder später wird der Angreifer auf dem angegriffenen System vorhandene Programme oder eigene Schadsoftware ausführen. Das hinterlässt auswertbare Spuren.
Bei der Bewältigung eines Cyberangriffs stellt sich die Frage, wie es zu einer Infektion des Systems kommen konnte. Und auch, was schon alles vor dem jetzt sichtbaren Schaden passiert ist. Beim Beantworten geht es nicht um reine Neugierde oder um Schuldzuweisungen, vielmehr ist es essenzieller Bestandteil einer gelungenen Vorfallsbewältigung. Je besser man den Ablauf eines Angriffs vom initialen Zugriff bis zur sichtbaren Auswirkung versteht, desto wahrscheinlicher ist die erfolgreiche und nachhaltige Behandlung des Vorfalls. Jeder aufgedeckte Schritt liefert wichtige Hinweise. Damit können kompromittierte Systeme isoliert und gefährdete geschützt werden.
Erst das Aufdecken dieser Abläufe ermöglicht zielgerichtete Schutzmaßnahmen. Diese wirken idealerweise bereits vor dem Eintritt des Schadens. Im Nachgang kann die Erkennung zukünftiger Angriffe anhand der entdeckten Abläufe ausgebaut und verbessert werden. Erfolgreiche Cyberangriffe zeigen Schwächen in der eigenen IT-Sicherheit auf. Sie sollten als Chance zur dauerhaften Verbesserung begriffen werden. Besonders eignen sie sich als konkrete Fallbeispiele für die Benutzersensibilisierung.
Wie im Artikel "IT-Forensik: Browser-Historie auswerten und verstehen" gezeigt, müssen sich Angreifer zunächst Zutritt zu einem ersten System verschaffen, entweder durch den Fernzugriff mit einem kompromittierten Nutzerkonto, durch Infizieren des Computersystems mit einer Schadsoftware oder durch Ausnutzen einer Sicherheitsschwachstelle. Dieses Vorgehen gilt nicht nur für die Erstinfektion. Auch die weitere Ausbreitung im Unternehmensnetzwerk basiert darauf.
Immer mehr Wissen. Das digitale Abo für IT und Technik.
Nur bis zum 31. Mai: heise+ 1 Jahr für nur 1,90 pro Woche lesen. Unbegrenzter Zugriff auf alle heise+ Artikel inklusive allen Digital-Magazinen.Länger lesen, mehr sparen: heise+ 1 Jahr lang für nur 1,90 € pro Woche lesen und brandaktuelles IT- und Tech-Wissen sichern. Zugriff auf alle heise+ Artikel inklusive der Digital-Magazine. Nur bis zum 31. Mai!