Digitale Forensik und Werkzeuge zur Untersuchung wirtschaftskrimineller Aktivitäten im Umfeld von Kreditinstituten


Projektarbeit, 2011

74 Seiten, Note: 1,7


Leseprobe


Inhaltsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

Abkürzungsverzeichnis

1 Einleitung

2 Wirtschaftskriminalität in Kreditinstituten
2.1 Delikttypen
2.2 Angriffsarten
2.2.1 Externe Angriffsarten
2.2.2 Interne Angriffsarten

3 Security Engineering und digitale Forensik in Kreditinstituten
3.1 Definition und Zielsetzung des Security Engineering
3.1.1 Allgemeine Konstruktionsprinzipien
3.1.2 Bedrohungsanalyse und Schutzbedarf
3.1.3 Sicherheitsarchitektur
3.2 Definition und Zielsetzung digitaler Forensik
3.2.1 Beteiligte Personen
3.2.2 Vorgehensmodelle
3.2.3 Wesentliche Anforderungen an die digitale Forensik

4 Werkzeuge zur Unterstützung digitaler Forensik
4.1 Eigenschaften forensischer Werkzeuge
4.1.1 Incident Response Prozesse
4.1.2 Beweissicherung und Analyse
4.2 Unterscheidungsmerkmale der Werkzeuge
4.2.1 Unterscheidung nach Verfügbarkeit
4.2.2 Unterscheidung nach Zielgruppe
4.2.3 Unterscheidung nach Umfang der Unterstützung
4.2.4 Unterscheidung nach Zielsetzung und Unterstützungsfunktion
4.3 Analyse ausgewählter Produkte
4.3.1 Toolkits mit kombinierten Anwendungsbereichen
4.3.2 Tools zur Sicherung von Daten und Beweisen
4.3.3 Tools zur Analyse von gesicherten und flüchtigen Daten
4.3.4 Tools zur Präsentation von Analyseergebnissen

5 Resümee

Literaturverzeichnis

Abbildungsverzeichnis

Abbildung 1: Von der Lücke zum Exploit [Luth04, S. 10]

Abbildung 2: Prozentualer Anteil an Schäden durch interne Angreifer [Rich08]

Abbildung 3: Schematische Darstellung eines TAP nach [Lain00; BSI11]

Abbildung 4: Helix3Enterprise Central Administration Tool [Efen11]

Abbildung 5: Memtest86 Bildschirmmaske [Eigener Screenshot von Memtest86]

Abbildung 6: Live Response Datenkollektion [Efen11]

Abbildung 7: Benutzeroberfläche Helix3 LiveCD [Eigener Screenshot von Helix3]

Abbildung 8: GtkHash [Eigener Screenshot von GtkHash]

Abbildung 9: Dateienmanager unter Helix3 [Eigener Screenshot von Helix3]

Abbildung 10: Ubuntu-Terminal unter Helix3 [Eigener Screenshot von Helix3]

Abbildung 11: Autopsy Dateianalyse [Eigener Screenshot von Autopsy]

Abbildung 12: Autopsy Fall-Protokoll [Eigener Screenshot des MS Editors]

Abbildung 13: Autopsy Ermittler-Protokoll [Eigener Screenshot des MS Editors]

Abbildung 14: Benutzeroberfläche von dd [Eigener Screenshot von dd]

Abbildung 15: Grafischer Dateienvergleich von nwdiff [Eigener Screenshot von nwdiff]

Abbildung 16: Hexadezimaler Vergleich von nwdiff [Eigener Screenshot von nwdiff]

Abbildung 17: WinHex Analyse eines HTML-Files [Eigener Screenshot von WinHex]

Abbildung 18: WinHex Analyse von Zeichensätzen [Eigener Screenshop von WinHex]

Abbildung 19: WinHex-Verwaltung der Partitionen [Eigener Screenshot von WinHex]

Abbildung 20: WinHex RAM Analyse [Eigener Screenshot von WinHex]

Abbildung 21: WinHex RAM-Speicher Detailangaben [Eigener Screenshot von WinHex]

Abbildung 22: Screenshot nmap Scan auf WLAN Router [Eigener Screenshot von zenmap]

Abbildung 23: Portscans für fritz.box und commerzbank.lu [Eigene Screenshots von zenmap]

Abbildung 24: Darstellung der Zusammenfassung [Eigener Screenshot von zenmap]

Abbildung 25: nmap traceroute zu commerzbank.lu [Eigener Screenshot von zenmap]

Abbildung 26: Grafische Traceroute durch nmap/zenmap [Eigener Screenshot von zenmap]

Abbildung 27: GUI Wireshark Network Analyzer [Chip11]

Abbildung 28: Analyse des Netzwerkverkehrs mit Wireshark [Dirs10]

Abbildung 29: Exemplarische Darstellung von Umsatzvolumen

Abbildung 30: Exemplarische Darstellung von Geschäftsvolumen

Tabellenverzeichnis

Tabelle 1: Täterprofile und Angriffe [nach PwC09]

Tabelle 2: Übersicht div. forensischen Tools [Gesc04, Schw06, www.cftt.nist.gov]

Tabelle 3: Die wichtigsten Tools des The Sleuth Kit [nach Gesc04, S. 127ff.]

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Einleitung

Seit dem Einbruch und Datendiebstahl im Play Station Netz von Sony nehmen die Meldungen zu Hackerattacken weiter zu. Das Thema Datenschutz, nicht nur im Internet, wird immer größer und verankert sich nach und nach als eines der wichtigsten Themengebieten der IT Sicherheit. Doch auch gesetzliche Regelungen, bspw. der Sarbanes-Oxley-Act, nehmen sich dieser Thematik an und sorgen für vermehrte Sensitivität und neue Ansätze bei der Verhinderung von Einbrüchen in die Datenlandschaften von Unternehmen.

