18. Dezember 2024 IT-Forensik: Im täglichen Kampf gegen Cyberangriffe [Interview]

Die IT-Forensik begibt sich auf die Spur von Cybercrime. Wie sie das genau tut und welche Methoden Kriminelle im Internet anwenden, erklärt der IT-Security-Experte Robert Luh im Interview.

Der Großteil der Straftaten findet heutzutage im Internet statt. Von Betrug über Diebstahl bis zur Erpressung – das Spektrum der Verbrechen im digitalen Raum ist breit. Robert Luh bringt als Studiengangsleiter IT-Security an der Fachhochschule St. Pölten Hunderten Studierenden das Fach der IT-Forensik näher. Im Interview erklärt er, wer hinter den meisten Cyberangriffen steckt, was die IT-Forensik tut, um Kriminellen auf die Spur zu kommen, und wieso es für seine Studierenden so wichtig ist, das Hacking-Handwerk selbst zu lernen.

Cybercrime-Forensik: im Gespräch mit Robert Luh 

Bevor wir uns der Aufklärung von Verbrechen widmen, lassen Sie uns bei den Cyberkriminellen beginnen: Auf welche Weise dringen Hackerinnen und Hacker üblicherweise in Computersysteme ein?
Robert Luh: Es gibt unzählige Möglichkeiten, in ein System einzudringen. Eine sehr häufig angewandte Methode ist Social Engineering. Das kennen wir alle in Form von Phishing-E-Mails oder Fake-Anrufen. Man nutzt also eine menschliche Schwachstelle aus, um sich Zugang zu einem fremden System zu verschaffen. Aber es gibt natürlich auch viele rein technische Ansätze. Sehr oft geht es darum, Sicherheitslücken in einer Software zu finden und auszunutzen. Manchmal geht es auch einfach nur darum, eine Applikation hochzuladen. Oder man spielt Schadsoftware auf einen USB-Stick, den man dann irgendwo liegenlässt und der von einer Person in die Arbeit mitgebracht wird, um dort nichtsahnend an den Arbeitscomputer angesteckt zu werden. Die Möglichkeiten sind nahezu unendlich.

Wie kann man sich eine Hackerin oder einen Hacker eigentlich vorstellen? Was sind das für Leute?
Luh: Es gibt dieses Stereotyp vom jungen Burschen im Keller seines Elternhauses mit tief ins Gesicht gezogenem Hoodie, der zum Spaß in irgendwelche Systeme eindringt. Dieses Bild ist ein bisschen veraltet und heute eher irreführend. Heutzutage handelt es sich um Hacker-Organisationen, die in ganz normalen Bürogebäuden sitzen, mit Personalabteilung, Marketingabteilung und IT-Support. Diese Unternehmen befinden sich meist in Ländern ohne Auslieferungsabkommen mit der EU und arbeiten de facto als Dienstleister für kriminelle Organisationen. Die beliebtesten Angriffsziele sind Unternehmen, Regierungsbehörden oder öffentliche Institutionen.

Was ist die Motivation hinter diesen Cyberangriffen?
Luh: In der Regel geht es heutzutage ums Geld. Die bekannteste Form des Angriffs ist sicherlich der Ransomware-Angriff. Da wird – meistens über Phishing-E-Mails – Schadsoftware zugestellt, die dann die Datenbestände eines Unternehmens verschlüsselt. Dann wird Lösegeld verlangt, damit die Verschlüsselung wieder rückgängig gemacht wird. Knapp dahinter in der „Beliebtheit“ rangiert schon der Datenklau. In der Regel werden Datendiebstahl und Lösegeldforderung sogar kombiniert durchgeführt, das heißt die Unternehmen werden doppelt zur Zahlung genötigt: zuerst, um die Daten zu entschlüsseln, und danach, um zu verhindern, dass die Daten im Darknet weiterverkauft werden.

