Bechtle : 5 Fragen an Sonja Saß, IT-Forensikerin bei Bechtle.

Sonja, wie bist du zu deinem Berufswunsch IT-Forensik gekommen?

Der konkrete Wunsch, IT-Forensikerin zu werden, hat sich im Laufe der Zeit bei mir entwickelt. Mich hat das Thema Spurensicherung im Kontext der Rechtsmedizin schon sehr früh fasziniert. Ich habe alles gelesen, was am Markt verfügbar war. Nach meinem Abitur habe ich auch ein freiwilliges Jahr im OP gemacht. Einen Studienplatz in diesem Gebiet zu finden, war allerdings gar nicht so leicht. Als dann der neue Bachelorstudiengang an der Hochschule Mittweida "Allgemeine und Digitale Forensik" ausgeschrieben wurde, war für mich klar, dass ich mich dafür einschreibe. Zu Beginn meines Studiums habe ich weiterhin die allgemeine Forensik favorisiert. Ich lernte Blutspritzer zu analysieren oder Gesichtsweichteile zu rekonstruieren. Als sich der Schwerpunkt meines Studiums immer mehr auf den digitalen Bereich verlagerte, merkte ich, dass mir das liegt und ich das noch sehr viel interessanter finde. Bei der Jobsuche hatte ich schließlich ein klares Ziel: Ich wollte IT-Forensikerin werden.

Beschreibe dein Vorgehen in einem IT-Vorfall.

Das kommt ganz drauf an, um welche Art von Vorfall es sich handelt. Es gibt Standardfälle, bei denen wir eine Festplatte erhalten, weil der oder die Nutzer:in im Verdacht steht, Daten abzugreifen. Dann treffen wir zunächst organisatorische Voraussetzungen, um beispielsweise gesetzliche Bestimmungen, wie den Datenschutz, zu erfüllen. Im nächsten Schritt werden alle wichtigen Daten identifiziert und möglichst unverändert gesichert. Anschließend prüfen wir die Daten von A bis Z, analysieren und bewerten sie. Für diese Analysephase gibt es einen festen Fahrplan, der akribisch eingehalten wird. Schließlich tragen wir die Ergebnisse zusammen und ziehen Schlussfolgerungen. Auch wenn sich Fragestellungen zu Beginn unterscheiden können: Die Punkte, die überprüft werden, bleiben immer dieselben.

Wenn wir hingegen von einem Incident-Response-Vorfall sprechen, dann arbeiten wir agiler und vor allem reagieren wir sofort. Bei einem Cyberangriff beispielsweise formieren wir im Handumdrehen ein systemhausübergreifendes Team, das sich auf digitale Spurensuche begibt. Im ersten Schritt gehen wir Hinweisen in Hintergrundaufzeichnungen von Geräten und im Dateisystem nach. Sobald wir Schadsoftware gefunden haben, untersuchen wir, um welche es sich handelt und wie sie sich auf das System auswirkt. Dann wechseln wir wieder die Perspektive, fokussieren das System und lokalisieren die Schäden. Das ist deutlich komplexer und zeitkritischer. Ein gut aufgestelltes Team mit funktionierenden Kommunikationswegen ist Voraussetzung, um Ausfallzeiten und die Schadenshöhe zu minimieren. Zu jedem Vorfall gehört eine umfassende Dokumentation dazu: Denn der Kunde muss in den meisten Fällen Anzeige erstatten oder den Sachverhalt der Versicherung und dem Datenschutz melden. Solche Berichte können schon mal 80 Seiten umfassen.

Welche Fähigkeiten sind in der IT-Forensik wichtig?

Bei einem Vorfall kann es sprichwörtlich die Suche nach der Nadel im Heuhaufen sein, um zum Ziel zu kommen. Aus meiner Sicht sind dafür Neugierde und Genauigkeit Voraussetzung. Außerdem braucht es analytische Fähigkeiten, um Probleme zu erkennen, sie zu durchleuchten und bestenfalls auch zu lösen. Zusätzlich kann Empathie helfen. Denn unsere Kunden befinden sich meist in einer außergewöhnlichen und misslichen Lage. In diesen Situationen hilft es, Verständnis zu zeigen und beruhigend auf sie einzuwirken. Das allerwichtigste aber ist: im Team arbeiten und Hilfe von anderen annehmen zu können. In diesem sehr agilen Umfeld lernt man nie aus. Die Rahmenbedingungen ändern sich stetig, sodass man immer zusätzlich auf das Know-how und die Kompetenzen anderer angewiesen ist. Einzelgänger kommen da nicht weit.

Wie hältst du dich auf dem Laufenden, was die Vorgehensweisen von Cyberkriminellen betrifft?

Die IT-Forensik ist ein unglaublich weites Feld. Bei jedem neuen Betriebssystem oder Softwareupdate gibt es unzählige Änderungen, die es zu beachten gilt. Und dazu kursiert auch unglaublich viel Input, den man potenziell lesen und sich aneignen könnte. Für mich gehört es zur Routine, mich stetig in neue Themen einzulesen und aktuelle News zu verfolgen. Dafür informiere ich mich am liebsten über Communitys. Es gibt unzählige Blogs, die sich mit Themen zur Cyberkriminalität auseinandersetzen. Selbst über Twitter kann man sich auf dem neuesten Stand dazu halten. Ausführliche Berichte veröffentlichen auch die großen IT-Unternehmen selbst. Natürlich helfen auch Bücher oder Schulungen - die sind aber meistens schnell veraltet.

Was war dein verblüffendster "Fund" bei einem deiner Einsätze?

Verblüffend, im Sinne von überraschend, finde ich immer wieder, wie lange Unternehmen mit veralteten Systemen arbeiten. Bei vielen sind sprichwörtlich die Scheunentore offen. Verblüffend, im Sinne von riesige Ausmaße, war ein Vorfall Anfang des Jahres. Es handelte sich um mehrere Sicherheitslücken im weitverbreiteten Microsoft Exchange Mailserver. Betroffen war potenziell jede Organisation, die Exchange nutzt. Das Thema war lange bekannt: In den USA gab es schon die ersten Angriffe und die ersten Blogs haben darüber berichtet. Ab Februar ging es dann im Rest der Welt und natürlich auch in Deutschland los: Zehntausende Systeme allein in Deutschland waren davon betroffen. Insgesamt haben wir über mehrere Wochen an 35 Fällen gleichzeitig gearbeitet - und dafür jede verfügbare Kollegin und jeden verfügbaren Kollegen in das Projektteam geholt. Das war einfach echt viel, sehr verrückt und gleichzeitig superspannend. Am Ende ging alles gut aus und wir konnten unsere Kunden vor größeren Schäden bewahren. Danach habe ich aber erstmal Erholung gebraucht.

Karriere bei Bechtle