Computer-Forensik

Die IT-Forensik oder auch Computer-Forensik bzw. Digitale Forensik ist ein Teilgebiet der Forensik. Die IT-Forensik behandelt die Untersuchung von verdächtigen Vorfällen im Zusammenhang mit IT-Systemen und der Feststellung des Tatbestandes und der Täter durch Erfassung, Analyse und Auswertung digitaler Spuren in Computersystemen. Mittlerweile ist die Untersuchung von Computersystemen auch im Zusammenhang mit „herkömmlichen“ Verbrechen, aber auch für Zwecke der Steuerfahndung, kaum noch wegzudenken. Die Untersuchung von computerbezogenen Verbrechen (Netz- bzw. Servereinbrüche, etc.) spielt meist eine untergeordnete Rolle.

IT-Forensik und Beweismittelsicherung

Um Beweise zu sichern, werden zum Beispiel Datenträger, sowie Protokolle des Netzverkehrs gesichert und analysiert. Bei der Analyse von Datenträgern wird in der Regel vorher ein forensisches Duplikat erstellt. Die Kenntnis um die Halbwertzeit der einzelnen Spuren sollte die Reihenfolge der Sicherung der digitalen Spuren bestimmen, in der Realität wird jedoch häufig nach Grundsätzen verfahren, die dieser Aussage widersprechen: Viele Verfahrensvorgaben für computerforensische Untersuchungen sehen als ersten Schritt das Ziehen des Netzsteckers und den Ausbau der Festplatten vor, woraufhin diese auf mitgebrachte Sicherungsplatten kopiert werden. Dieser Ansatz macht beispielsweise eine Untersuchung des Arbeitsspeicherinhaltes unmöglich. Darüber hinaus gefährdet er bei einigen Dateisystemen die Datensicherheit auf den Festplatten, da moderne Dateisysteme viele relevante Daten im Speicher halten, die verloren gehen bzw. nur noch teilweise durch Selbstreparaturmaßnahmen des Dateisystems wieder korrigiert werden können. Diese Option steht nach der Erzeugung einer Kopie möglicherweise nicht mehr zur Verfügung. Einzelne Softwareprodukte zur IT-Forensik tragen diesem Umstand unterschiedlich gut Rechnung.

Neben der klassischen Datenträgeranalyse von Festplatten aus PC- und Serversystemen rückt die Auswertung digitaler Spuren von Smartphones und PDAs immer stärker in den Vordergrund.

Mittlerweile bieten viele IT- und Beratungsfirmen forensische Untersuchungen als Dienstleistung an. Aber auch polizeiliche Behörden beschäftigen Fachkräfte in diesem Bereich.

Überlegungen zur Beweismittelsicherung

Um eine forensische Analyse durchführen zu können, sind im Vorfeld – bei der Sicherung des Systems – einige Dinge zu beachten:

1. Das originale Beweismaterial muss so wenig wie möglich „bewegt“ werden. Jede „Bewegung“ des Beweismaterials kann eine Verfälschung zur Folge haben
2. Die Beweismittelkette muss gewahrt werden. Dieses bedeutet und verlangt eine einwandfreie und lückenlose Dokumentation
3. Das persönliche Wissen darf nie überschätzt werden. Eine Einbeziehung verschiedener Fachleute zu Spezialthemen (zum Beispiel Datenrettung) ist in Erwägung zu ziehen.

Prozess

Zur Durchführung einer Analyse mittels IT-Forensik ist ein fester Prozess notwendig. Dieser Prozess besteht im normalen Sinne aus folgenden vier Schritten:

• Identifizierung
• Sicherstellung
• Analyse
• Präsentation/Aufbereitung

Innerhalb der Einzelschritte des Gesamtprozesses geht es im Wesentlichen um die Klärung folgender Fragestellungen im Hinblick auf die Geschehnisse, die zur Untersuchung geführt haben:

• ‚Wer‘ – Wer bewegte bzw. veränderte Daten? Wer war anwesend und beteiligt?
• ‚Wann‘ – Datum und Uhrzeit.
• ‚Warum‘ – Warum wurde eine Änderung, Bewegung und/oder Abweichung vorgenommen?
• ‚Wo‘ – Genaue Ortsangabe.
• ‚Was‘ – Was wurde genau getan?
• ‚Wie‘ – Wie wurde vorgegangen bzw. welche Tools und/oder welche physikalischen Mittel wurden eingesetzt?

Identifizierung

Da in diesem Teilprozess die Ausgangslage dargestellt werden soll, liegen die Tätigkeitsschwerpunkte in der möglichst genauen Dokumentation der vorgefundenen Situation. Neben der Bestandsaufnahme des eigentlichen Sicherheitsvorfalles und erster Vermutungen müssen unbedingt weitere Fragen für die nähere Untersuchung geklärt werden. Es folgt eine Strukturierung dahingehend, welche Formen von Beweisen den Beteiligten zugänglich sind. Sind die Beweise z. B. in Form von speziellen Log-Dateien vorhanden? Geht es um Beweise in Form von nicht-flüchtigen Datenbeständen auf vorliegenden Datenträgern? Es wird ferner festgehalten, wo diese Beweise vorrätig sind. Die Umgebungen, in denen die Beweismittel vorliegen (z. B. Betriebssysteme) werden dokumentiert und aufgenommen.

