Sherlock Holmes im Firmennetz

Intrusion-Detection-Systeme (IDS), Log-Analyzer und Co., die bei Angriffen auf IT-Systeme Alarm schlagen, gehören heute zur Standardausrüstung von CIOs. Wenn es aber darum geht, einen solchen Sicherheitsvorfall gerichtsverwertbar zu untersuchen, wirds problematisch. Schliesslich blockiert eine manuelle Analyse jede Menge personeller Ressourcen und ist in vielen Fällen vergebene Müh", da üblicherweise ein Grossteil der Alarme Fehlmeldungen sind. Abhilfe schaffen können hier Incident-Response-Tools, die bei der Sammlung und Auswertung digitaler Spuren helfen. Unser Testlabor hat eines davon, nämlich Encase Enterprise von Guidance Software, genauer unter die Lupe genommen. Das Fazit: Encase Enterprise bietet ein Set aus ausgeklügelten und soliden Werkzeugen - deren Potenzial lässt sich allerdings nur dann ausschöpfen, wenn die damit arbeitenden internen Ermittler gut damit umzugehen wissen. Die Software, die auch von Ermittlungsbehörden und Kriminaltechnikern eingesetzt wird, ermöglicht es, Analysen von Live-Daten und Datenträgern über das ganze Netzwerk hinweg zentral durchzuführen. Bei einem durch das IDS ausgelösten Alarm erstellt Encase Enterprise einen Snapshot des betroffenen Systems und hält laufende Prozesse, Netzwerkverbindungen, Registry-Einträge und andere relevante Informationen in einer Datenbank fest. Analysiert werden die Daten anschliessend mit Hilfe von Enscripts, der Scripting-Sprache des Programms, oder mit SQL-Datenbankabfragen. Im Test heimste das Encase Enterprise insgesamt acht von zehn Punkten ein. Kleinere Abzüge gabs für die komplexe Bedienung und den recht hohen Preis. In der getesten Ausführung mit drei gleichzeitigen Verbindungen zu den Servlets und dem Authentifizierungs-Service Safe schlug Encase Enterprise mit rund 110000 Franken zu Buche.