Auch Veränderungen in den technischen Ansätzen führen zu ganz neuen Themen im Bereich der IT-Security. Neuen Technikansätze wie Cloud Computing und service-oriented architecture (SOA) und verstärkte Nutzung von Smartphones und PDAs bergen Chancen auch für Hacker, denen entgegengewirkt werden muss und damit auch neue Herausforderungen für forensische Untersuchungen.

Diese Angriffe auf IT Architekturen von Unternehmen und Kreditinstituten, unabhängig von der Motivation, geschehen Tag für Tag und müssen dann von den betroffenen Unternehmen korrekt behandelt werden, um den verursachten Schaden so gering wie möglich zu halten.

Die vorliegende Arbeit untersucht den Zusammenhang von IT-Sicherheit und IT-Forensik in Bezug auf Wirtschaftskriminalität in Banken. Hierfür wird bei der Analyse und Beschreibung des Security Engineering der Fokus auf die Verhütung von Wirtschaftskriminalität gelegt und es findet sich der Bezug der digitalen Forensik auf die speziellen Begebenheiten der Kreditinstitute. Fließende Übergänge zwischen dem Engineering und der Forensik sind dort zu verzeichnen, wo die Architektur eines Sicherheitskonzepts bereits vorbereitend Angriffsaktivitäten feststellen, loggen und verzeichnen kann. Hierunter fällt bspw. der Teilbereich der „Intrusion Detection“, der mit Hilfe von Intrusion Detection Systemen die gesamte Infrastruktur ständig überwacht und auffälliges Verhalten an die Incident Response-Stelle meldet.

Die Sicherung von Systemen gegen einen Einbruch ist Aufgabe des Security Engineering. Ein weiterer sehr interessanter Teilbereich der IT-Security ist die Erkennung und Analyse eines Einbruchs oder Einbruchsversuchs, was mit verschiedenen Zielsetzungen ausgeführt werden kann. Für diese Analyse bietet der Markt eine unzählige Anzahl an Werkzeugen an, die mit ihrem Funktionsumfang die Erkennung des Angriffs und den gesamten forensischen Prozess abdecken können. Die Analyse einer kleinen Auswahl dieser Werkzeuge ist die Zielsetzung der vorliegenden Arbeit.

Verständlich ist in diesem Zusammenhang, dass interne Verfahrensweisen der Banken vertraulich sind und nicht veröffentlicht werden dürfen. Deshalb wurde für die wenigen verwendeten internen Angaben keine Freigabe erteilt so dass Quellverweise unkenntlich gemacht werden mussten.

2 Wirtschaftskriminalität in Kreditinstituten

Die Kriminalstatistiken der deutschen Innenministerien gliedern kriminelle Aktivitäten in mehrere thematische Teilbereiche. Jede dieser Gruppierung erfüllt eigene Besonderheiten und Zielsetzungen. Angriffe auf Unternehmen und wirtschaftlich tätige Personen, die sowohl aus dem Inneren der Unternehmung wie auch von unternehmensfremden Personen durchgeführt werden und auf den wirtschaftlichen Hintergrund des Angriffsobjekts abzielen, fallen in den Bereich der Wirtschaftskriminalität. Der Begriff bezieht sich generell auf alle kriminellen Aktivitäten, die sich im Zusammenhang mit Unternehmen und des Wirtschaftskreislaufs bewegen.

Das Bundesministerium des Inneren [BMI11] definiert Wirtschaftskriminalität im Wesentlichen als „ Bereicherungskriminalität, die verübt wird im Zusammenhang mit der […] Erzeugung, Herstellung und Verteilung von Gütern oder der Erbringung und Entgegennahme von Leistungen des wirtschaftlichen Bedarfs “. Eine genaue, rechtlich eindeutige und einheitliche Definition gibt es jedoch nicht [BMI11].

Der Bankensektor ist ein fundamentaler Bestandteil des Wirtschaftskreislaufs. Als die zentrale Stelle der wirtschaftlichen Geldflüsse und durch die engen Verflechtungen mit der Wirtschaft, stellt der internationale Bankensektor ein Machtgefüge dar, das selbstverständlich auch auf kriminelle Energien attraktiv wirkt. Der Finanz- und Bankenplatz offeriert Dienstleistungen, die kriminelle Aktivitäten fördern und erleichtern. Als eines der wichtigsten Beispiele ist hier die Geldwäsche zu nennen.

Angriffe auf Kreditinstitute können umfangreiche und unterschiedliche Auswirkungen haben. Neben dem materiellen Schaden, den ein Angriff auslösen kann (erpresste Zahlungen, Zerstörung von Daten und Hardware) gehen Schätzungen davon aus, dass 90% der erfolgten Datensabotage und -ausspähung nicht gemeldet werden, weil Angst vor weiteren Reputationsschäden besteht [Sien94]. Dies ist insbesondere bei Kreditinstituten ein sehr kritischer Punkt, da Finanzdienstleistungen sehr homogen sind und stark durch Image und Markenwert der Bank beeinflusst werden.

Durch Verschiebungen der kriminellen Aktivitäten in den Bereich der elektronischen Datenverarbeitung und die bankenspezifisch hohe Geschäftsprozessautomatisierung und damit einhergehende großen und kritischen Datenmengen sind Banken in hohem Maße gefährdet.

Wirtschaftskriminalität umfasst demnach mehrere nicht klar abzugrenzende Delikttypen, die teilweise der Computerkriminalität zugeordnet werden können.

2.1 Delikttypen

Das Strafgesetzbuch und diverse Strafnebengesetze[1] definieren eine Großzahl von Delikttypen, die unterschiedlich stark dem Bereich der Wirtschaftskriminalität zugeordnet werden können. Die wichtigsten Delikte in Bezug auf Kreditinstitute sind in nachfolgender Aufzählung genannt:

- Betrug und Veruntreuung
- Korruption
- Erpressung
- Datendiebstahl, Spionage und Konkurrenzausspähung
- Veränderung und Beschädigung von Daten (Sabotage)

Wenn die oben angeführten Delikte unter Zuhilfenahme von EDV-Systemen durchgeführt werden, liegt eine sogenannte Computerstraftat [Dude07] vor.