Und dann ist die IT-Forensik gefragt?
Luh: Ganz genau. IT-Forensikerinnen und IT-Forensiker versuchen nun nachzuvollziehen, was genau passiert ist. Wie ist der Angriffsweg genau verlaufen? Welche Sicherheitslücken wurden ausgenutzt? Wer steckt hinter dem Angriff? Gleichzeitig versucht man natürlich, eventuell verschlüsselte Daten wiederherzustellen, damit das Unternehmen auf die Lösegeldforderung gar nicht eingehen muss. Und schließlich helfen die Erkenntnisse aus der forensischen Untersuchung auch dabei, das System so abzusichern, dass ein ähnlicher Angriff in Zukunft nicht mehr passieren kann.

Wie läuft diese Spurensuche genau ab?
Luh: Die IT-Forensik beginnt meistens an einem Tatort – ob das jetzt der sichergestellte Rechner eines Cyberkriminellen ist oder das System einer Firma, das übernommen wurde. Zunächst muss man die Geräte identifizieren, die im Kontext des Verbrechens interessant sind. Dann geht es darum, an die Daten heranzukommen, um sie untersuchen zu können. Wenn es sich jetzt zum Beispiel um den Rechner eines potenziellen Kriminellen handelt, dann müssen die IT-Forensikerinnen und IT-Forensiker selbst Hacking-Methoden anwenden, um in diese Systeme reinzukommen.

Dann kopiert man die Datenträger beziehungsweise den Speicher und geht mit der Kopie in ein IT-forensisches Labor – ungefähr so eines, wie wir es hier an der FH St. Pölten haben. Hier beginnt die Suche nach den Spuren, etwa nach installierten schädlichen Programmen. Je nachdem, wie viel Zeit, Budget und Relevanz der Auftraggeber dem Unterfangen zumisst, kann dieser ganze forensische Prozess einige Stunden bis mehrere Monate dauern.

Was ist im Idealfall das Ergebnis einer solchen Untersuchung?
Luh: Das erste Ergebnis ist natürlich, dass das betroffene System nun besser für die Zukunft abgesichert werden kann. Zweitens gibt es auch einen Lerneffekt aufseiten der forensischen Community: Man teilt das gewonnene Wissen über den Cyberangriff, um auch andere Systeme dagegen abzusichern. Zum dritten gibt es ein schriftliches Ergebnis der Untersuchung – das kann je nach Auftraggeber zum Beispiel ein Sachverständigengutachten, ein Bericht ans Gericht oder ein Report ans Firmenmanagement sein. Und das vierte Ergebnis wäre, dass die Kriminellen aufgrund der gewonnenen Erkenntnisse geschnappt werden. Das ist aber leider nur selten der Fall.

Sie lehren IT-Forensik an der FH St. Pölten. Können Sie kurz erklären, was die Studierenden hier lernen?
Luh: Wir haben an der FH St. Pölten ein „Cyber Defense Center“ aufgebaut, wo Studierende die verschiedensten Werkzeuge kennenlernen, wie man in Systeme eindringt beziehungsweise wie man dieses Eindringen wiederum entdecken kann. Dabei arbeiten wir mit „normalen“ Festplatten genauso wie mit Smartphones, mit kleinen Internet-of-Things-Geräten, oder wir untersuchen den Netzwerkverkehr. Meistens verwenden wir synthetisch generierte Daten, die wir sozusagen selbst hergestellt haben und mit denen man gut unterrichten kann. Aber manchmal bekommen wir von Firmen auch echte Fälle zur Verfügung gestellt, was natürlich sehr spannend ist.

Darüber hinaus haben wir auch einen „Honeypot“ in Betrieb. Darunter versteht man eine Art Fake-Computersystem, das vorgibt, ein echtes System zu sein. Es ist voll mit Daten, die von außen, also für einen potenziellen Angreifer, echt aussehen. Honeypots haben aber auch absichtlich platzierte Sicherheitslücken, die sozusagen einladend wirken. Wir locken mit dem Honeypot also echte Cyberkriminelle an, um dann deren Techniken beobachten und auswerten zu können. Und viel mehr möchte ich darüber gar nicht verraten, sonst haben wir nach diesem Interview nicht mehr so viele Angriffe.

