Proaktive Forensik : Erkenntnisse aus IT-Forensikfällen und ein Vorschlag für bessere Vorsorge
Anhand von Einblicken in IT-forensisch untersuchte Sicherheitsvorfälle in der Finanzbranche informiert der vorliegende Beitrag über das Vorgehen von Cyberkriminellen, aber auch über mögliche Sicherheitsstrategien zu deren Abwehr. Für ein mittelständisches Finanzinstitut wurde dazu das hier beschriebene Konzept einer „proaktiven IT-Forensik“ entwickelt, um im Bedarfsfall schneller auf eine Notlage reagieren zu können – ein Modell, das auch in anderen Branchen nützlich sein dürfte.
Die Finanzbranche ist eine der wichtigsten Branchen – auch und gerade aus der Perspektive von Cyberkriminellen: Sie gilt eine Art Cashcow, denn sie verfügt über große Finanzmittel, ist zumeist digital affin, hoch reguliert und gut versichert. Untersuchungen wie der „Financial Sector Threats Report“ von KnowBe4 [1] zeigen, dass Finanzinstitute bis zu 300-mal häufiger Cyberangriffen ausgesetzt sind als andere Branchen. Klassische Angriffe umfassen in der Regel Social-Engineering-Komponenten. Trotz erheblicher Anstrengungen in Sachen Cybersicherheit, berichten Sicherheitsverantwortliche von Großbanken, dass 45% ihrer Mitarbeiter anfällig für Phishing-Angriffe sind.
In der Finanzbranche ist der Druck naturgemäß hoch, Angriffe zu verhindern und Schwachstellen schnell zu schließen. Dabei nutzen initiale Angreifer* gefundene Probleme nicht unbedingt, um sich selbst Zugriff zu verschaffen und Systeme zu infiltrieren, sondern häufig auch, um als Broker im Darknet den missbräuchlichen Zugang schlicht an andere Cyberkriminelle weiterzuverkaufen. Finanzunternehmen stehen daher vor der Herausforderung, dass Cybercrime inzwischen ein lukratives, aber auch komplexes Geschäft ist, deren Strukturen es in Analysen zu durchdringen gilt.
Präventive forensische Untersuchungen
IT-Forensik ist ein essenzieller Bestandteil der Resilienz-Diskussion. IT-Forensik setzt heute nicht mehr nur dann an, wenn das sprichwörtliche Kind schon den Brunnen gefallen ist: Schon eine vorab durchgeführte Bestandsaufnahme kann als vorbeugende IT-Forensik verstanden werden. Hierbei geht es um IT, Prozesse, Organisation und wer im Ernstfall die richtigen Stakeholder sind. Dieser Status quo lässt sich dann als Basis heranziehen, um die Resilienz in der Cybersicherheit zu erhöhen und außerdem eine forensische Readiness zu schaffen, um sich präventiv auf den Ernstfall vorzubereiten. IT-Forensiker können natürlich auch helfen, Sicherheitsbrüche zu verhindern und Angreifern das Leben von Beginn an schwer zu machen. Je höher die Hürden, umso mehr Zeit, Personal und letztendlich Budget für weitere Tools müssen Cyberkriminelle investieren.
Unter anderem geht es aber auch darum, vorab zu ergründen, wo und wie IT-Forensiker an digitale Spuren zur Nachverfolgung von Angriffswegen kommen würden – dieser Ansatz greift natürlich auch in andere Bereiche der Cybersicherheit ein. Bei einer IT-forensischen Untersuchung sollte es schließlich nicht nur darum gehen, hinterher aufzuräumen, sondern auch die Grundlage dafür zu schaffen, überhaupt erst aufräumen zu können. Zudem sind IT-Forensiker einfach schneller, wenn sie sich in einer Umgebung bereits auskennen.
