Digitale Forensik ist der Prozess, durch den spezielle Ermittler elektronische Beweise aus einer Vielzahl von Quellen identifizieren, professionell sichern, analysieren, dokumentieren und präsentieren. Darunter fallen Computer, Mobilgeräte, wie Smartphones und Tablets, Remote-Speichergeräte, Geräte des Internets der Dinge (IoT) und praktisch jedes andere computergestützte System.

Ursprünglich wurde der Begriff als Synonym für Computerforensik verwendet und bezog sich in erster Linie auf polizeiliche Ermittlungen, wobei der Schwerpunkt auf der Identifizierung und Verwendung elektronischer Beweismittel bei der Verfolgung von Straftaten lag. In den letzten Jahren wurde der Begriff jedoch auf viele andere Arten von Ermittlungen erweitert und umfasst heute die Untersuchung aller Systeme, auf denen digitale Daten gespeichert sind.

Ziel der digitalen Forensik ist es, die vorhandenen Beweise so zu sichern, wie sie vorliegen (oder etwaige Veränderungen bei der Sicherung auf ein Minimum zu beschränken) und gleichzeitig nützliche Informationen zu identifizieren, die dem forensischen Ermittler dabei helfen, vergangene Ereignisse zu rekonstruieren. Dazu zählt insbesondere auch die Fähigkeit aus Daten wertvolle zusammenhängende Informationen abzuleiten und zu verstehen, wie und warum gewisse Spuren auf eine bestimmte Art und Weise entstanden sind.

Digitale Forensik und Incident Response (DFIR) ist eine wesentliche Disziplin der Cybersicherheit, die sich auf die Identifizierung, Behebung und Untersuchung von Cybersicherheitsvorfällen konzentriert. Nach einem Cyberangriff hat die Wiederherstellung sowie die Geschäftskontinuität oberste Priorität. Doch die Wiederherstellung allein reicht nicht aus. Um die Bedrohung vollständig zu beseitigen und ein erneutes Auftreten zu verhindern, müssen Unternehmen das Wer, Was, Wann, Wo und Wie eines Cybersicherheitsvorfalls verstehen (Ursachenanalyse).

DFIR ist die perfekte Kombination aus zwei hochspezialisierten Teilbereichen der Cybersicherheit:

Digitale Forensik: Dieser Untersuchungszweig der forensischen Wissenschaft sammelt, analysiert und präsentiert digitale Spuren wie Benutzeraktivitäten und Systemdaten. Die Digitale Forensik dient dazu, Informationen über das Geschehen auf Computersystemen, Netzwerkgeräten, Smartphones oder Tablets aufzudecken. Sie wird häufig bei Rechtsstreitigkeiten, behördlichen Untersuchungen, unternehmensinternen Ermittlungen, kriminellen Handlungen und anderen Arten von digitalen Ermittlungen eingesetzt.

Incident Response: Dabei handelt es sich um einen strukturierten Ansatz für den professionellen Umgang mit  einer Sicherheitsverletzung oder einem Cyberangriff und der Bewältigung der Folgen. Das Ziel der Reaktion auf einen Vorfall ist es, die Auswirkungen des Vorfalls zu minimieren, sich davon rasch zu erholen und zukünftige Vorfälle zu verhindern. Dazu gehört die frühzeitige Erkennung von Cybersicherheitsvorfällen, die Eindämmung der Bedrohung, die Beseitigung der Ursache und die schnellstmögliche Wiederherstellung der betroffenen Systeme.

Business Email Compromise (BEC) bezeichnet den unbefugten Zugriff eines Angreifers auf ein oder mehrere E-Mail Postfächer. Angreifer führen BEC-Angriffe gegen Unternehmen in der Regel über Spear-Phishing-Angriffe durch, die auf relevante Führungskräfte (meist CEOs und CFOs) oder deren Vertriebsmitarbeiter abzielen, um Finanzbetrug zu begehen, beispielsweise durch die Umleitung von Zahlungen oder Überweisungen auf ein vom Angreifer kontrolliertes Bankkonto («Payment Diversion Fraud», auch bekannt als «Payment Redirection Fraud»).

