IT-Forensik

Virtueller weltweiter Bankraub

Von Christian Raum · 2018

Tunnel graben oder IT-Netzwerke hacken? In zwei wichtigen Punkten ähneln sich Banküberfälle von damals und heute – die Angreifer kommen „low and slow“. Sie geben den Opfern kaum eine Chance, ihren echten oder virtuellen Tresor zu verteidigen. Und sie machen es den Beraubten ausgesprochen schwer, die Einbrecher zu verfolgen oder zu überführen.

Ein Krimineller greift in einen Programmiercode. Thema: IT-Forensik
Die Angreifer kommen „low and slow“, deshalb sind Cyberattacken nur schwer gerichtsfest nachweisbar.

Bis die virtuellen Alarmglocken anspringen, haben die Angreifer die Netzwerke meist schon lange wieder verlassen. IT-Forensiker übernehmen den Fall und versuchen die Spuren der Attacke zu finden. Keine leichte Aufgabe. Ein Bankenkonzern betreibt Rechenzentren und Netzwerke auf allen Kontinenten. Tausende Mitarbeiter greifen gleichzeitig auf die Datenspeicher zu. Im Takt von Millisekunden überträgt das Unternehmen Datenströme in seine Niederlassungen.

Dieses Rauschen der Daten ist die ideale Tarnung, aus der die Angreiferzuschlagen – und in die sie wieder verschwinden. Hier beginnen die Forensiker nach einem – möglicherweise – winzigen Datensatz zu suchen. Ihre Hoffnung ist, dass ein Einbrecher beim Rückzug etwas übersehen hat.

Auf der Suche nach Fehlern

Die IT-Forensiker treten häufig gegen Täter an, die sie als „brillant“ bezeichnen. Sie wissen, dass sie vor allem darauf vertrauen müssen, dass die Gegner einen Fehler machen. Und genau diesen einen Fehler zu finden ist aufwändig und kompliziert. 

Deshalb springen Big-Data-Systeme an und suchen nach Anomalien. Um allerdings aus diesen Anomalien zu schließen, dass es sich um einen Angriff oder gar um einen Straftatbestand handelt, gehört noch einmal viel Datenaufbereitung und Analyse. Die Herausforderung ist es, in Millionen Daten das eine Muster zu finden, mit welchem die Ermittler gerichtsfest einer bestimmten Person den Angriff nachweisen. 

Schließlich diskutieren Rechtsabteilung und Management die Frage, ob sie den Vorfall öffentlich machen – etwa indem sie die Beweise gegen einen mutmaßlichen Angreifer zusammenstellen und diese Person anzeigen. Doch sehr häufig werde dieser Gedanke verworfen, berich-
ten Experten. 

Denn das Management fürchte um Marke und Ruf. In anderen Organisationen warne die Rechtsabteilung vor juristischen Konsequenzen, weil persönliche Daten von Kunden oder Mitarbeitern verloren gegangen sein könnten.     

IT-Forensik: Schwierige Beweisketten für das Gericht

Und die Ermittler haben als Nachweise typischerweise nur sehr abstrakte Muster oder Indizien, die sie zu einer Beweiskette zusammenfügen. Eine Beweisführung, die für IT-Laien kaum nachvollziehbar ist. Auch in diesem Fall raten Anwälte oft von einer Klage ab. Ihre Sorge ist, dass die Beweise vor den Gerichten nicht standhalten. 

Denn auch kriminelle Hacker verlassen sich auf spezialisierte Anwälte. Hacker und Anwälte kennen die Schwächen der Netzwerke und der IT-Abteilungen sehr gut. Die Rechtsvertreter der mutmaßlichen Angreifer können einen Prozess platzen lassen, wenn sie nur den Nachweis erbringen, dass ein einzelnes kleines aber notwendiges Sicherheitsupdate nicht installiert war. In so einem Fall ist das Ende oft versöhnlich: Opfer und Täter suchen das Gespräch. Man lernt sich kennen, man schüttelt sich die Hände und beschließt – nach einer Vereinbarung über Schweigegeld – sich in Zukunft aus dem Weg zu gehen.

Weiterführende Artikel

Array
(
    [micrositeID] => 25
    [micro_portalID] => 25
    [micro_name] => IT-Sicherheit
    [micro_image] => 4600
    [micro_user] => 1
    [micro_created] => 1462280263
    [micro_last_edit_user] => 1
    [micro_last_edit_date] => 1567518648
    [micro_cID] => 823
    [micro_status] => 1
    [micro_cache] => 0
    [deleted] => 0
)