Darüber hinaus hilft es Unternehmen, wenn sie mit Security-Awareness-Trainings auch ihre Mitarbeiter selbst „resilienter“ gemacht haben. Zum einen reduziert das die Möglichkeit, dass diese auf eine Phishing-E‑Mail hereinfallen – zum anderen können sich die zuständigen Abteilungen mit entsprechenden Übungen auch besser auf den Ernstfall vorbereiten. Viele Firmen haben jedoch noch immer nur einen Foliensatz zur Security-Awareness und zeigen diesen einmal im Jahr ihren Mitarbeitern: Das ist viel zu wenig und führt nicht zum gewünschten Effekt! Es kommt am Ende doch viel zu oft darauf an, ob eine Person auf einen Link klickt – technische Sicherheitsmaßnahmen können eine Infektion über diesen Link dann häufig nicht verhindern oder sind gar nicht erst vorhanden.
Zumeist wird die IT-Forensik jedoch erst dann gerufen, wenn etwa eine Ransomware bereits aktiv ist und Dateien verschlüsselt hat – das Backup ist ja leider nicht immer so vollständig, wie es benötigt würde. IT-Forensiker sind dann besonders gefordert, um eine schnelle Abhilfe und Lösung der Situation zu erreichen. Heutige Sicherheitssoftware hilft der Forensik immens bei der Aufklärung, denn die verschiedenen Tools sammeln überall Daten, aus denen sich Rückschlüsse auf das Vorgehen der Angreifer ziehen lassen. Deshalb sind solche Tools wichtig, auch wenn sie vielleicht einen Angriff oder die Verschlüsselung von Daten selbst nicht verhindern konnten – immerhin tragen sie doch zur Klärung bei.
Kontakt mit Ransomware-Gruppen
Neben der forensischen Untersuchung geht es am Ende auch darum, dass spezialisierte IT-Forensiker sich als Unterhändler ausgeben können. Denn es braucht durchaus technisches Personal, um im Zweifel mit Ransomware-Gruppen in Kontakt zu treten und Fragen zur Verschlüsselung zu klären. Bei jedem für die Angreifer erfolgreichen Ransomware-Vorfall gibt es immer eine Ransomware-Note: eine Text-Datei, die den Erpresser-Brief darstellt. Ab und zu wird dieser sogar für die Opfer ausgedruckt, wenn sich die Angreifer auch Zugriff auf die Drucker des Unternehmens verschafft haben. In der Ransomware-Note stehen eine ID und außerdem ein Passwort zu einem Link – meist ein Chat, in dem beide Seiten dann miteinander verhandeln.
Inzwischen wird in solchen Nachrichten häufig nicht mehr die Lösegeldsumme genannt, weil das viele Opfer aufgrund der hohen Forderungen an Bitcoin abgeschreckt hat und überhaupt keine Verhandlung zustande kam. In der Regel fungiert als Kommunikationsmittel nur ein Chat in einem speziellen von den Angreifern bereitgestellten Portal. Daneben gibt es noch den Link zur Erpresserseite, auf der im Fall der Fälle auch die Daten veröffentlicht würden, falls man keine Einigung erzielt. Diese sogenannten Ransomware-Shame-Sites werden mittlerweile auch immer professioneller gestaltet.
Inzwischen sind bei Ransomware-Gruppen sogar verschiedene Support-Stufen erkennbar: Aufgrund der Tonalität lässt sich mit entsprechender Erfahrung erkennen, dass es mehrere Menschen in verschiedenen SupportStufen sind, die mit einem kommunizieren. Die gesamte Kommunikation läuft üblicherweise auf Englisch – allerdings wird dabei teilweise auch schon KI eingesetzt, zum Beispiel um die Verhandlungen zu übersetzen oder neue Argumente zu bringen.
