Bundesamt für Sicherheit in der Informationstechnik

G 2.142 Zerstörung von Beweisspuren bei der Behandlung von Sicherheitsvorfällen

Wenn bei der Behandlung von Sicherheitsvorfällen unvorsichtig oder nicht nach Vorgaben agiert wird, kann es dazu führen, dass wichtige Beweisspuren für die Aufklärung oder spätere juristische Verfolgung unbeabsichtigt zerstört werden.

Beispiele hierfür sind:

  • Ein Administrator stellt auf seinem System fest, dass der zur Verfügung stehende Speicherplatz schlagartig kleiner wird und keine Daten mehr gespeichert werden können. Um schnell Speicherplatz freizumachen, löscht er sofort alle Protokolldateien. Diese Protokolldateien hätten jedoch bei einer späteren Untersuchung eventuell enthüllt, dass der Server angegriffen wurde und die möglichen Quellen gezeigt.
  • Auf einem PC hat ein Angreifer einen Computer-Virus oder ein trojanisches Pferd hinterlassen, dessen Arbeitsweise und Ziel nur im laufenden Zustand analysiert werden kann. Dafür müssten Informationen über die aktiven Prozesse und der Hauptspeicherinhalt gesichert werden. Wird das betroffene System voreilig ausgeschaltet, können diese Informationen nicht mehr für die Analyse und Aufklärung des Sicherheitsvorfalls herangezogen werden.
  • Auf einem Server wird durch einen Administrator ein laufender Prozess gefunden, der in den letzten Tagen sehr viel Rechenzeit verbraucht hat. Zusätzlich schreibt dieser Prozess viele temporäre Dateien auf die Festplatten und versendet unbekannte Informationen über das Internet. Wird der Prozess voreilig beendet und die unbekannten Dateien gelöscht, kann eventuell nicht herausgefunden werden, ob es sich um ein Angriffswerkzeug handelte und ob vertrauliche Daten versendet wurden.
  • Ein wichtiger Server wird kompromittiert, weil der Administrator durch die starke Arbeitsbelastung und ein fehlendes Wartungsfenster die letzten Sicherheitsupdates nicht einspielen konnte. Um möglichen disziplinarischen Konsequenzen zu entgehen, spielt der Administrator die fehlenden Updates ein, bevor ein Sicherheitsteam die Einbruchsursache und den entstandenen Schaden analysieren kann. Mangelnde Fehlerkultur hat somit eine Analyse des Problems verhindert.

Stand: 11. EL Stand 2009