Um an die Daten des angegriffenen Unternehmens zu kommen um damit kriminelle Handlungen vollziehen zu können, ist es notwendig, dass sich der Angreifer Zugriff (technisch) oder Zutritt (physisch) verschafft. Häufig ist diese Zuordnung jedoch nicht eindeutig, da Angreifer sich ggf. mit Methoden des Social Engineering[2] Zutritte ermöglichen, die den technischen Zugriff (für Serverräume oder Büros mit Netzwerkanbindung) erleichtern [MiSi06a, S. 192].

2.2 Angriffsarten

Während es diverse Angriffsarten gibt, die nur die Zielsetzungen der Schädigung ohne finanzielle Vorteilsverschaffung haben und meist beliebige Opfer ausgesucht werden, sind die Angriffsarten, die unter den Bereich der Wirtschaftskriminalität fallen, davon abzugrenzen. Diese sind meistens dazu geeignet, dem Angreifer einen Vorteil zu bringen, der sich auch durch die Reduktion der Wettbewerbsfähigkeit des Angegriffenen zeigen kann. Der Schwerpunkt der vorliegenden Arbeit liegt auf diesen Angriffsarten. Auch Malware kann genutzt werden, um den Angriff zu ermöglichen oder zu vereinfachen (bspw. Trojaner), und muss von den Programmen differenziert werden, die rein vandalistische Ansätze verfolgen (bspw. div. Viren). Eine große deutsche Bank hat in ihrem internen „whistle blowing“-Formular die Angriffsarten Denial of Service (DoS), Spionage, Sniffing, Intrusion/Hack, unautorisierte Benutzung und probing/scan zur Auswahl aufgelistet [Bank10], welches einen guten Überblick über die Angriffsarten gibt, mit denen Banken derzeit rechnen.

Die im weiteren Verlauf durchleuchteten forensischen Untersuchungswerkzeuge beziehen sich auf den klassischen Hacker-Angriff im Sinne eines Systemeinbruchs. Hierbei hat der Hacker eine bekannte oder neue Schwachstelle im Zielsystem, sogenannte Exploits [MiSi06b, S. 76], gefunden und nutzt diese um mit Administrationsrechten das System zu eigenen Zwecken zu nutzen oder zu stören. Häufig werden die Sicherheitslücken von den Herstellern entdeckt und Patches zur Verfügung gestellt, bevor erste Exploits auf dem Markt existieren. Dies ermöglicht den Angriff im Zeitraum zwischen der Veröffentlichung des Exploits und der Patchinstallation.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Von der Lücke zum Exploit [Luth04, S. 10]

Diese Angriffe können über verschiedene Tools erkannt (Intrusion Detection Systeme) und auf hinterlassene Spuren untersucht (IT-Forensik) werden.

Die Aufklärung anderer Arten von wirtschaftskriminellen Aktivitäten können ggf. auch durch andere Werkzeuge unterstützt werden. Eine kurze Darstellung dieser Möglichkeiten findet sich in den Kapiteln 2.2.1 Externe Angriffsarten und 2.2.2 Interne Angriffsarten.

Auch die wirtschaftlichen Folgen unterscheiden sich stark zwischen den verschiedenen Angriffsarten und Zielsetzungen des Täters. Einen großen Einfluss auf die Schadenshöhe hat auch der Zeitpunkt der Erkennung, was im Wesentlichen durch die eingesetzten Intrusion Detection Systeme (IDS) bestimmt wird und durch das Verhalten nach dem Bekanntwerden des Angriffs (Incident Response). Während eine hohe Qualität des IDS eine frühe Erkennung und schnelle Schadensvermeidung ermöglicht, ist ein ausgeklügeltes und gefestigtes Incident Response System die Grundlage für zeitnahe und korrekte organisatorischen Prozesse und Entscheidungen, die eine genauere Abschätzung des Schadensausmaßes ermöglichen und die Tätersuche beschleunigen und vereinfachen.

Auch wenn diese Vorbereitungen die Kosten des Angriffs reduzieren, so lässt sich die Schadenshöhe meist nur schwer beziffern. Insbesondere die Kosten des Reputationsverlustes, wenn Informationen über das Eindringen und den Datendiebstahl in der Öffentlichkeit bekannt werden, lassen sich nur schwer abschätzen [Spie11b]. Schadensersatzforderungen von Dritten die über oder durch lokale Versäumnisse ausgelöst werden oder verloren gegangene – und damit vielleicht nicht mehr nachvollziehbare - Ausgangsrechnungen können direkte Kosten verursachen. Mit exorbitanten Millionenforderungen sind schweizerische und liechtensteinische Kreditinstitute erpresst worden, denen Kundendaten abhanden gekommen sind[3]. Doch auch die Wiederherstellung gelöschter Daten, sofern dies möglich ist, benötigt hohe zeitliche Investitionen und verursacht damit hohe Kosten in den Unternehmen.

Wie weitreichend die Auswirkungen der unterschiedlichen Angriffsarten sind, hängt auch stark von der Motivation der Angreifer ab. Eine Studie [PwC09] findet fünf verschiedene Grundtypen von Angreifern die unterschiedliche Motivationen haben. Je nach Motivation und Stellung zum Angriffsobjekt ergeben sich auch unterschiedliche Angriffsarten die in nachfolgender Tabelle kurz dargestellt sind.

