Channel Security

Da hat der Administrator einen Angriff auf das Computersystem bemerkt. Schnell nimmt er den betroffenen Rechner von Netz, scannt ihn nach möglicher Schadsoftware, stopft die vermeintlichen Sicherheitslöcher mittels Updates und nimmt den Rechner wieder in Betrieb. Und, in der Folgezeit noch wachsamer, kann er keinen weiteren Angriff mehr entdecken. Guter Admin.
Nein, will uns das vorliegende Buch lehren. Kein guter Admin. Hier hat der Administrator deutlich zu schnell und überstürzt gehandelt. Zwar stellt er in der Folgezeit keine weiteren Angriffe fest, aber damit verhält es sich lediglich wie nach einem Einbruch: es wird nicht unbedingt gleich wieder eingebrochen. Warum auch, wenn der Dieb die interessanten Dinge bereits an sich genommen hat. Aber was passiert nach einem Einbruch? Man stellt Spuren sicher und ermittelt, was überhaupt entwendet wurde. Und genau das ist auch nach dem Angriff auf ein Computersystem erforderlich. Aber das hat unser fleißiger Admin mit seinem Aktionismus verhindert. Bei einem eventuellen Datendiebstahl werden Daten nicht "entwendet", sondern kopiert. Man kann also hinterher nicht feststellen, dass hier etwas fehlt. Um den Schaden zu bewerten, muss man also nach Hinweisen suchen, ob und was kopiert wurde. Und die finden sich manchmal im Hauptspeicher der Systems. Also müssen bestimmte Spuren am "lebenden" System gesichert werden, bevor es vom Daten- und oder Stromnetz genommen wird um weitere Untersuchungen durchzuführen. Womit wir auch beim Hauptteil des Buches wären. Aber erst der Reihe nach.
In seinem Buch führt Alexander Geschonneck anhand von Bedrohungssituation und dem typischen Ablauf von Angriffen den Leser hin zur Computer-Forensik. Er zeigt, was alles an einem System analysierbar ist und welche Werkzeuge dazu genutzt werden können. Um nicht den Rahmen des Buches zu sprengen, können einige der Themen und insbesondere die Werkzeuge nur überblickartig angesprochen werden. Ergänzt ist dies durch zahlreiche Links zum Thema oder zu den Herstellerseiten. An dieser Stelle bietet das Buch oftmals den Anstoß, um gezielt im Internet nach vorher unbekannten Themen zu recherchieren. Im größten Kapitel, "forensische Analyse im Detail", erhält der Leser sehr konkrete Anleitungen zur Analyse unter Linux und Windows, durchsetzt mit zahlreichen Screenshots und Listings. Trotz zahlreicher Informationen kann aber ein Buch auch hier nur Ausgangspunkt für die weitere Erarbeitung des Themas sein. Bis zu diesem Teil deckt das Buch die Themen "erkennen" und "ermitteln" ab. Die abschließenden Kapitel zu Backtracking und Einbeziehung der Behörden setzen sich mit "aufklären" auseinander. Hier kann das Buch nur grobe Richtlinien aufzeigen, ist das tatsächliche Vorgehen zur Aufklärung doch sehr individuell.
Das Buch liest sich recht zügig und das Thema besteht nicht nur aus Bits und Bytes, sondern ist durchaus spannend. Soweit Administratoren dieses Buch lesen, wird der eingangs beschriebene Aktionismus eher unwahrscheinlich. Das Buch richtet sich darüber hinaus auch an Sicherheitsbeauftragte bzw. -Berater, Revisoren, Ermittler und Gutachter.