Am Ende kann durch Sichtung dieser grundlegenden Fakten eine Entscheidung darüber gefällt werden, welche Mittel zur Beweiserhebung zur Verfügung gestellt werden müssen (Relevanz). Die besondere Beachtung der Frage einer Sicherungsmethode (Backup) ist zu klären. Im folgenden Prozessschritt wird man auf nicht-flüchtige (z. B. Daten auf Festplatten) und flüchtige Daten (z. B. Daten im RAM-Speicher) stoßen, die Beweise darstellen. Es müssen daher die richtigen Mittel zur Sicherung dieser Beweise gewählt werden. Hier kann auch die Frage einer möglichen externen Unterstützung eine maßgebliche Rolle spielen.

Sicherstellung

Dieser Schritt beinhaltet die eigentliche Beweiserhebung. Unter Einsatz der bereits vorgestellten Fragematrix sind in diesem Prozess die Integrität der digitalen Beweise und das Aufrechterhalten einer Beweiskette die zentralen Aufgaben. Im Regelfall bedeutet dies das Sichern von Beweisen auf Datenträgern. Dabei sollten Medien benutzt werden, die einmalig beschreibbar sind. Der Einsatz von kryptografischen Verfahren zum digitalen Signieren von Beweisdaten sollte geprüft und wenn möglich angewendet werden, um die Unversehrtheit von Daten gewährleisten zu können.

In diesem Prozessschritt ergibt sich immer wieder eine entscheidende Fragestellung: Ist das betroffene IT-System aufgrund der Gefährdungssituation abzuschalten oder kann es weiter betrieben werden? Diese Frage ist von zentraler Bedeutung, da es im weiteren Schritt um eine Sicherung von flüchtigen Datenbeständen wie z. B. dem RAM-Speicher, Netzwerkverbindungen und offenen Dateien sowie nicht-flüchtigen Datenbeständen wie z. B. Dateien auf der Festplatte geht. Im Falle des Abschaltens würden die flüchtigen Datenbestände verloren gehen.

Analyse

Nachdem die relevanten Beweisdaten erhoben sind und sicher auf entsprechenden Medien untergebracht sind, muss eine erste Analyse erfolgen. Hier ist Allroundwissen über Netzwerktopologien, Applikationen, aktuelle und bekannte System-Verwundbarkeiten als auch möglicherweise ein sehr hoher Grad an Improvisationsvermögen gefordert. Gerade hier sollten sich Organisationen überlegen, ob externe Fachleute hinzugezogen werden. Das benötigte Wissen geht weit über die pure Administration von Netzwerken oder Betriebssystemen hinaus und verlangt teilweise sogar betriebssystemnahe Programmierkenntnisse. Die erfolgreiche Analyse ist stets von der richtigen Deutung der vorliegenden Erkenntnisse abhängig. Der Sinn und Zweck der Analyse liegt in der Veranschaulichung und Untersuchung der Beweise, der Bemessung der Ursachen des Vorfalles und der Wirkungsweise des eingetretenen Vorfalls. Die Analyse findet typischerweise niemals am originären System statt und bedingt eine noch peniblere Dokumentation als in den vorherigen Schritten.

Aufbereitung und Präsentation

Im letzten Prozessschritt bereiten die an der Analyse beteiligten Personen ihre Erkenntnisse in Form eines Berichtes auf. Hierbei ist der Bericht auf die grundsätzliche Motivation einer Untersuchung abzustimmen. Diese lässt sich in folgenden Punkten zusammenfassen:

• Ermittlung der Identität des Täters / der Täter,
• Ermittlung des Zeitraums der Tat (Erstellung „Timeline“),
• Ermittlung des Umfanges der Tat,
• Ermittlung der Motivation der Tat und
• Ermittlung der Ursache und Durchführung

Ob sich alle Punkte restlos klären lassen, hängt sowohl vom vorhandenen Beweismaterial als auch von der Qualität der Analyse ab.

Literatur

• Dan Farmer, Wietse Venema: Forensic Discovery. 2nd pr. Boston [u. a.]: Addison Wesley, 2006, ISBN 0-201-63497-X
• Alexander Geschonneck: Computer-Forensik. Computerstraftaten erkennen, ermitteln, aufklären. 3., aktualisierte und erweiterte Aufl. Heidelberg: dpunkt Verl., 2008, ISBN 3-89864-534-7
• Eoghan Casey: Handbook of computer crime investigation - forensic tools and technology. Elsevier Academic Press, London 2007, ISBN 0-12-163103-6

Weblinks

Artikel und Fachbeiträge

• Der Feind in meinem Büro – Firmen unterschätzen Wirtschaftskriminalität durch Datenklau (Spiegel Online 24. Mai 2007)
• „Versteckte Daten in JPEG-Dateien“ (Netzreport, 4. Oktober 2006)
• „Der PC ist das Beweismittel“ (ZDFheute Online, 16. April 2006)
• „Computer-Forensik: Kein Fall für Dr. Watson“ (Heise Security, 19. August 2005)
• „Verbrecherjagd am PC“ (PC-Magazin, ohne Datum)
• „Zwischen Festplatte und Fingerabdruck“ (Tagesspiegel, 24. Juli 1996)

Sachbezogene Webseiten zum Thema

• computer-forensik.org
• forensicswiki.org
• computer.forensikblog.de