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 1: Täterprofile und Angriffe [nach PwC09]

Da in der Studie der Motivationstypus des „Zerstörers“ fehlt, ist dieser gesondert zu nennen. Der „Zerstörer“ schädigt den Angegriffenen aus Rache oder anderen niederen Beweggründen ohne einen mittelbaren finanziellen Vorteil zu erhalten. Auch die Spionage ist in der Studie nicht erwähnt worden. Bei der Wirtschaftsspionage wird ein Unternehmen von einem anderen Unternehmen angegriffen und ausspioniert um dem Angreifer eine Vorteilnahme zu ermöglichen. Zusätzlich gibt es nach [Gesc04] noch politische/staatliche Täter, die neben der Wirtschaftsspionage auch nachrichtendienstliche oder terroristische Aufklärung mit Hilfe der Computerkriminalität betreiben.

Geschonneck [Gesc04, S. 15] gliedert die Motivationen in folgende Gruppen: soziale, technische, politische, finanzielle und staatlich-politische Motivation. Es lassen sich große Überschneidungen zur Studie der PwC entdecken.

Banken und Kreditinstitute sind speziellen Risiken ausgesetzt, wobei ein Großteil der Angriffe auf den Bankkunden statt auf die Infrastruktur der Bank abzielt. Da der Mensch häufig das „schwächste Glied der Kette“ ist [MiSi06a, S. 19f.], ist dieser auch ein häufiges Angriffsziel. Im Zusammenhang mit Banken sind hier insbesondere Phishing[4] -Angriffe über Spammails zu nennen, die unbedarften Kunden PINs und TANs entlocken. Entwicklungen in den Sicherheitskonzepten der Banken konnten durch Verbesserungen des Verfahrens das Risiko verringern (bspw. durch iTAN oder mTAN), es gibt aber weiterhin diverse Vorfälle. Auch deswegen scheinen sich die Angriffsarten auf Kreditinstitute zu verändern und mehr auf das Eindringen in das Netzwerk abzuzielen [HaKöOs11]. Alleine für das Jahr 2011 finden sich u.a. Angriffe auf Kreditkartendaten der Citibank, Einbrüche in das Homebanking der Hypo-Vereinsbank, ein Trojaner-Angriff auf diverse Belgische Konten und vieles mehr. Neben dem Zugriff auf Konten bieten Daten und Informationen, die in Kreditinstituten verarbeitet werden wertvolle Insider-Informationen, die an der Börse Milliardengewinne bescheren können [HaKöOs11].

2.2.1 Externe Angriffsarten

Ein externer Angriff ist die Aktion eines Angreifers, die ohne die Unterstützung des bedrohten Systems durchgeführt wird [Ecke09, S. 181]. Bezogen auf den Bereich der Kreditinstitute heißt das, dass keine bankeigenen Mitarbeiter involviert sind, die den Angriff selbst durchführen oder unterstützen. Angriffe, die sich den Maßnahmen des Social Engineering bedienen und dadurch durch unauffällige Aktivitäten innerhalb des Bankgebäudes „Hilfe“ von gutgläubigen Mitarbeitern erhalten, zählen meistens auch zu den externen Angriffen, da die Mitarbeiter selbst keine kriminellen Ziele verfolgt und lediglich durch mangelnde Sensitivität in den Sicherheitsbereichen die Sicherheitslücken öffnen [MiSi04].

Es gibt Angriffsarten, die explizit durch die Tätigkeit des Angreifers möglich sind und daher an die Person oder dessen Rolle geknüpft sind. Hierunter fallen bspw. die Tatbestände des „Management Override“[5], die Untreue und Unterschlagung sowie Betrug. Andere Angriffe sind am Angriffsobjekt festzumachen, bspw. den Unternehmensdaten oder an Gegenständen im Besitz des Unternehmens. Ein Angriff hierauf ist auch von außen möglich, in dem man sich den Zugriff auf einen Mitarbeiter oder das Objekt verschafft.

Die Beiden bereits angesprochenen Punkte der reinen Sachbeschädigung und der politischen Spionage sind ebenfalls den externen Angriffen zuzuordnen. Das klassische „Defacing“, also das Entstellen oder Verändern von Webseiten ist eine Art Wettkampf der Cracker[6] und dient meistens der Anerkennung im entsprechenden sozialen Umfeld. Eine der bekanntesten Webseiten, die von Crackern defaced wurden, ist die Seite des Weißen Hauses [MiSi06b, S. 67f.].

Aufgrund immer weiter verbreiterter Computerkenntnisse entwickeln sich Hacks neuerdings auch als eine Art politisches Statement, unabhängig von einem staatlichen Anschlag. Als Beispiele kann man hier den (erfolgreichen) Angriff auf PayPal im Jahr 2010 nennen, den eine Hackergruppe durchgeführt hatte, da PayPal die Weiterleitung von Spenden an WikiLeaks[7] verweigert hatte [MaMa10] oder die Angriffsserie auf Polizeiserver nach der Verhaftung von Anonymus [8] [Spie11a].

Man vermutet, dass Terroristen vor dem Anschlag des 11. September auf das World Trade Center in New York versucht haben, Pläne und Unterlagen der Boeing-Flugzeuge über einen Systemeinbruch zu stehlen und im Rahmen der späteren Flugzeugentführung zu nutzen [MiSi06b, S. 51ff.].

Die Finanzkrise der letzten Jahre hat gezeigt wie sensibel die Weltwirtschaft auf negative Meldungen aus der Finanzbranche reagieren kann. Die schlechte Marktlage kann zu Insolvenzen großer Banken führen und dies wiederrum eine Kettenreaktion auslösen. Deswegen stehen nach Erkenntnissen von US-Sicherheitsbehörden auch die großen westlichen Banken in Fokus von terroristischen Organisationen, die Hacker-Angriffe planen können [ZDN06]. Mögliche Angriffe zur Störung des Ablaufs könnten DoS-Attacken auf den Zahlungs- und Interbankenverkehr sein[9] oder die Durchführung von Transaktionen unter Vortäuschung einer falschen Identität, was zu weitreichenden Schäden führen würde. Demnach besteht eine hohe Anforderung an die Sicherheitsarchitekturen von Banken [Ecke09, S. 814].

