29. August 2024
Selbst die gewieftesten Kriminellen hinterlassen zumeist Spuren – das gilt im analogen Leben wie im digitalen Raum. Diese zu erkennen, sicherzustellen und auszuwerten, das ist die Aufgabe von IT-Forensikerinnen und IT-Forensikern. Zunächst eine Spezialdisziplin der Ermittlungsbehörden, machen sich mittlerweile auch Fachleute von TÜVIT im Auftrag von Unternehmen daran, Cyberkriminelle zu enttarnen.
Wenn Claus Krause mit seinem Notfallkoffer mit Laptop, Festplatten und Schreibblock bei Unternehmen anreist, dann hat es dort in der Regel schon gekracht. Der IT-Forensiker ist einer von fünf Fachleuten von TÜVIT, die in Cybernotfällen schnelle Hilfe leisten und gerichtsfeste Beweise sichern. „Die meisten Unternehmen kommen erst im Ernstfall zu uns, wenn bereits Daten verschlüsselt sind oder sie gar nicht mehr betriebsfähig sind“, erzählt Krause, Lead Consultant Cyber Defense bei TÜVIT.
Keine Panik!
Zumeist geht es bei den Aufträgen der Expertinnen und Experten für Digital Forensics & Incident Response um die Folgen von Ransomware-Attacken. Dabei verschlüsseln Kriminelle Daten auf den IT-Systemen von Unternehmen und fordern Lösegeld für die Entschlüsselung. Diese Attacken nehmen seit Jahren zu, oft sind ganze Branchen betroffen. „Unser höchstes Ziel ist die Schadensminimierung“, erklärt Krause. Bei aller gebotenen Eile heißt es für die betroffenen Unternehmen jedoch zunächst: Ruhe bewahren! „Panik führt zu Überreaktionen, und die können weiteren Schaden verursachen“, sagt Carsten Keil, Senior Sales Manager bei TÜVIT.
Digitale Spurensuche
Aus seinen Erfahrungen hat das Cyber-Defense-Team einen Fragenkatalog entwickelt, den die Expertinnen und Experten bei ihren Einsätzen systematisch abarbeiten. An erster Stelle stehen Sofortmaßnahmen für die Betriebsfähigkeit des Unternehmens. Es folgt die digitale Spurensuche. Krause vergleicht das gern mit der Tatortarbeit der Polizei nach einem Einbruch. Da fehle vielleicht ein Schmuckstück, aber sonst sei auf den ersten Blick nichts erkennbar. Dann untersuche die Spurensicherung, ob jemand das Schloss manipuliert hat, das Fenster für den Einbruch geöffnet und wieder geschlossen oder dabei sogar Fingerabdrücke hinterlassen hat. „Das Gleiche machen wir auf der technischen Ebene“, berichtet Krause. Er weiß: „Einbrecherinnen und Einbrecher hinterlassen nahezu immer Spuren – auch im digitalen Raum.“
Jüngst hat der AOK-Bundesverband auf die Hilfe der Cybercops von TÜVIT gesetzt. Die AOK gehört zu den Tausenden Unternehmen weltweit, die die Software „MOVEit Transfer“ für den Datenaustausch nutzen. Darunter befinden sich Banken, Konzerne oder eben Krankenkassen. Diese Software war Ende Mai 2023 von einer Sicherheitslücke betroffen, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) als geschäftskritische IT-Bedrohungslage eingeordnet hatte: Warnstufe Orange.
© TÜV NORD GROUPDer Notfallkoffer bietet Equipment für die erste Hilfe nach einem Cyber-Angriff für die TÜVIT-Expert:innen.
Die Cybercops von TÜVIT haben damals die digitalen Spuren analysiert, die die verantwortliche Hackergruppe namens „Clop“ beim Zugriff auf die Datenaustausch-Software hinterlassen hatte. Und die Sicherheitsexpertinnen und -experten konnten Entwarnung geben: Sie fanden keine Hinweise darauf, dass Versichertendaten nach außen gedrungen waren. Ein wichtiger Befund für die Krankenversicherung, denn bei Datenschutzverstößen infolge von Cyberattacken geht es auch immer um hohe Schadensersatzforderungen, bei Streit um Schuldfragen um hohe Versicherungssummen. Deshalb ist es wichtig, dass die Spuren gerichtsfest erhoben werden.
Mafiöse Strukturen im Cyberspace
Wenn Geschäftsführerinnen oder Geschäftsführer den Mitarbeitenden von TÜVIT mit auf den Weg geben: „Hoffentlich erwischt ihr die!“, dann erinnert Krause sie daran, dass sein Team nicht die Polizei ist. „Die Täterinnen und Täter dingfest zu machen, gehört allein in die Hände der Ermittlungsbehörden“, betont Krause. „Wir sprechen da von mafiösen Strukturen.“ Cyberexperten wie Krause beobachten eine zunehmende Professionalisierung der Erpresserbanden, die mittlerweile arbeitsteilig vorgehen und sogar Blogs im Darknet betreiben. „Die Methoden, um in die Systeme von Unternehmen einzudringen, werden immer ausgefeilter, die Täterinnen und Täter gehen mit hoher krimineller Energie vor“, erläutert Krause.
Nicht selten stellen die IT-Forensikerinnen und IT-Forensiker fest, dass die Schadsoftware bereits viele Jahre in den Systemen schlummerte. Die Fachleute überprüfen daher IT-Systeme in Unternehmen auch im Rahmen eines sogenannten Compromise Assessment auf bislang unentdeckte Hackeraktivitäten, analysieren das Risiko eines weitreichenden Sicherheitsvorfalls und geben Empfehlungen, welche Maßnahmen zur Beseitigung der Bedrohung ergriffen und wie die entsprechenden Sicherheitslücken geschlossen werden können. Sie helfen also, bevor die digitale Bombe platzt.
Der menschliche Faktor
„Neben der Technik sind aber auch die Kommunikation und der Umgang mit den Mitarbeitenden essenziell“, sagt Carsten Keil. „Cybervorfälle sind für Führungskräfte ebenso wie für Mitarbeitende eine große Belastung.“ Es sei wichtig, dass es dabei keine Schuldzuweisungen auf einzelne Mitarbeitende oder IT-Abteilungen gibt, empfiehlt Keil. Doch in der Realität liegen in den gehackten Unternehmen die Nerven bei Betroffenen häufig blank.
„Eine Cyberattacke erschüttert unser Grundbedürfnis nach Sicherheit“, erklärt Tiana-Christin Schuck, Psychologin bei MEDITÜV. „Gepaart mit dem Gefühl von Hilflosigkeit und einer hohen Arbeitsbelastung kann die Psyche enorm leiden. Es gibt Erkenntnisse, die darauf hinweisen, dass ein Cyberangriff ein Trauma bei den Betroffenen auslösen kann.“ Schuck und ihre Kolleginnen und Kollegen begleiten die Cybercops von TÜVIT daher in die gehackten Unternehmen und unterstützen die Mitarbeitenden psychologisch. Damit alle Beteiligten möglichst gut und unbeschadet durch die Cyberkrise kommen.
© TÜV NORD GROUPClaus Krause ist IT-Forensiker und leistet erste Hilfe in Cyber-Notfällen und sammelt gerichtsfeste Beweise.