Es klingt so, als wäre IT-Forensik etwas, das nur große Unternehmen brauchen oder sich überhaupt leisten können. Oder findet sie auch in der „Cyber-Kleinkriminalität“ Anwendung, also dort, wo Userinnen und User im privaten Kontext betroffen sind?
Luh: Man muss fairerweise sagen: Die Warteschlange der zu untersuchenden Delikte ist lang. Und heutzutage haben geschätzt 95 Prozent aller Verbrechen, die in Österreich passieren, eine IT-Komponente, wo also potenziell IT-Forensik zum Einsatz kommen könnte. Das bedeutet, je kleiner das Delikt ist, desto weniger Zeit kann investiert werden, um es IT-forensisch aufzuklären.

Aber im Grunde genommen würde es beim kleinen Verbrechen genauso ablaufen wie beim großen. Ein Bereich, wo IT-Forensik auf privater Ebene sehr oft zum Einsatz kommt, ist Cyberstalking – wo es darum geht, das digitale Nachstellen durch den Täter oder die Täterin nachzuweisen. Und selbstverständlich lassen sich dann auch sehr viele Spuren finden. Die Computer, die wir alle zuhause haben, zeichnen ja standardmäßig alles auf, was wir auf ihnen machen: jedes Programm, das gestartet wird, jede Webseite, die aufgerufen wird, bis hinunter zu den einzelnen Ordnern, die wir im Dateimanager öffnen. Da wird sehr viel mitprotokolliert. Das heißt, Datenspuren lassen sich sehr gut rekonstruieren. Und genau das ist die Aufgabe der IT-Forensik.

Jetzt gibt es natürlich nicht nur Cybercrime, sondern auch die „herkömmliche“ Kriminalität vom Einbruch bis zum Gewaltdelikt. Welche Rolle spielt die IT-Forensik in diesem Bereich?
Luh: Eine sehr große Rolle! Beispielsweise geht es darum, die Kommunikation von Täterinnen und Tätern rund um ein Verbrechen nachzuvollziehen. Ob das nun das Smartphone ist, über das eine verdächtige Person kommuniziert hat, oder die E-Mails, über die Daten ausgetauscht wurden, oder irgendwelche Programme am Computer, mit denen vielleicht Zahlen manipuliert wurden – all das können IT-Forensikerinnen und IT-Forensiker im Nachhinein gut rekonstruieren. Heutzutage ist es so, dass in den allermeisten Fällen der „herkömmlichen“ Kriminalität die polizeiliche Ermittlung bei den Smartphones beginnt, auf die man Zugriff hat.

Sie haben vorhin gesagt, Sie und Ihre Studierenden bedienen sich auch Methoden des Hackings, wenn Sie in Systeme eindringen. Könnte man also zugespitzt sagen, die FH St. Pölten bildet Hackerinnen und Hacker aus?
Luh: Bis zu einem gewissen Grad könnte man das so sagen, ja. Um die Verteidigung eines Systems perfekt gestalten zu können, muss man wissen, wie die kriminelle Seite agiert. Man muss die Werkzeuge und die Methoden kennen, auch die Motivation dahinter. Wir sind allerdings sehr, sehr zuversichtlich, dass unsere Studierenden mit ihrem hier angeeigneten Wissen auf der „guten Seite der Macht“ bleiben. Unsere Absolventinnen und Absolventen werden von Unternehmen gesucht und umworben, um deren Systeme sicherer zu machen. Damit entscheiden sie sich für einen spannenden und herausfordernden Karriereweg in einem immer wichtiger werdenden Themenfeld.