In den letzten zehn Jahren ist die Zahl der Internetnutzer rasant gestiegen. In den Vereinigten Staaten nutzen drei von drei Personen das Internet privat oder geschäftlich. Fast täglich steigt die Zahl der Internetnutzer, was auch zu einem Anstieg illegaler Aktivitäten wie Identitätsdiebstahl, Betrug und Datendiebstahl führt. 

Netzwerkforensik umfasst das Erfassen, Aufzeichnen und Analysieren von Netzwerkpaketen, um die Ursprünge von Sicherheitsangriffen zu ermitteln. Eine forensische Netzwerkuntersuchung beinhaltet auch die Erkennung von Angriffsmustern und die Untersuchung von Angriffsaktivitäten. Die Analyse des Netzwerkverkehrs erfordert die Datenerfassung von verschiedenen Standorten und Netzwerkgeräten wie Firewalls und Intrusion-Detection-Systemen. Darüber hinaus kann Netzwerkforensik zur Überwachung, Prävention und Analyse potenzieller Angriffe eingesetzt werden.

Eine Netzwerkforensik-Untersuchung ist hilfreich, um Datenlecks, Diebstähle oder verdächtigen Datenverkehr im Netzwerk aufzudecken. Ziel dieser Untersuchung ist es, den Datenverkehr in einem Netzwerk zu identifizieren und zu analysieren, das im Verdacht steht, von Cyberkriminellen kompromittiert worden zu sein.

Bedarf an Netzwerkforensik

Viele Unternehmen haben die Anzahl der Geräte in ihren Netzwerken erhöht und Hochgeschwindigkeitsanschlüsse installiert. In den Anfängen von Unternehmensnetzwerken dominierten Computer. Heutzutage können Netzwerke dank Smartphones und internetfähiger Geräte deutlich mehr Geräte verbinden als früher. Die steigende Anzahl an Geräten im Netzwerk vergrößert die Angriffsfläche. Auch die heutigen Bedrohungen sind ausgefeilter und subtiler. Angreifer investieren viel Zeit in die Umgehung moderner Angriffe. Datenexfiltration löst meist keine Warnmeldungen aus, da sie in geringen Mengen erfolgt und verschlüsselt ist. Aufgrund dieser Gegebenheiten sind forensische Untersuchungen deutlich schwieriger und komplexer geworden. Geschulte Ermittler und fortschrittliche Tools sind für eine umfassende Untersuchung eines Angriffs unerlässlich. 

Netzwerkforensik ermöglicht es Organisationen, detaillierte Einblicke in ihren Netzwerkverkehr zu gewinnen. Ermittler können das Netzwerk durchsuchen und Einzelheiten genauer untersuchen. Dies geschieht üblicherweise in zwei Schritten. Zunächst werden Daten gesammelt. Verschiedene Suchwerkzeuge suchen anhand der gesammelten Netzwerkdaten und der daraus extrahierten Metadaten nach spezifischen Informationen. Nach der Datenerfassung erfolgt die eigentliche Datensuche. 

Bedeutung der Netzwerkforensik

Die Erfassung des Netzwerkverkehrs ist theoretisch relativ einfach, in der Praxis jedoch aufgrund zahlreicher Faktoren äußerst anspruchsvoll. Internetprotokolle sind sehr komplex, und in Netzwerken herrscht ein enormer Datenfluss. Die Aufzeichnung des Netzwerkverkehrs ist ressourcenintensiv. Aufgrund des hohen Datenvolumens ist es unter Umständen nicht möglich, alle Daten aufzuzeichnen. Daher ist es unerlässlich, die aufgezeichneten Daten auf einem externen Speichermedium zu sichern, um sie später analysieren zu können.

Die Analyse aufgezeichneter Daten ist äußerst wichtig und zeitaufwendig. Für forensische Zwecke stehen zahlreiche automatisierte Analysetools zur Verfügung, doch keines ist absolut sicher. Angreifer können schädlichen Datenverkehr leicht als legitimen Datenverkehr tarnen, wenn die Tools nicht korrekt programmiert sind. Auch menschliches Urteilsvermögen ist unerlässlich, da automatisierte Analysetools Fehlalarme auslösen können.

Netzwerkforensik ist unerlässlich, um den Ablauf eines Angriffs zu ermitteln und dessen Ursprung zurückzuverfolgen. Ermittler müssen ein ordnungsgemäßes Ermittlungsverfahren einhalten, um die gewonnenen Beweise vor Gericht vorlegen zu können.

Arten der Netzwerkforensik

TCP/IP: Netzwerkprotokolle wie das Internetprotokoll (IP) steuern TCP-Pakete im Netzwerk (z. B. im Internet), indem sie Quell- und Zielinformationen kombinieren und an die Router im gesamten Netzwerk weiterleiten. Die IP-Methoden sind auch auf Mobilfunknetze wie GPRS anwendbar, da diese ähnliche Protokolle verwenden.

Das Internet: Aus dem Internet lassen sich verschiedene Arten digitaler Beweismittel gewinnen, darunter Web-Browsing, E-Mails, Newsgroups, synchrone Chats und Peer-to-Peer-Kommunikation. Die Untersuchung von Webserver-Logs kann aufzeigen, ob und in welchen Fällen Verdächtige auf strafrechtlich relevante Informationen zugegriffen haben. Mithilfe der E-Mail-Forensik lässt sich der genaue Ursprung belastenden Materials nachweisen, da E-Mail-Header leicht gefälscht werden können und somit wertvolle Beweise enthalten. Durch Netzwerkforensik können anhand des Netzwerkverkehrs Informationen über das Benutzerkonto extrahiert werden, um festzustellen, wer einen bestimmten Computer nutzt.

