Eventlogs und ihre enthaltenen Zeitstempel sind von entscheidender Bedeutung in der IT-Forensik. Leider sind viele Eventlogs standardmäßig deaktiviert. In diesem Beitrag zeigen wir auf, welche Logs besonders wichtig sind und wie die Forensic Readiness durch ihre Aktivierung verbessert werden kann.
Forensic Readiness bezeichnet präventive Maßnahmen, die es ermöglichen, eine spätere IT-forensische Untersuchung effektiv durchzuführen. Wenn ein Unternehmen Opfer eines Cyberangriffs wird, ist es unerlässlich, diesen forensisch aufzuarbeiten. Es geht dabei nicht nur darum, den genauen Tathergang zu rekonstruieren, um möglicherweise rechtliche Schritte einzuleiten. Bei der Planung des Wiederaufbaus ist es entscheidend zu wissen, welche Sicherheitslücken ausgenutzt wurden, um die Wahrscheinlichkeit weiterer Angriffe zu verringern. Zudem ist es wichtig, aus dem Vorfall zu lernen und geeignete Maßnahmen für zukünftige Notfälle zu entwickeln und Cyber Risiken richtig zu managen.
Um belastbare Beweise zu sichern und fundierte Empfehlungen für die Zukunft geben zu können, müssen Systeme entsprechend vorbereitet sein. Dazu gehört unter anderem die Gewährleistung einer umfassenden Protokollierung oder die Erweiterung der bestehenden Protokolle. Die Empfehlungen zur Protokolldateigröße variieren je nach Art des Logs und der individuellen IT-Umgebung.
In vielen Fällen ist es jedoch ratsam, auch die Aktivierung weniger verbreiteter Protokolle zu prüfen. Oftmals sind wichtige Logs nicht standardmäßig aktiviert, weshalb eine Überprüfung und Aktivierung dieser Protokolle empfehlenswert ist.
Im Folgenden präsentieren wir eine Auswahl wichtiger Windows Eventlogs, auf die IT-Forensiker im Falle eines IT-Notfalls angewiesen sind:
Security Log
Das Security Log protokolliert eine Vielzahl von Ereignissen. Aus forensischer Sicht sind insbesondere die protokollierten Benutzeranmeldungen von großer Bedeutung, da sie Aufschluss darüber geben, wie sich Angreifer im Netzwerk bewegen. Allerdings kann die hohe Anzahl von Ereignissen zu einem überfüllten Protokoll führen, bei dem alte und möglicherweise relevante Daten mit neuen Einträgen überschrieben werden. Aus diesem Grund empfehlen wir, die Standardgröße dieser Protokolldatei zu erhöhen. Eine weitere Empfehlung ist die Erweiterung der Überwachung der Kommandozeile, um schadhafte Prozesse zu identifizieren.
System Log
Ähnlich wie beim Security Log lassen sich auch im System Log schadhafte Programme oder Prozesse erkennen. Die Event-ID 7045 zeigt beispielsweise die Installation eines neuen Dienstes an. Angreifer nutzen Dienste und geplante Aufgaben vermehrt, um nach einem Neustart des Systems Zugriff zu behalten. Die Aktivierung von nicht standardmäßig eingeschalteten Protokollen kann dazu beitragen, dass Protokolle nicht zu schnell voll laufen.
Task Scheduler / Operational Log
Im Microsoft Windows Task Scheduler / Operational Log werden alle Ereignisse im Zusammenhang mit geplanten Aufgaben protokolliert. Diese Ereignisse sind von enormer Bedeutung für die forensische Analyse, da sie zeigen können, auf welchen Systemen Angreifer Persistenz erlangt haben. Es ist jedoch zu beachten, dass dieses Protokoll in neueren Versionen von Windows (Windows 10 & 11) nicht standardmäßig aktiviert ist. Aus den genannten Gründen empfehlen wir die Aktivierung dieses Protokolls über Gruppenrichtlinien.
PowerShell / Operational Log
PowerShell ist ein vielseitiges Werkzeug zur Verwaltung von IT-Infrastrukturen und wird leider auch von Angreifern häufig genutzt. Das Microsoft Windows PowerShell / Operational Log stellt daher eine wichtige Informationsquelle für IT-Forensiker dar. Um den großen Umfang an protokollierten Ereignissen über ein Jahr hinweg bewältigen zu können, empfehlen wir, die Größe der Protokolldatei auf mindestens 1 GB festzulegen. Zudem sollte die Skriptblockprotokollierung und automatische Transkription aktiviert werden, was ebenfalls über Gruppenrichtlinien eingestellt werden kann.
Neben dem PowerShell-Protokoll sind auch die Eventlogs des Remote-Desktop-Protokolls relevant, um die Bewegungen von Angreifern zu verfolgen. Hierbei sind verschiedene Konfigurationen möglich.
Vorbereitungen treffen, um Schäden zu minimieren
Die Konfiguration der einzelnen Protokolle und die Bereitstellung der erforderlichen Ressourcen erfordern einen gewissen Aufwand. Dabei sollte jedoch das Prinzip der Datenminimierung, wie es in der DSGVO festgelegt ist, nicht vernachlässigt werden. Es ist wichtig, entsprechende Maßnahmen immer individuell mit dem Datenschutzbeauftragten abzustimmen und im Schadensfall die Verhaltenshinweise zu beachten.
Um jedoch im Ernstfall eines Angriffs nicht hilflos dazustehen, müssen eine Vielzahl von Vorbereitungen getroffen werden. Es lässt sich nicht ausschließen, dass es früher oder später zu einem IT-Sicherheitsvorfall kommt. Somit sollte man an die TOP 12 Maßnahmen bei Cyber-Angriffen halten. Die investierte Zeit, um die richtigen Voraussetzungen zu schaffen, wird jedoch den möglichen Schaden reduzieren und die Wiederherstellung des Betriebs beschleunigen.
Sie haben Fragen zum Beitrag?
Melden Sie sich bei uns, wir unterstützen Sie.
Wie können Sie uns erreichen?
Gerne telefonisch unter +49 (0)8669 9098975, per E-Mail an info@petzka-gmbh.com oder Sie verwenden das Kontaktformular unserer Webseite.