In modernen Cloud-Umgebungen wie Microsoft 365 (M365) ist Finanzbetrug nach wie vor ein Hauptziel. Allerdings entwickeln die Akteure zunehmend BEC-Angriffe weiter, um sich einen größeren Zugriff auf Unternehmensdaten zu verschaffen (einschließlich ausgehender Spam-Mails an Geschäftspartner). Bedrohungsakteure erkunden vernetzte Dienste wie SharePoint, OneDrive und Teams, um sich in Netzwerkumgebungen zu bewegen, wo sie sensible Daten exfiltrieren und manchmal auch verschlüsseln bzw. Lösegeld erpressen.

Darüber hinaus kombinieren die Angreifer Spear-Phishing mit einem so genannten Adversary-in-the-Middle-Angriff (AiTM), um die Multi-Faktor-Authentifizierung (MFA) von Microsoft 365 zu umgehen und sich einen dauerhaften Zugang zu einem Benutzerkonto verschaffen.

BEC-Angriffe können erhebliche finanzielle Schäden verursachen und das Vertrauen in Geschäftsbeziehungen untergraben. Daher ist es wichtig, sich diesem Risiko bewusst zu sein und geeignete Schutzmaßnahmen zu ergreifen. Kompromittierte Accounts von Mitarbeitern können wochen- oder monatelang unentdeckt bleiben, vor allem, wenn die Bedrohungsakteure lediglich Zahlungsströme und Validierungen überwachen, um einen erfolgreichen Angriff zu planen.

Nahezu 99% der Sicherheitsverletzungen in der Microsoft Cloud sind auf Fehlkonfigurationen oder menschliches Versagen zurückzuführen (Insider-Bedrohungen ausgenommen), wodurch Unternehmen Ransomware, Phishing-Angriffen und Datenschutzverletzungen aller Art ausgesetzt sind. Aufgrund der Neuheit und Komplexität der Technologie, die sich stetig verändert und um Funktionen erweitert wird, befinden sich Best Practices in einer ständigen Entwicklung, was zu einem hohen Risiko von Fehlkonfigurationen führt.

Wir bieten Ihnen exklusiv ein kombiniertes Security Assessment Ihrer Microsoft 365 Umgebung (Microsoft Cloud Security Review) mit einem erweiterten Threat Hunting – wir nennen es M365 Compromise Assessment. Wir identifizieren Fehlkonfigurationen und Schwachstellen, verbessern die Widerstandsfähigkeit und liefern Ihrem Unternehmen umsetzbare Erkenntnisse. Wo andere Teams aufhören, untersuchen wir Ihre M365-Umgebung genauer, um auch Spuren von laufenden oder vergangenen Angreiferaktivitäten zu identifizieren, um auch bislang unentdeckte Sicherheitsverletzungen und Hackeraktivitäten zu detektieren.

Der Begriff “Triage” leitet sich vom französischen Wort “trier” (aussondern) ab und stammt ursprünglich aus der Militärmedizin und beschreibt eine Situation, in der aufgrund begrenzter Ressourcen eine Klassifizierung von Patienten durchgeführt wird. Der Zweck der Klassifizierung besteht darin, sicherzustellen, dass bei begrenzten Ressourcen die Versorgung möglichst effizient und mit minimalem Nachteil für jeden einzelnen Patienten erfolgen kann (z. B. durch Sortieren von Verletzten, um begrenzte Ressourcen auf dem Schlachtfeld rational zuzuteilen).

Die forensische Triage ist die erste Phase einer digitalen Untersuchung und ermöglicht eine schnelle Bewertung und Priorisierung digitaler Beweise. Dabei handelt es sich um einen Prozess, bei dem forensische Ermittler und/oder Incident Responder potenzielle Beweise und relevante Artefakte schnell identifizieren und kategorisieren, um den Umfang und die Richtung einer forensischen Untersuchung zu bestimmen. Das Herausfiltern dessen, was für den Fall wichtig ist und was nicht, entscheidet über Erfolg und Misserfolg einer Untersuchung. Dieser Prozess erfordert eine Kombination aus automatisierten Tools, Fachwissen und Ermittlungserfahrung (Effizienz, Genauigkeit, Ressourcenmanagement und eine schnelle und professionelle Hilfe/Reaktion).

Kurz gesagt handelt es sich bei “Triage”, um das gezielte Aufspüren und Sortieren von Informationen und Beweismitteln nach ihrer Qualität (kombiniert mit forensischen Fachkenntnissen und Ermittlungserfahrung).