2.2.2 Interne Angriffsarten

Ein interner Angriff wird von Personen durchgeführt, die zum engeren Kreis des Unternehmens gehören. Hierbei kann es sich sowohl um „Komplizen“ handeln, die von externen Angreifern überzeugt wurden, wie auch um Personen, die selbst kriminelle Zielsetzungen verfolgen [Gesc04, S. 19]. Der Gesamtverband der deutschen Versicherungswirtschaft [GDV03] geht davon aus, dass ein Anteil von bis zu 40% der Angriffe von internen Tätern durchgeführt wird. Die Studie der CSI [Rich08] präsentiert ein ähnliches jedoch nicht so deutliches Bild (Abbildung 2): ein Teil der untersuchten Unternehmen führen einen mäßigen bis hohen Anteil der verursachten Schäden auf Mitarbeiter zurück. Die abweichenden Aussagen resultieren u. a. aus einer hohen und nur schwer abschätzbaren Dunkelziffer und somit leider nur wenig genauen Statistiken [Gesc04, S. 21].

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Prozentualer Anteil an Schäden durch interne Angreifer [Rich08]

Bei der Evaluation von Statistiken ist demnach zu berücksichtigen, dass interne Angriffe häufig nicht festgestellt oder gemeldet werden. Auch können die Schäden von internen Angriffen häufig nicht genau evaluiert werden, was die vorliegende Statistik ebenfalls verfälscht.

Eine besondere Gefahr geht von frustrierten oder entlassenen Personen aus, die aufgrund ihrer betrieblichen Tätigkeit weitreichende Rechte in der Technologie-Landschaft haben. Hierunter fallen beispielsweise Systemadministratoren, die mit Hilfe ihres regulären Benutzerprofils Zugriff auf Server und Daten haben und so entweder Diebstahl betreiben können oder sich über Malware back-doors schaffen, mit deren Hilfe sie später noch in das Unternehmensnetzwerk eindringen können. Durch die einfachen Möglichkeiten des oberen Managements interne Kontrollverfahren zu umgehen (Management Override), ist es nicht verwunderlich, dass bis zu 30% der internen Angriffe von Personen des Top Managements durchgeführt werden [Krol08]. Spezielle, unbeeinflussbare technische Kontrollen könnten Schutz gegen diese eher organisatorische Aktivitäten bieten, so dass Ausnahmen unbeeinflussbar nicht möglich sind.

Die genaue Betrachtung der möglichen Angriffsarten von Innentätern führt zu dem Ergebnis, dass die Barrieren einfacher zu durchbrechen sind als von externen Angreifern. Insbesondere wenn Personen in Schlüsselpositionen Gründe finden, sich oder Dritten einen Vorteil oder dem Unternehmen einen Nachteil zu verschaffen.

Der für Betrug und Veruntreuung nötige Zugriff auf Datenbestände oder Prozesse kann sowohl zum Nutzungskonzept des Mitarbeiters gehören, als auch durch Fehler oder Fälschungen erlangt sein. Wenn die nötige kriminelle Energie beim Mitarbeiter vorliegt, kann dieser sich die Vermögensgegenstände des Unternehmens zu Eigen machen und damit zu einem Schaden beim Unternehmen führen. Hierzu ist es meistens nötig, einen Weg zu finden, interne Sicherungsprozesse zu umgehen.

In Banken kann das Umfeld und die ständige Präsenz von großen Geldbeträgen zu einer Verharmlosung von kriminellen Aktivitäten führen und den Mitarbeiter ermutigen bei Entdecken einer Sicherheitslücke diese zu nutzen. Demnach sollten Banken höchsten Wert darauf legen, dass Entscheidungen die einen Mittelabfluss vom Unternehmen bewirken immer durch mehrere Kontrollinstanzen überprüft werden, auch wenn es sich um wiederkehrende, aber vermeintlich kleine Beträge handelt.

3 Security Engineering und digitale Forensik in Kreditinstituten

Seit mehreren Jahrzehnten werden große Teile der betriebswirtschaftlichen Aktivitäten mehr und mehr durch (teil-)automatisierte Abwicklung von Rechnernetzen unterstützt, was eine immer umfassendere Datensammlung mit sich bringt. Je mehr Daten digitalisiert vorliegen, desto gravierender sind Auswirkungen der Angriffe auf diese digitalen Datenspeicher und -prozesse der Unternehmen. Insbesondere aufgrund der sensiblen Daten und der mit der Technologiestruktur zusammenhängenden Informationstiefe der Kreditinstitute ist dies eines der gefährdetsten Branchen der Wirtschaft.

Es ist daher nachvollziehbar, dass auch der Bereich der IT-Sicherheit in der Wirtschaft und den Kreditinstituten immer größeren Stellenwert gewann und sowohl technische wie organisatorische Möglichkeiten gesucht wurden, die Entwicklung der Computerkriminalität einzudämmen. Als Beispiel ist der IT-Grundschutzkatalog des Bundesamtes für Sicherheit in der Informationstechnik zu nennen, das eine umfassende Liste von Bedrohungen und möglichen Gegenmaßnahmen nennt und entsprechende Handlungsanweisungen für Unternehmen formuliert[10].

Während die Prozesse des Security Engineering primär ein technisches Umfeld schaffen sollen, in dem die Gefahr von absichtlichen und unabsichtlichen Schädigungen so weit möglich reduziert wird, sollen die forensischen Aktivitäten Auswertungen von Beweisen im Nachhinein ermöglichen. Diese Analysen werden durch die Implementierung eines durchdachten und professionellen Sicherheitskonzepts zusätzlich stark vereinfacht.

3.1 Definition und Zielsetzung des Security Engineering

Die Maßnahmen, die mit der Zielsetzung der IT-Sicherheit durchgeführt werden, werden als Security Engineering bezeichnet. Hierbei geht es um den Aufbau und den Betrieb von Securitykonzepten und –prozessen, die Gefahren erkennen und Gegenmaßnahmen etablieren.

