Computer-Forensik: Analyse von Angriffen

Faktor Überwachung

Gegenüber der Post-Mortem-Analyse ist beim einrichten einer Backdoor der Zeitfaktor Problem und Chance zugleich. Die Alarmierung des Forensikers muss zeitnah erfolgen und dieser muss sich sehr schnell in die Netzwerk-Infrastruktur einarbeiten. Nur dies erlaubt es ihm die für die Nachverfolgung relevanten Daten von den enormen Mengen des üblichen Datenverkehrs zu separieren.

Auf der anderen Seite besteht bei einem noch aktiven oder sich wiederholenden Angriff die Chance, den Weg des Täters nachzuvollziehen und ihn unter Umständen zu lokalisieren. Damit eine einmal notwendige forensische Analyse auch im Netzwerkbereich Erfolg haben kann, ist es also sehr wichtig, die Logging-Funktionen von Routern und Firewalls, aber auch der Betriebssysteme zu aktivieren.

Praktisch alle für den professionellen Einsatz konzipierten Betriebssysteme bieten Systemprotokollierdienste, mit denen über die Aktivitäten des Systems und dessen Dienste selbst. Das gilt für Windows-Systeme ab NT aufwärts mit den System- und Anwendungsprotokollen, aber auch die Remote-Access-Logs, Logs der E-Mail-Systeme und Internet-Proxies. Diese muss der Administrator jedoch konfigurieren, manche Ereignisse werden aus Performance- oder Bequemlichkeitsgründen nicht aktiviert - beispielsweise das Logging der fehlgeschlagenen Anmeldeversuche.