Thought Leadership
Eine Forensic Readiness-Strategie beschleunigt nach einem Incident die Wiederaufnahme des Arbeitsbetriebs und erleichtert die Nachforschungen für IT-Forensiker.
Laut einer Google Threat Intelligence Erhebung steht unter anderem Deutschland im Hauptfokus bei Cyber-Erpressungen. 2025 führt die Bundesrepublik die Liste der europäischen Länder an. Der Mittelstand bildet dabei eines der lukrativsten Ziele für Hacker. Im Jahr 2024 verzeichnete das Bundeskriminalamt im Bundeslagebild Cybercrime 333.268 gemeldete Straftaten, die Schäden in Höhe von 178,6 Milliarden Euro verursachten. Ein Großteil der Unternehmen hat diesen Trend bereits erkannt und Maßnahmen zur Stärkung der Cyber-Resilienz ergriffen. Ein zumeist unbeachteter Aspekt im Bereich der Absicherung digitaler Infrastrukturen ist die Forensic Readiness: Dabei handelt es sich um Maßnahmen, die zur rechtskräftigen Sicherung von Beweismitteln dienen, sollte es trotz aller Vorkehrungen zu einem Hackerangriff kommen.
Wissen bringt Geschwindigkeit
Die rasante Entwicklung von Technologien sowie das Emporkommen immer leistungsfähigerer KI-Agenten spielen digitalen Angreifern in die Karten. Deswegen veralten selbst die besten Abwehrmechanismen innerhalb kürzester Zeit. Hier setzt Forensic Readiness an: Vorab festgelegte Maßnahmen leiten Mitarbeitende und Führungspersonen bei einem Vorfall durch die wichtigsten Schritte. Eine gelungene Strategie Im Bereich Forensic Readiness und Incident Management umfasst die Sicherung von Beweismitteln, effiziente Kommunikation im Unternehmen und nach außen sowie zügiges Heranziehen von externen IT-Experten. Zusätzlich beschleunigt sie die Wiederaufnahme des Geschäftsbetriebs.
Ein Hauptziel der Forensic Readiness ist die Implementierung von Lösungen zur Steigerung der Sichtbarkeit in der eigenen IT-Infrastruktur und dem strukturellen Vorhalten von relevanten Daten zu Auswertungszwecken. Zum Beispiel in Form von Logservern und verschlüsselten Kanälen zur Datenspeicherung. Diese Vorkehrungen erleichtern IT-Forensikern Eindämmung, Rekonstruktion sowie Investigation von Incidents und sparen Firmen bares Geld. Hierzu erstellen IT-Zuständige eine Inventur aller Geräte mit Zugang zum Firmennetzwerk. Von Computern, Smartphones und Tablets über Drucker bis hin zu Maschinen in Produktionen kommt jegliche ans Netz angeschlossene Hardware auf die Liste.
Ebenso ermitteln Verantwortliche, welche Programme Daten auf Cloudspeicherplätzen lagern, diese stellen bei der Sicherung eine weitere Quelle dar und sollten daher ebenfalls überprüft werden. Mit dieser Übersicht zur Hand bauen IT-Abteilungen geschlossene Netzwerke mit sicheren Datenbahnen auf, über die alle vorfallrelevanten Informationen an einen zentralen Speicherort fließen.
Interne und externe Experten
Für Zuständigkeiten in der Belegschaft beruft die Geschäftsführung einen Krisenstab ein. Im besten Fall besteht das Team aus Verantwortlichen der Fachbereiche IT, Sicherheit und Recht. Sie erstellen Leitfäden mit Maßnahmen, die durch die wichtigsten Schritte zur Eindämmung eines Angriffs führen. Bei einem Incident sind die Rollen klar verteilt: Ein Mitglied beispielsweise informiert die Geschäftsleitung und Kollegen über den Angriff und steht für Fragen zur Verfügung. Ein Zuständiger delegiert das Trennen von Systemen und die Verwahrung relevanter Spuren. Eine weitere Person alarmiert das externe Incident Reponse Team. Dabei handelt es sich um IT-Experten, die auf Schadensminimierung und IT-forensische Sicherung sowie Nachforschungen spezialisiert sind.
Der interne Krisenstab übernimmt außerdem die Organisation regelmäßiger Notfalltrainings. Bei Table-Top-Übungen bespricht die Belegschaft theoretisch mögliche Angriffsszenarien und prüft die Schlüssigkeit der festgelegten Prozesse, Kommunikations- und Entscheidungswege. Ergänzend erproben alle gemeinsam in Hands-on-Übungen realistische Angriffe mittels Simulationen in der technischen Umgebung. Dabei gehen Verantwortliche alle zuvor festgelegten Maßnahmen von der Isolierung komprimierter Systeme über die Analyse verdächtiger Datenströme und Sicherung von Logdateien bis zur Einleitung von Gegenmaßnahmen unter Zeitdruck durch.
Der Fokus liegt dabei auf technischer Reaktionsfähigkeit und Koordination. Bei jedem Training wechseln die Szenarien: Ransomware-Angriff, komprimierte Benutzerkonten oder auffällige Verbindungen zu externen Angreifer-Servern. Das Durchspielen verschiedener Situationen gibt Einblick darin, ob Monitoring, Logging und Alarmierungsprozesse tatsächlich ineinandergreifen oder ob relevante Informationen verloren gehen.
Gut gespeichert ist halb überführt
Eine große Unterstützung für IT-Forensiker stellen Protokollierungs- und Überwachungswerkzeuge dar, die alle Daten zu einem Vorfall sammeln und überprüfen. Durch eine fortgehende Analyse eintreffender Verkehre dienen diese Programme zusätzlich als Frühwarnsystem bei Anomalien: Schnelles Eingreifen bei Attacken vermeidet Totalausfälle. Security and Eventmanagement-Systeme (SIEM) können zum Beispiel eine wichtige Säule der Forensic Readiness-Strategie bilden. SIEMs sammeln und speichern Datensätze über einen längeren Zeitraum und ermöglichen IT-Forensikern die Rekonstruktion eines Vorfalls.
Für eine hohe Sichtbarkeit auf Endpunkten und anderen Datenquellen gibt es zudem EDR- und XDR-Systeme. Erstere erkennen Bedrohungen auf Endgeräten wie Smartphones oder Laptops, während XDR-Systeme den Scope ausweiten, zum Beispiel auf Cloudsysteme und ganze Netzwerke. Auch der Einsatz eines Logservers als zentrale Speicherstelle kann ein Weg sein, um eine sichere Verwahrung und schnelle Auffindbarkeit von Daten zu gewährleisten. Experten etablieren verschlüsselte Kanäle, die Daten nicht nur abspeichern, sondern auch bei der Übermittlung verschlüsseln, um Datenmanipulation zu verhindern. Damit bleibt rechtssichere Verwertung gewahrt.
Mit einer guten Strategie zur Forensic Readiness schaffen Unternehmen Rahmenbedingungen, die bei einem Hackerangriff bares Geld sparen. Zügige Reaktionen prävenieren größere Ausfälle und beschleunigen die Wiederaufnahme des Arbeitsbetriebs. Ebenso helfen Vorkehrung hinzugezogenen IT-Forensikern bei ihrer Arbeit und erhöhen die Erfolgschancen auf Ermittlungen der Täter.