Neben „aktiven“ Angriffen zählen auch „passive“ Gefahren dazu, die aus dem Verlust oder Ausfall von Daten und Systemen resultieren, die unbeabsichtigt auftreten. Auch für den Fall von Hardwareschäden und Naturkatastrophen gibt es Sicherungskonzepte.

Dem Security Engineering liegt dabei ein Vorgehensmodell zu Grunde das eine Analyse des berücksichtigten Systems vornimmt, ein Sicherheitskonzept etabliert und die Überwachung des Konzepts sicherstellt. Die allgemeinen Konstruktionsprinzipien sind hierbei anerkannt und unterstützen bei der Definition der Berechtigungskonzepte [Ecke09, S. 168].

3.1.1 Allgemeine Konstruktionsprinzipien

Bereits zu Beginn der elektronischen Datenverarbeitung haben sich Konstruktionsprinzipen ergeben, die bis heute die Basis des Sicherheitsmanagements darstellen [Ecke09, S. 168f.]. Die nachfolgend genannten fünf Prinzipien sind die wichtigsten und bekanntesten und sollten auch beim IT-Management von Kreditinstituten dringend Anwendung finden, um Angriffe aus dem Innern des Unternehmens zu vermeiden. Nach [Müll10, S. 158ff.] gibt es noch unzählige mehr, auf deren vollständige Nennung aus Platzgründen verzichtet wird.

Das Erlaubnisprinzip definiert dabei die Empfehlung, dass den User grundsätzlich alles verboten sein soll, sofern er nicht explizit dafür die Erlaubnis erhalten hat.

Das Vollständigkeitsprinzip fordert, dass jede Aktivität des Benutzers kontrolliert wird und gegen die aktuellen Rechte abgeglichen wird. Eine Ausnahme von der Vollständigkeit kann „Hintertüren“ öffnen, um die Rechteeinschränkungen zu umgehen.

Das Prinzip der minimalen Rechte fordert den Umfang der Rechte so minimal wie möglich. Jeder Benutzer soll nur die Rechte erhalten, die auch dringend für seine Tätigkeiten notwendig sind.

Das Prinzip der Benutzerakzeptanz fokussiert im Gegensatz zu den anderen nicht auf technische Lösungen sondern stellt die Handlungsweisen des Nutzers in den Mittelpunkt. Erst ein einfaches und verständliches System und die Sensibilität des Benutzers für den Sinn der Regelungen führt dazu, dass dieser die technischen Anforderungen nicht auszuhebeln versucht. Nur so kann bspw. vermieden werden, dass die Passwörter desktopnah frei zugänglich notiert werden, das Passwort leicht zu erraten ist oder an Kollegen weiter gegeben wird [Stub02].

Da die Sicherheit eines Systems nicht von der Geheimhaltung abhängen darf, besagt das Prinzip des offenen Entwurfs dass die Sicherheitssysteme die nötige Sicherheit bieten müssen auch wenn sie offen dargestellt werden.

3.1.2 Bedrohungsanalyse und Schutzbedarf

Nachdem die Konstruktionsprinzipien bekannt sind, ist im Rahmen eines Engineering-Prozesses eine Analyse der Bedrohungen durchzuführen, die den individuellen Schutzbedarf des Unternehmens definiert. Eckert [Ecke09, S. 181f.] schlägt hierfür die Erstellung einer Bedrohungsmatrix oder eines Bedrohungsbaumes vor. In beiden Fällen wird die Angriffsart und die Möglichkeiten der Durchführung analysiert und entsprechende Gegenmaßnahmen ermittelt.

Die hierbei ermittelten Bedrohungen können wie folgt klassifiziert werden [Ecke09, S. 181]:

- Bedrohungen durch externe Angriffe
- Datenintegrität und Informationsvertraulichkeit (Umgehen interner Kontrollen)
- Abstreiten durchgeführter Aktionen
- Spezialisten mit Insider-Wissen
- Rechtemissbrauch/Ausnutzen von Vertrauensstellungen

3.1.3 Sicherheitsarchitektur

Wenn nun die Ziele und die möglichen Risiken bekannt sind, kann ein IST- und SOLL-Zustand definiert werden, der im Rahmen des Engineering-Prozesses angeglichen werden soll. Dies erfolgt zum einen durch die Orientierung an den Grundfunktionen vertrauenswürdiger Systeme [Ecke09, S198ff.] die sich wie folgt darstellen:

- Identifikation und Authentifikation
- Rechteverwaltung
- Rechteprüfung
- Beweissicherung
- Wiederaufbereitung
- Gewährleistung der Funktionalität

und zum Anderen an allgemeinen Schutzzielen, die erreicht werden sollen [Ecke09, S6ff.]:

- Authentizität
- Integrität
- Informationsvertraulichkeit
- Unzulässiger Informationsfluss
- Verfügbarkeit
- Verbindlichkeit
- Anonymisierung und Pseudomisierung

Unter Berücksichtigung dieser Punkte ist eine allgemeine Sicherheitsarchitektur zu definieren und umzusetzen, was sowohl technisch als auch organisatorisch aufwändig und komplex ist. Die Architektur muss alle Risiken ausschalten oder reduzieren, dabei gesetzliche Rahmenbedingungen einhalten und unterstützen, darf dabei aber den betrieblichen Ablauf nicht unnötig stark einschränken. Diesen Trade-Off bestmöglich aufzulösen ist Aufgabe der entsprechenden Sicherheitsingenieuren des Unternehmens.

