IT Forensik: Anforderungen an IT-Betreiber

Forensics

Cyber Forensiker können am Tatort keine DNA-Spuren, Fingerabdrücke, Geschossbahnen oder dergleichen auswerten. Sie sind im wesentlichen auf das angewiesen, was beteiligte IT-Komponenten (Arbeitsplatzrechner, Router, Server etc.) an Daten protokolliert und abgespeichert haben.

Daher macht es für Cyber Forensiker einen großen Unterschied, wie “gut” der potentielle Tatort zuvor für sie eingerichtet wurde, beispielsweise von IT-Administratoren und Sicherheitsverantwortlichen. Ein naiver Lösungsansatz bestünde darin, überall so viel wie möglich zu protokollieren, bevor die Performance zu sehr leidet. Es gibt jedoch Datenschutzanforderungen, die solche Maßnahmen einschränken. Zudem ist darauf zu achten, dass Protokolldaten im Rahmen von Angriffen möglichst nicht gelöscht oder manipuliert werden können. Protokolldaten sollten im Idealfall auch vor etwaigen Innentätern (zum Beispiel dem Systemadministrator) geschützt werden, um die Vernichtung von Spuren zu verhindern.  All dies setzt voraus, dass es nicht nur geeignetes Schulungsmaterial und Handbücher für Cyber Forensiker gibt, sondern gleichermaßen für Behörden und Unternehmen, die proaktiv dafür Sorge tragen wollen, dass im Schadensfall eine umfassende Beweisaufnahme gewährleistet ist.