Nach Zahlung des Lösegelds wird zumeist auch der Entschlüsselungs-Key herausgerückt, sodass sich verschlüsselte Daten wiederherstellen lassen. Zur Not kann auch noch mal der Ransomware-Support kontaktiert werden – die Kriminellen haben heutezutage durchaus einen Sinn für Service und auch einen Anspruch an sich und ihre Arbeit. Bei Ransomware-Gruppen existieren auch Kununu-ähnliche Plattformen, sogenannte Reputationsportale, auf denen diese Gruppen bewertet werden. Sie brauchen auch tatsächlich einen guten Ruf, um weiterhin gute freiberufliche Spezialisten anlocken zu können.
Proaktive IT-Forensik
Das im Folgenden vorgestellte Konzept für proaktive IT-Forensik wurde bei einem mittelständischen Finanzinstitut mit knapp 800 Mitarbeitern entwickelt und umgesetzt, um im Bedarfsfall schneller auf eine Notlage reagieren zu können. Um eine Schritt-für-Schritt-Umsetzung zu ermöglichen, wird es in fünf Phasen unterteilt (vgl. Abb. 1).
Initiale Bestandsaufnahme (Assessment)
In der ersten Phase wird eine grundlegende Analyse der vorhandenen IT-Infrastruktur durchgeführt. Diese Bestandsaufnahme umfasst beispielsweise das bisherige Konzept zum Sammeln von Logs, die Information, welche Lösung für die Endpoint-Security an welchen Stellen eingesetzt wird, und zu guter Letzt auch eine Überprüfung der Backup-Systeme. Daran schließt sich eine Identifikation von für die Forensik relevanten Datenquellen an – beispielsweise Endpoint-Detection-and-Recovery- (EDR)-Systeme, Firewalls, MS 365 oder auch wesentliche Applikationen (im Beispiel das Core-Banking-System).
Doch nicht nur die Technologie steht im Fokus, auch der Mensch muss einbezogen werden: Zu den wichtigsten Stakeholdern zählen die IT-Leitung, die Sachverständigen für Compliance und – falls vorhanden – der CISO oder eine Position mit ähnlichem Aufgabenspektrum. All diese werden zur organisatorischen Reaktionsfähigkeit befragt und ihre Antworten sowie die Analyse des technologischen Ist-Stands in eine Dokumentation überführt.
Definition forensischer Anforderungen
Als nächstes folgt die Festlegung, welche Spuren im Ernstfall die Untersuchung am weitesten voranbringen. Hierfür wird ein sogenanntes Evidence-Matrix-Dokument aufgebaut, um die forensischen Anforderungen zu definieren. Ein Beispiel für das darin enthaltene Mapping könnte wie folgt aussehen:
System – Logquelle – Speicherort – Retention
Im Zuge dieses Prozesses werden auch relevante rechtliche Anforderungen (wie DSGVO, MaRisk, BAIT, DORA und interne Policies) geklärt und in das Dokument einbezogen – gerade diese Voraussetzungen haben sich in den letzten Jahren noch einmal deutlich verschärft.
Implementierung der Forensic Readiness
In der dritten Phase geht es um die Einrichtung einer zentralen, manipulationssicheren Lösung für die Speicherung von Protokoll-Dateien: Diese Daten sind das A und O der IT-forensischen Analyse – Log-Dateien mit benutzerspezifischen Content und Zeitstempeln erweisen sich als nützlich bei der Spurenverfolgung.
Im weiteren Verlauf müssen Systemlogs (etwa Windows, Sysmon, Firewalls und Cloud-Dienste) konfiguriert werden. Eine automatisierte Log-Rotation und zuverlässiges Time-Sync (NTP-Hardening) unterstützen das Log-Management und entlasten die Administratoren. Bei der Aufarbeitung ist auch die Sicherstellung von Artefakten wichtig, die 6 bis 12 Monate rückwirkend auswertbar bleiben sollten.