Während sich diese Vorgaben auf die interne Sicherheitsarchitektur beziehen, kommt bei Kreditinstituten ein weiteres großes Thema hinzu. Die Legitimation von Kunden bei der Abwicklung des elektronischen Zahlungsverkehrs. Im Privatkundenbereich wird meistens das Protokoll FinTS (ehemals HBCI) und Internetbanking über PIN/TAN-Verfahren genutzt. Hierbei ist die Herausforderung das Verfahren auch in Bezug auf Phishing-Attacken zu sichern. Die Legitimationsverfahren im Firmenkundenbereich sind wesentlich detaillierter und komplexer. Während die Großbanken mehrere Standard-Tools anbieten, die von Kunden genutzt werden können und entsprechende gesicherte Schnittstellen und Gateways implementiert sind, gibt es auch Großkunden die proprietäre Formate verwenden wollen. Diese Tools und individuelle Lösungen ermöglichen die automatisierte Einbindung in Geschäfts- und Abstimmprozesse der Kunden, bspw. die Andienung der Gehaltszahlungen zur Bank direkt aus dem Personalabwicklungssystem. Hierbei können Kunden auch eigene Legitimationslösungen wie verteilte elektronische Unterschriften fordern. Hier ist vorstellbar, dass die Gehaltszahlungen automatisch aus dem Ungarischen Rechenzentrum angedient werden, von der Personalabteilung in London auf rechnerische Richtigkeit bestätigt und vom Geschäftsführer in Frankfurt freigegeben werden muss. Die Technik muss in all diesen Teilschritten die Vertraulichkeit und die Integrität gewährleisten und sicherstellen, dass die Autorisierungen korrekt sind.

3.2 Definition und Zielsetzung digitaler Forensik

Die digitale Forensik, auch IT- oder Computer Forensik genannt, beschreibt die Tätigkeiten, die mit der Gewinnung und Sicherung von Beweisen nach Systemeinbrüchen oder anderen digitalen Angriffen in Verbindung stehen. Die Analysen der digitalen Forensik müssen dabei so aufgesetzt werden, dass die Beweise der Wirtschaftsstraftaten gerichtsverwertbar und vollständig vorliegen. Die Beweissammlung dient hierbei sowohl der Aufklärung von Straftaten die direkt IT-bezogen sind, bspw. illegales Eindringen in das Unternehmensnetzwerk, aber auch der Aufklärung von Straftaten, die nur digital „dokumentiert“ sind, was beispielsweise durch Email-Verkehr zu korruptionellen und betrügerischen Handlungen erfolgt.

Die wichtigsten Fragen, die im Rahmen einer forensischen Untersuchung beantwortet werden sollen, zielen auf die beteiligten Personen, die Zeiträume und die Aktivität ab und untersuchen die Lücken im Sicherheitskonzept, die zu dem Problem geführt haben kann [Gesc04, S. 55]. Für forensische Untersuchungen im Zahlungsverkehr der Kreditinstitute liegt ein Schwerpunkt in der Sicherstellung der Identitäten bei der Beauftragung von Banktransaktionen.

Das BSI definiert für deren Leitfaden „IT-Forensik“ [BSI11, S. 8] den Begriff wie folgt: „IT-Forensik ist die streng methodisch vorgenommene Datenanalyse auf Datenträgern und in Computernetzen zur Aufklärung von Vorfällen unter Einbeziehung der Möglichkeiten der strategischen Vorbereitung insbesondere aus der Sicht des Anlagenbetreibers eines IT-Systems“.

3.2.1 Beteiligte Personen

Während große Unternehmen und Banken interne IT-Sicherheits- und Forensikabteilungen etablieren können, lohnt es sich in kleinen oder mittelständischen Unternehmen nicht, das dringend notwendige und umfassende Fachwissen aufzubauen. Hier wird im Regelfall auf externe Spezialisten gesetzt, die Unternehmen bei der Durchführung forensischer Untersuchungen unterstützen.

Unabhängig von der Größe des Unternehmens müssen sich die forensischen Teams aus unterschiedlichen Disziplinen zusammensetzen, um alle Anforderungen zu erfüllen. Eine große deutsche Bank gliedert ihr IT-Forensik-Team in ihrer Konzernrichtlinie entsprechend der Aufgaben in technische (Mitarbeiter der IT Security), nicht-technische (Interne Revision), juristische (Rechtsabteilung), personalrelevante (Personalabteilung) und der Compliance zugeordnete Bereiche [Bank10]. Das Team setzt sich also in der Regel aus Juristen, Revisoren, Wirtschaftsprüfern (bei finanziellen Aktivitäten), IT- und Netzwerkspezialisten und Projektmanager zur Koordination zusammen [Gesc04, S. 40]. In der selben Richtlinie ist vermerkt, dass das Forensik-Team einen engen Kontakt zum Senior oder Top Management pflegt, da auf dieser Ebene wichtige Entscheidungen getroffen werden müssen. Desweiteren wird die zentrale Abteilung zur Unternehmenskommunikation eingebunden um über interne und externe Kommunikationswege zu entscheiden.

Insgesamt ist aber darauf zu achten, dass der Kreis der involvierten Personen möglichst klein gehalten wird, da man nicht immer ausschließen kann, dass einer davon am Angriff beteiligt war.

3.2.2 Vorgehensmodelle

Obwohl es mittlerweile klare gesetzliche Regelungen und Rechtsprechungen gibt, konnte sich aufgrund der heterogenen Angriffsstruktur und Systemlandschaften bislang kein einheitliches Vorgehensmodell durchsetzen. Leidglich Grundsätze sind bekannt und zu berücksichtigen, jeder einzelne Schritt ist dann aber vom Experten zu entscheiden und zu planen.

Trotzdem haben sich einzelne Verfahrensweisen als sinnvoll herausgebildet, die im Wesentlichen in wenige Schritte eingeteilt werden können. Das BSI untergliedert in deren Leitfaden [BSI11, S. 60] den zeitlichen Ablauf einer forensischen Untersuchung in die Schritte strategische Vorbereitung (SV), operationale Vorbereitung (OV), Datensammlung (DS), Untersuchung (US), Datenanalyse (DA) und Dokumentation (DO).

Geschonneck [Gesc04, S. 56f.] gliedert die Ermittlung in die Phasen Vorbereitung, Schutz der Beweismittel, Imaging, Untersuchung und Bewertung und Dokumentation. Später auch wie Dolle in die drei Schritte Sichern, Analysieren und Präsentieren.

