• Incident Response & IT-Forensik

Spuren sichern, kriminelle Handlungen ermitteln, Wiederholungen vorbeugen

IT-Forensik dient der Aufklärung krimineller Vorfälle im geschäftlichen Umfeld und behandelt die Untersuchung von verdächtigen Vorfällen im Zusammenhang mit IT-Systemen. Ziel ist es, den Täter zu ermitteln und die Sicherheitslücke zu schließen.
@-yet organisiert den Kontakt zu den staatlichen Behörden, die für die Aufklärung und für die Verfolgung relevant sind.

Aufgrund von Unwissenheit oder fehlender Professionalität werden im Schadensfall oftmals Beweise vernichtet, da zu einem hohen Prozentsatz die Beweiskraft von elektronischen Medien in den ersten 30 Minuten nach Aufkommen des Anfangsverdachts verloren geht, etwa die Daten aus dem flüchtigen Inhalt des Arbeitsspeicher.

Analyse und Beweissicherung

Schadensbegrenzung muss – durch eine lückenlose Erhebung aller Beweise sowie entsprechender Dokumentation – sichergestellt sein und ist gleichzeitig die notwendige Beweiskraft für eine eventuelle Strafverfolgung, unter Beachtung aller gesetzlichen Vorgaben zum Beispiel auch bezüglich des Datenschutzes.

Analyse von Sicherheitsvorfällen
Viele Cyber-Angriffe könnten frühzeitig erkannt und abgewehrt werden, wenn die Vorboten rechtzeitig erkannt würden. Oft ist es das seltsames Verhalten eines Systems, eine leicht angestiegene Systemauslastung oder eine kurze Nichtverfügbarkeit, ein vermeintlich verlorener USB-Stick auf dem Parkplatz, ein angeklickter Link in einer E-Mail oder eine kurze Meldung des Virenscanners. Diesen Dingen wird meist auf Grund der hohen Auslastung der IT-Abteilung im Tagesgeschäft nicht ausreichend genug nachgegangen. Die @-yet GmbH kennt all diese Angriffsszenarien auf Unternehmen und ist in der Lage in kurzer Zeit solche Vorkommnisse zu analysieren, die mögliche Bedrohung zu erkennen und angemessene Handlungsempfehlungen auszusprechen.
Kurz erklärt:
  • Kurzfristige Analyse potenzieller Sicherheitsvorfälle
  • Entlastung der eigenen IT-Ressourcen und kurzfristige Bereitstellung von IT-Security Expertenexpertise
  • Ableiten notwendiger Handlungsempfehlungen
  • Weiterführende Unterstützung im Rahmen von Abrufkontingenten
Incident Response & Digitale Forensik
Trotz aller Maßnahmen lassen sich Sicherheitsvorfälle niemals ganz vermeiden. Ist ein Sicherheitsvorfall eingetreten, gilt es angemessen, sorgfältig sowie zeitnahe zu reagieren. Darüber hinaus müssen Spuren gesichert und der Vorfall analysiert und aufgeklärt werden. Die @-yet GmbH stellt hierfür kurzfristig ein Expertenteam für Sie bereit. Falls es sich um aktive Angriffe handelt, werden Sie bei ersten Incident Response-Maßnahmen unterstütz, um z. B. die Verfügbarkeit von Prozessen, Diensten und Daten möglichst schnell wiederherzustellen und laufende Angriffe abzuwehren. Die digitale Forensik dient parallel einer Sicherung von Beweisen, der umfassende Analyse des Vorfalls, der Aufdeckung des Angriffswegs und des Umfangs einer Kompromittierung. Idealerweise kann dies bis hin zu einer Identifikation des Angreifers führen.
Kurz erklärt
  • Kurzfristige Incident Response und Abwehr aktiver Bedrohungen
  • Durchführen einer digitalen IT-Forensik zur Tiefenanalyse und Aufklärung des Vorfalls
  • Beweis und Spurensicherung
Prüfung auf Systemintegrität
Im Rahmen von Angriffen installieren die Täter häufig „Hintertüren“ oder Schadsoftware in Systeme. Damit erhalten Sie die Kontrolle über das System, Zugriff zum Netzwerk und können kontinuierlich Daten abschöpfen, das Büro abhören oder Sabotage verüben. Besteht der Verdacht, dass ein System kompromittiert ist, ist es wichtig festzustellen, ob das System kompromittiert wurde, wie es kompromittiert wurde und von wem. Andernfalls besteht das Risiko, das die Angreifer später wieder kommen.
Kurz erklärt:
  • Beweis- und Spurensicherung
  • Suche nach bekannter und unbekannter Schadsoftware
  • Analyse des Einfallsweges
  • Analyse der Aktivitäten
Threat Hunting
Im Unterschied zu einer IT Forensik, erfolgt die Analyse im Rahmen des Threat Huntings nicht anlassbezogen, sondern unter der generellen Annahme einer bereits bestehenden Kompromittierung. Ziel ist es laufende Cyber-Angriffe proaktiv zu identifizieren und aufzudecken. Hierbei untersuchen unsere Experten Ihre IT Landschaft gezielt auf Muster und Indikatoren die auf eine solche bestehende Bedrohungen hinweisen und unterstützen Sie dabei, diese einzuordnen und zu beheben.
Kurz erklärt
  • Aufklären ob und wann ein Einbruch stattgefunden hat
  • Identifizierung von betroffenen Systemen
  • Abschätzung des Schadensfalls
  • Eindämmung und Behebung von Vorfällen
Desaster Recovery
Wiederherstellung der Betriebsfähigkeit Immer öfter verlieren Unternehmen wichtige Daten. Als mögliche Quelle können Datenfehler, versehentliches Löschen, Sabotage, Probleme mit Festplattenverschlüsselung, Crypto-Trojaner uvm. verantwortlich sein.  Dabei sind oft nicht alle Daten unwiderruflich verloren. Durch unsachgemäße Wiederherstellungsversuche können dabei oft weitere Daten überschrieben werden. @-yet bietet an die Datenträger zu analysieren und Daten soweit möglich gezielt oder umfassend wiederherzustellen. Dabei werden Maßnahmen eingesetzt um weitere Datenverluste zu verhindern.
Kurz erklärt:
  • Analyse des Löschzustandes
  • Wiederherstellen von Daten
  • Wiederherstellen von Dateisystemstrukturen
Ermittlung und Beweissicherung
Nach Sicherheitsvorfällen, im Rahmen der Beweiserhebung oder im Rahmen von selbständigen Beweisverfahren kann es erforderlich sein digitale Beweise nachvollziehbar zu sichern. Je nach Auftrag können sowohl gezielte Beweiserhebungen durchgeführt werden, wie auch forensische 1:1 Abbilder gesichert werden. @-yet setzt dabei soweit möglich auf Verfahren, bei denen die Original-Beweise nicht verändert werden. Jegliche Sicherungs- und Analyse-Schritte werden dokumentiert und können so jederzeit durch einen beliebigen anderen Sachverständigen unabhängig nachvollzogen werden. Im Rahmen der Beweisanalysen geht @-yet zügig aber sorgfältig vor. Meist deuten erste Beweise auf weitere Spuren. Daher ist die Sicherung und Analyse oft zeitkritisch, da sonst ggf. weiterführende Spuren überschrieben werden.
Kurz erklärt:
  • Zügige und nachvollziehbare Sicherung der Daten
  • Zeitnahe nachvollziehbare Auswertung der Spuren