Cyber security | Damage management | Information
In IT, forensic experts are among the most sought-after specialists, both by investigative authorities and companies. They are responsible for securing evidence in the event of a cyberattack. We asked our forensic expert Julian Krautwald about his work. In the first part of our interview, we find out what an IT forensic expert actually does.
Julian, you are an IT forensic expert.
How does your work differ from that of an IT expert?
The IT expert is your first point of contact for all technical matters. They ensure that your IT equipment is working properly and that you have all the tools you need to do your daily work on your work computer. They should also be the first point of contact for technical problems and malfunctions at your workplace.
More specifically, they take care of the installation, configuration, operation and maintenance of infrastructure/network components, systems and services, both hardware and software. They are responsible for technical fault diagnosis and take care of system and data recovery. They also maintain documentation of technical processes, instructions and configurations.
Then there is the IT security expert. What exactly do they do – and how do they differ from you?
You won’t notice much of the IT security expert’s work in your day-to-day activities. This is mainly because IT security experts work very closely with IT experts to implement IT security measures, but they are not the first point of contact for employees. You are more likely to notice the measures implemented by the IT security expert subconsciously. For example, when your work computer’s operating system suddenly asks you (again) to change your login password. Many of these measures initially appear to most employees as a restriction on the user-friendliness of the systems they use. Only when an IT security expert gives employees an insight into why certain measures are extremely important and what can happen if they are not implemented does this usually lead to greater acceptance of their work within the company.
And where does your work as an IT forensic expert come in?
Only when your company has already fallen victim to a cyber attack – or you at least suspect that this is the case – and the colleagues described above are unable to clearly determine how the incident occurred and/or what the best strategy is to contain the damage and return operations to ‘normal’. An IT forensic expert supports and advises these colleagues in the diagnosis, analysis and investigation of causes, but also in prioritising immediate measures in response to information security incidents.
This involves analysing large amounts of data, technical logs and entire system images. The aim of the analysis is to identify signs and causes of an information security incident, evaluate the level of compromise and, if necessary, prepare the evidence found in a form that can be used in court. In addition, they are responsible for developing defence strategies and initiating the necessary measures to mitigate damage. They also define the countermeasures. And last but not least, they document the facts and the activities carried out.
What questions should victims ideally be able to answer so that you can quickly clarify and deal with the cyber emergency?
To clarify what happened, it should at least be possible to answer the classic W questions:
Questionnaire in an emergency
In general, however, the more detailed the incident can be described, the better it is for diagnosing and solving the problem. If a smartphone with a camera function is available, it can also be helpful to document the incident with photos.
(End of Part 1)
Cybersicherheit | Schadenmanagement | Hinweise
In der IT gehören Forensiker zu den meistgesuchten Spezialisten überhaupt, bei Ermittlungsbehörden wie in Unternehmen. Sie kümmern sich um Spuren- und Beweissicherung im Falle einer Cyberattacke. Wir haben unseren Forensik-Experten Julian Krautwald zu seiner Arbeit befragt. Im ersten Teil unseres Gesprächs erfahren wir: Was macht eigentlich ein IT-Forensiker?
Julian, Du bist IT-Forensiker. Was unterscheidet deine Arbeit von der Tätigkeit eines IT-Experten?
Der IT-Experte ist Ihr erster Kontakt, wenn es um “alles Technische” geht. Er sorgt dafür, dass Ihre IT-Geräte ordnungsgemäß funktionieren, und Sie alle nötigen Werkzeuge haben, um Ihre tägliche Arbeit an Ihrem Arbeitsplatzrechner durchzuführen. Darüber hinaus sollte er die erste Anlaufstelle bei technischen Problemen und Störungen an Ihrem Arbeitsplatz sein.
Genauer gesagt kümmert er sich um die Installation, Konfiguration, den Betrieb und die Wartung von Infrastruktur-/Netzwerkkomponenten, Systemen und Services, sowohl Hard- als auch Software. Er ist verantwortlich für die technische Fehlerdiagnose und kümmert sich um die Wiederherstellung von Systemen und Daten. Außerdem betreut er die Dokumentation von technischen Prozessabläufen, Handlungsanweisungen und Konfigurationen.
Dann gibt es ja noch den IT-Sicherheitsexperten. Was macht der genau – im Unterschied zu dir?
Von den Tätigkeiten des IT-Sicherheitsexperten merken Sie bei Ihrer alltäglichen Arbeit erst einmal nicht viel. Dies liegt vor allem daran dass der IT-Sicherheitsexperte sehr eng mit dem IT-Experten zusammenarbeitet, um IT-Sicherheitsmaßnahmen umzusetzen, aber eben nicht um der erste Ansprechpartner für die Mitarbeiter zu sein. Die umgesetzten Maßnahmen des IT-Sicherheitsexperten bekommen Sie eher unterbewusst zu “spüren”. Zum Beispiel, wenn Sie von Ihrem Betriebssystem Ihres Arbeitsplatzrechners auf einmal (mal wieder) dazu aufgefordert werden, Ihr Passwort für die Anmeldung zu ändern. Viele dieser Maßnahmen wirken für die meisten Angestellten erst einmal als Einschränkung der Benutzerfreundlichkeit der zu nutzenden Systeme. Erst wenn ein IT-Sicherheitsexperte den Mitarbeitern einen Einblick darüber gibt, warum bestimmte Maßnahmen äußerst wichtig sind, und was passieren kann, wenn man diese nicht umsetzt, führt dies meist zu mehr Akzeptanz seiner Arbeit im Unternehmen.
Und an welcher Stelle wird deine Arbeit als IT-Forensiker erforderlich?
Erst, wenn Ihr Unternehmen bereits Opfer eines Cyberangriffs geworden ist – oder Sie zumindest vermuten, dass dies der Fall ist – und die oben beschriebenen Kollegen nicht eindeutig bestimmen können, wie es zu dem Vorfall gekommen ist, und/oder was die beste Strategie ist, den Schaden einzudämmen und den Betrieb wieder in den “Normalzustand” zu führen. Hier unterstützt und berät ein IT-Forensiker diese Kollegen bei der Diagnose, Analyse und Ursachenforschung, aber auch bei der Priorisierung von Sofortmaßnahmen als Reaktion auf Informationssicherheitsvorfälle.
Es geht hierbei um die Analyse großer Datenmengen, technischer Protokolle und ganzer Systemabbilder. Das Ziel der Analyse: Anzeichen und Ursachen eines Informationssicherheitsvorfalls nachzuweisen, das Kompromittierungsniveau zu evaluieren und ggfs. die gefundenen Beweise gerichtsverwertbar aufzubereiten. Darüber hinaus ist er verantwortlich für die Erarbeitung von Abwehrstrategien und die Einleitung erforderlicher Maßnahmen zur Schadensminderung. Er definiert auch die Gegenmaßnahmen. Und nicht zuletzt dokumentiert er den Sachverhalt und die durchgeführten Aktivitäten.
Welche Fragen müssen die Opfer im Idealfall beantworten können, damit Sie den Cybernotfall schnell aufklären und behandeln können?
Für eine Klärung der Geschehnisse sollten zumindest die klassischen W-Fragen beantwortet werden können:
Fragenkatalog im Notfall
Generell gilt aber: Je detaillierter der Vorfall geschildert werden kann, desto besser ist das für die Problemdiagnose und -lösung. Sollte ein Smartphone mit Kamerafunktion zur Hand sein, kann es auch helfen, wenn der Vorfall zusätzlich mit Fotos dokumentiert wird.
(Ende Teil 1)