Playbooks und Incident-Simulation
In der vierten Phase geht es um die Entwicklung IT-forensischer Playbooks für typische Szenarien wie Phishing, Ransomware oder Innentäter. Der Krisenstab des Unternehmens sollte dann in einer Tabletop-Übung einen entsprechenden Vorfall auf eine Zahlungsplattform simulieren und die verschiedenen Szenarien durchspielen.
Aufgrund der Erkenntnisse aus diesen Übungen werden Auswertungen über die Reaktionszeiten und Datenverfügbarkeit angefertigt. Diese bilden wiederum eine Grundlage für die Aufarbeitung im Krisenfall als wertvolle Benchmarks, die an die betroffenen Abteilungen und die Geschäftsführung kommuniziert werden können.
Kontinuierliche Verbesserung
Im letzten Schritt geht es dann um die kontinuierliche Optimierung der gerade aufgezählten Phasen. Vor allem Tabletop-Übungen sollte man regelmäßig durchführen und für eine erfolgreiche proaktive Forensik auch eine aktualisierte Bestandsaufnahme über neu eingeführte oder veränderte Technologie vornehmen.
Des Weiteren sind regelmäßige Awareness-Trainings für das IT-Team nötig, um das Bewusstsein für neue Gefahren oder aber aktualisierte Varianten bekannter Szenarien zu schärfen. Im besten Fall werden nicht nur die IT-Verantwortlichen, sondern die gesamte Belegschaft geschult, um potenzielle Sicherheitsvorfälle durch Phishing und Ransomware zu vermeiden.
Ein jährliches Review der Forensic-Readiness-Dokumentation rundet die Maßnahmen ab und sollte im Zweifel letzte offene Fragen klären.
Ergebnis
Nach Projektabschluss war das Unternehmen in der Lage, binnen Minuten statt Tagen gezielte Log-Analysen zu fahren, forensisch saubere Beweismittel zu sichern und Audits durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und durch Versicherungsunternehmen nachvollziehbar zu bedienen. Zudem ließen sich durch die forensische Vorarbeit auch präventiv Schwachstellen identifizieren: beispielsweise eine fehlende Zeitsynchronisation oder zu kurze Log-Retention.
Mit dem beschriebenen Konzept sah sich das Finanzinstitut alles in allem in der Lage, im Notfall schneller zu reagieren und die Aufarbeitung aufgrund der vorgenommenen Maßnahmen leichter durchzuführen.
Fazit
(Nicht nur) Finanzunternehmen, die bereits Opfer von Cybercrime geworden sind, haben in der Regel zwar eine gewisse Sensibilität in Sachen Cybersicherheit, aber es gibt weiterhin sowohl gute als auch nicht so gute Beispiele dafür, wie nachhaltig diese Awareness ist.
IT-Forensiker haben bereits die Erfahrung gemacht, dass Cyberkriminelle sich gegenseitig aus Systemen „geworfen“ haben, weil mehrere Gruppen dasselbe Unternehmen im gleichen Zeitraum erfolgreich angegriffen hatten. In diesen Fällen war die Cybersicherheit des betroffenen Unternehmens natürlich nicht auf dem modernsten Stand.
Dennoch gibt es auch immer wieder Fälle, in denen die gleichen Unternehmen mehrfach erfolgreich angegriffen werden – oft geschieht das nicht einmal gezielt, sondern tatsächlich als „Beifang“.
In diesem Lichte betrachtet, ist jede Investition in die Resilienz von Systemen, Menschen und Prozessen immens wichtig und hilft dabei, für nachhaltige Verbesserungen und schnellere Problemlösungen zu sorgen.
Dr. Martin Krämer ist CISO Advisor bei KnowBe4. Joanna Lang-Recht ist Director IT Forensics bei intersoft consulting.
Literatur
[1] KnowBe4, Financial Sector Threats Report, The Shifting Landscape, Research-Paper, August 2025, www.knowbe4.com/press/knowbe4-report-revealsglobal-financial-sector-faces-unprecedented-cyberthreat-surge