Ethernet: Der Benutzer kann Ereignisse anhand der Daten auf dieser Ebene filtern. Webseiten, E-Mail-Anhänge und anderer Netzwerkverkehr lassen sich nur dann rekonstruieren, wenn sie während der Übertragung oder des Empfangs unverschlüsselt sind. Die Datenerfassung auf dieser Ebene ist vorteilhaft, da die Daten direkt mit einem Host verbunden sind.

Analyse verschlüsselten Datenverkehrs: Bei der Analyse verschlüsselten Datenverkehrs wird dieser untersucht, um festzustellen, ob er schädlichen Datenverkehr wie Malware oder andere Bedrohungen enthält. Dies geschieht durch die Erkennung verdächtiger TLS-Merkmale, beispielsweise solcher, die von ungewöhnlichen Netzwerken oder Servern stammen. Eine andere Methode zur Analyse verschlüsselten Datenverkehrs besteht in der Erstellung von Fingerabdruckdatenbanken auf Basis der generierten Daten. Diese Methode wurde jedoch kritisiert, da sie von Hackern leicht umgangen werden kann und ungenau ist.

Netzwerkforensik: Marktübersicht

Für den globalen Markt für Netzwerkforensik wird im Prognosezeitraum von 2021 bis 2027 ein jährliches Wachstum von rund 18,9 % erwartet. 

Regionale Analyse: Der globale Markt für Netzwerkforensik

Der Bericht bietet eine regionale Analyse des globalen Marktes für Netzwerkforensik, unterteilt in Nordamerika, Europa, Asien-Pazifik (APAC), Naher Osten & Afrika (MEA) und Lateinamerika. Nordamerika und Europa werden voraussichtlich den größten Umsatz für Anbieter von Netzwerkforensiklösungen generieren. Dies ist vor allem auf den globalen Fokus auf Forschung und Entwicklung (F&E) sowie Sicherheitstechnologien zurückzuführen, insbesondere in den entwickelten Volkswirtschaften der USA und Kanadas. Der asiatisch-pazifische Raum dürfte das schnellste Marktwachstum verzeichnen. Die zunehmende Verbreitung von IoT-Geräten und BYOD-Richtlinien (Bring Your Device) in Unternehmen wird das Wachstum in dieser Region antreiben.

Segmentierungsanalyse: der Markt für Netzwerkforensik

Der globale Markt für Netzwerkforensik ist segmentiert nach Anwendung, Lösung, Unternehmensgröße, Bereitstellungsmodell und Branche. 

Segmentierung basierend auf der Lösung:

• Lösungen
• Intrusion Detection System (IDS) / Intrusion Prevention System (IPS)
• Sicherheitsinformations- und Ereignismanagement (SIEM)
• Bedrohungsanalyse
• Paketmitschnittanalyse
• Analysen
• Protokollverwaltung
• Firewall
• Dienstleistungen
• Professionelle Beratungsdienstleistungen
• Ausbildung und Weiterbildung
• Design und Integration
• Unterstützung und Wartung
• Einsatzreaktionsdienste
• Managed Services

Segmentierung nach Anwendungsbereich:

• Endpunktsicherheit
• Netzwerksicherheit
• Rechenzentrumssicherheit
• Anwendungssicherheit
• Sonstige (Websicherheit und Datenbanksicherheit)

Segmentierung basierend auf dem Bereitstellungsmodus:

• Wolke
• Vor Ort

Segmentierung basierend auf der Unternehmensgröße:

• Kleine und mittlere Unternehmen (KMU)
• Großunternehmen

Segmentierung basierend auf der Vertikalen:

• Herstellung
• Gesundheitspflege
• Energie und Versorgung
• Bankwesen, Finanzdienstleistungen und Versicherungen (BFSI)
• Regierung
• Ausbildung
• Telekommunikation und IT
• Einzelhandel
• Sonstige (Medien & Unterhaltung, Luft- und Raumfahrt & Verteidigung sowie Gastgewerbe)

Wichtige Marktteilnehmer und ihre Entwicklungen: der globale Markt für Netzwerkforensik

Die wichtigsten Akteure und ihre Entwicklungen auf dem globalen Markt für Netzwerkforensik:

Hauptakteure:

• Cisco-Systeme
• Fireeye
• IBM Corporation
• Symantec Corporation
• Netscout-Systeme
• EMV-RSA

Wichtigste Entwicklungen in der Region:  

Im Februar 2017 präsentierte RSA, ein Unternehmen von Dell Technologies, seine Business-Driven Security-Architektur. Diese bietet Kunden eine neue Möglichkeit, Cyberrisiken zu managen und ihre wertvollsten Assets zu schützen. Mithilfe dieser Architektur und verschiedener angebotener Lösungen können Unternehmen jeder Größe ihre Risikosituation schneller und effizienter kontrollieren. Neben den Business-Driven Security-Lösungen von RSA umfasst das Portfolio auch Funktionen zur Bedrohungserkennung, Identitätsprüfung, Betrugsprävention und zum betrieblichen Risikomanagement.