Die Informationstechnologie ist in unserer Gesellschaft so gut wie unentbehrlich geworden, und oft sie hat den Status einer kritischen Infrastruktur erreicht, man denke nur an die weltweite Wirtschaft, den Finanzsektor, das Gesundheitswesen, die öffentliche Verwaltung, das Militär und nicht zuletzt den Bildungsbereich. Schon die kleinste Störung oder ein kurzer Ausfall von IT-Diensten hat Folgen – kaum zu beziffernde gar, wenn Firmen oder Organisationen handlungsunfähig werden. „Einen größeren Einfluss als den durch die Informationstechnologie hat die Menscheit noch nie erfahren", sagte der Präsident der International Federation for Information Processing (IFIP), Prof. Dr. Klaus Brunnstein. Da die IT-Experten nur ungenügend auf das Design und auf die Konsequenzen ihrer Produkte und deren Nutzung achten würden, sei das System zu ändern und mittels einer dem TÜV vergleichbaren Einrichtung die Qualität auf Seiten der Produzenten zu fördern. Den Schutz einer Technologie, die durchaus auch gegen die ganze Gesellschaft gerichtet werden könne, jedermanns Problem sein zu lassen, bezeichnete Carlos C. Solari, Vice President der Bell Laboratories, als erstaunlich.

Passwort-Phishing und mehr

Die richtige Reaktion auf Sicherheitsvorfälle, wie eine juristische Verfolgung des Vorfalls eingeleitet werden kann und schließlich, welche Notfallmaßnahmen es zur Sicherstellung des Weiterbetriebs der angegriffenen Infrastruktur gibt, werden zu immer wichtigeren Themen. Jens Guhl, Oberstaatsanwalt aus Konstanz, wusste zum Beispiel im Rahmen seines Vortrags „Computer-unterstützte Kriminalität: Aufklärung und Nachweis am Beispiel sogenannter Phishing-Verfahren“allein im Jahr 2006 von über 3.250 Fällen zu berichten, innerhalb derer rund 13 Millionen Euro mittels unre.htmläßig angeeigneter Passwörter und Zugangsdaten ergaunert wurden. Weitere Referenten stellten Modelle vor, die sowohl auf die Wiederherstellung als auch auf die Bereitstellung gerichtsverwertbarer Daten abzielen. Vijay K. Gurbani von den Bell Laboratories erläuterte den Zuhörern den Entwurf eines Security Risk Management Systems. Es wird dabei versucht, die Ergebnisse verfügbarer Werkzeuge, etwa so genannte Intrusion detection Systems, und anderer Überwachungsprogramme in einem System zu integrieren und schon automatisiert zu entscheiden, ob es sich bei den gemeldeten Ereignissen um einen Vorfall oder nur um „Rauschen“handelt.

   Sehr gut besucht waren die Workshops am dritten Konferenztag. Von der Praxis der Beweissicherung und von seiner Arbeit für verschiedene Ermittlungsbehörden berichtete beispielsweise Steven Wood, Alste-Technologies GmbH, der zudem Hightech-Geräte mitgebracht hatte, mittels derer sich forensische Kopien von Festplatten herstellen lassen. Suhasini Sabnis von Alcatel-Lucent vermittelte Grundlagenwissen über das neue Sicherheitsrahmenwerk X.805, das als Standard der Internationalen Fernmeldeunion (ITU) für die Bewertung von IT-Systemen und -Infrastrukturen nach Sicherheitskriterien und deren Zertifizierung ermöglicht. Und Andreas Schuster von der Deutschen Telekom AG informierte die Workshop-Teilnehmer über die Methoden der Forensik im Arbeitsspeicher von Windowssystemen. „Diese forensischen Verfahren auf einem bisher eher stiefmütterlich behandelten Arbeitsgebiet sind sehr interessant: der Arbeitsspeicher eines involvierten Rechnersystems kann wichtige Spuren eines Vorfalls enthalten, die jedoch in der Regel verloren gehen, wenn das System zur Untersuchung abgeschaltet oder vom Netz getrennt wird", erklärt Oliver Göbel, Leiter der Stabsstelle DV-Sicherheit der Uni Stuttgart (RUS-CERT). Großes Wissen und Fertigkeiten erfordere dieses für Forensiker und „CERTlinge“gleichermaßen interessante Gebiet.

   Angesichts eines Feedbacks mit zu 98 Prozent „exzellenter“ Bewertung ist eine vierte Auflage der Konferenz so gut wie sicher. „Uns geht der Stoff nicht aus", weiß Oliver Göbel, gewinnen doch die IT-Sicherheit, die Reaktion auf IT-Sicherheitsvorfälle und deren Teildisziplin, die IT-Forensik, rasant an Bedeutung.

Julia Alber