Die IT-Forensik Richtlinie einer großen deutschen Bank gliedert die Untersuchung nach einer Erkennung oder Meldung in die Schritte „Vorgelagerte Untersuchung“, „Formale Informationsaufnahme“ und „detaillierte Auswertung der Informationssammlung“ [Bank10]. Es gibt also unterschiedlich detaillierte Ansätze, die jedoch immer durch die Erkenntnis (Intrusion Detection) ausgelöst und dann sequenziell ausgeführt werden.

Während große Kreditinstitute und Unternehmen häufig eigene Richtlinien und Vorgehensmodelle definiert haben, entwickeln verschiedene Institute Modelle zur digitalen Forensik, die sich erwartungsgemäß im Laufe der kommenden Jahre vereinheitlichen oder sich verschiedenen Modelle als „Best Practice“ herausbilden werden [BaTu06]. Das „forensic process model“ des US Justizministeriums, das „abstract digitals forensics model“ und das „integrated digital investigation model“ orientieren sich bei ihrer Detaillierung der Prozesse ebenfalls am S-A-P Modell und untergliedern dieses in bis zu 14 Einzelschritte. Hierbei wird beim umfangreichen integrated digital investigation model die Tatortanalyse auch in einen physischen und einen digitalen Tatort unterschieden und erweitert so die Untersuchungen um die klassischen Tätigkeiten der Forensik [BuTa06].

3.2.3 Wesentliche Anforderungen an die digitale Forensik

Insbesondere wenn die digitale Forensik eingesetzt wird, um gerichtsverwertbare Beweise zu sammeln, sind hohe Anforderungen an die Methoden und Prozesse gerichtet. Um die Beweisfähigkeit vor Gericht nicht zu gefährden, finden sich in der Literatur [u.a. SaJe00] nachfolgende vier Prinzipien:

- Keine Aktionen der Ermittler dürfen die Beweisfähigkeit vor Gericht vermindern
- In den Ausnahmefällen, dass eine Person das Originalobjekt direkt betreten oder untersuchen muss, ist sicher zu stellen, dass diese Person die fachlichen Fähigkeit besitzt, die Auswirkungen des eigenen Handelns abzuschätzen

[...]


[1] Situation in Deutschland. Andere Länder haben ähnliche Gesetze in landestypischer Weise in Anwendung.

[2] Nach [MiSi06a] bezeichnet Social Engineering die Nutzung von Techniken zur Überzeugung und Täuschung von Menschen und die Ausnutzung der Hilfsbereitschaft und Höflichkeit zu unethischen Zwecken.

[3] Im bekannten Fall der „Steuersünder-CD“ ging die Bank nicht auf die Erpressung ein. So wurde die CD an die Bundesrepublik Deutschland verkauft, die sich durch steigende Steuereinnahmen bzw. Identifizierung von Steuersündern einen finanziellen Vorteil durch die gespeicherten Daten erhofften [Spie10].

[4] Phishing ist ein Kunstwort, das aus Password und Fishing zusammengesetzt ist und das Beschaffen von Passwörtern bezeichnet. Dies erfolgt im Zusammenhang mit Onlinebanking meist über falsche Emails und Webseiten, die vorspiegeln von der Bank des Angegriffenen zu sein und ihn zur Eingabe auffordern.

[5] Unter dem Begriff „Management Override“ werden Sachverhalte subsummiert in denen das Top Management ihre herausragende hierarchische Stellung nutzt, um Unternehmensregularien zu umgehen.

[6] mehrheitlich die jugendlichen und unerfahrenen sog. „Script Kiddies“

[7] WikiLeaks war eine unter dem Vorwand der Demokratie geführte Website, die diverse Geheimunterlagen der Regierungen westlicher Länder veröffentlicht hatte. Die Transparenz in politischen und diplomatischen Diskussionen und Entscheidungen führte zu diversen Skandalen und Disputen.

[8] Hacker-Gruppe die u. a. mit der DoS-Attacke gegen PayPal in Verbindung gebracht wird.

[9] bspw. auf das SWIFT- oder TARGET2-Netzwerk

[10] Detaillierte Informationen findet der interessierte Leser u. a. unter https://www.bsi.bund.de/cln_165/DE/Themen/ITGrundschutz/itgrundschutz_node.html

Ende der Leseprobe aus 74 Seiten

Details

Titel
Digitale Forensik und Werkzeuge zur Untersuchung wirtschaftskrimineller Aktivitäten im Umfeld von Kreditinstituten
Hochschule
Universität Duisburg-Essen
Note
1,7
Autor
Jahr
2011
Seiten
74
Katalognummer
V180347
ISBN (eBook)
9783656035817
ISBN (Buch)
9783656035664
Dateigröße
2439 KB
Sprache
Deutsch
Schlagworte
IT Forensk, Computer Forensik, Security Engineering, Wirtschaftskriminalität, White collar crime, Kreditinstitute, Bank, Banken, Hacker, Cracker, IT Sicherheit
Arbeit zitieren
Ralph Schimpf (Autor:in), 2011, Digitale Forensik und Werkzeuge zur Untersuchung wirtschaftskrimineller Aktivitäten im Umfeld von Kreditinstituten, München, GRIN Verlag, https://www.grin.com/document/180347

Kommentare

  • Noch keine Kommentare.
Blick ins Buch
Titel: Digitale Forensik und Werkzeuge zur Untersuchung wirtschaftskrimineller Aktivitäten im Umfeld von Kreditinstituten



Ihre Arbeit hochladen

Ihre Hausarbeit / Abschlussarbeit:

- Publikation als eBook und Buch
- Hohes Honorar auf die Verkäufe
- Für Sie komplett kostenlos – mit ISBN
- Es dauert nur 5 Minuten
- Jede Arbeit findet Leser

Kostenlos Autor werden