Fallbeispiele erfolgreicher IT-Forensik

Fallbeispiele erfolgreicher IT-Forensik (5)

Abgelaufen

Integration von Drittanbieter-Daten

In komplexen Fällen sind nicht alle relevanten Daten durch eigene Verfahren zugänglich. Deshalb integrieren wir bei Bedarf auch die Ergebnisse externer Spezialisten und Drittanbieter-Tools in unsere Analysen. Wir prüfen und verifizieren die Datenqualität und stellen sicher, dass auch diese Informationen technisch wie rechtlich belastbar nutzbar sind. So entstehen ganzheitliche Auswertungen für komplexe digitale Sachverhalte.

Praxisbeispiel - IT-forensische Integration und Analyse von Drittanbieterdaten zur Aufklärung eines Datenvorfalls

Ein international tätiges Unternehmen im Bereich der Medizintechnik kontaktierte unser forensisches Institut, nachdem es im Rahmen eines internen Audits zu Auffälligkeiten im Zugriff auf zentrale Geschäftsdaten gekommen war. Die Verdachtsmomente richteten sich nicht gegen interne Mitarbeiter, sondern gegen einen externen IT-Dienstleister, der im Rahmen eines laufenden Wartungsvertrags mit administrativen Rechten auf bestimmte Systeme ausgestattet war. Aufgrund vertraglicher Vereinbarungen wurden alle Systemeingriffe des Dienstleisters dokumentiert dennoch fehlten ausgerechnet für den betreffenden Zeitraum mehrere Protokolleinträge, die unter normalen Umständen automatisch hätten erzeugt werden müssen.

Unsere Aufgabe bestand darin die verfügbaren Systemdaten des Unternehmens mit Logdateien und Berichten des externen Dienstleisters zusammenzuführen und auf forensisch belastbare Weise auszuwerten. Dafür wurden zunächst sämtliche im Unternehmen gesicherten Serverlogs Firewalleinträge und Zugriffsprotokolle analysiert. Parallel dazu stellte der Drittanbieter ein vollständiges Archiv seiner Fernwartungsprotokolle zur Verfügung das jedoch Lücken und Unstimmigkeiten im Zeitverlauf aufwies.

Durch die strukturierte Gegenüberstellung beider Datenquellen konnte unser Team zunächst feststellen, dass es zu mehreren Systemzugriffen in einem Zeitraum kam in dem laut Dienstleister keine Arbeiten stattgefunden hatten. Diese Zugriffsmuster wurden mit weiteren Protokollen etwa aus Backup-Systemen und Zeitsynchronisierungen abgeglichen. So konnte mit hoher Genauigkeit nachgewiesen werden, dass bestimmte Dateien im Bereich der Entwicklungsabteilung verändert und einzelne Benutzerkonten temporär administrativ hochgestuft worden waren, ohne dass diese Änderungen offiziell dokumentiert wurden.

Eine besondere Herausforderung bestand in der heterogenen Systemlandschaft da die Drittanbieterlösungen auf unterschiedlichen Plattformen arbeiteten und teils proprietäre Formate verwendeten. Mit speziell entwickelten Analysemodulen konnten auch diese Daten auf einheitliche Zeitachsen übertragen und für die forensische Bewertung nutzbar gemacht werden. Die dadurch gewonnene Transparenz ermöglichte es eine vollständige Ereigniskette zu rekonstruieren, die sowohl den Zeitpunkt als auch den technischen Ablauf der kritischen Zugriffe nachvollziehbar machte.

Das Ergebnis unserer Untersuchung wurde in einem detaillierten Bericht zusammengefasst der sowohl intern zur Klärung des Vorfalls als auch im Rahmen eines juristischen Nachverfahrens verwendet wurde. Darüber hinaus konnte das Unternehmen mit unserer Unterstützung klare Richtlinien für den zukünftigen Umgang mit externen IT-Partnern etablieren einschließlich erweiterter Protokollierungs- und Kontrollmechanismen. Der Fall unterstreicht die Bedeutung einer sorgfältig konzipierten forensischen Integration von Drittanbieterdaten, wenn es darum geht komplexe digitale Vorgänge vollständig aufzuklären.