IT-Forensik

Die IT-Forensik oder auch Computer-Forensik bzw. Digitale Forensik ist ein Teilgebiet der Forensik. Die IT-Forensik behandelt die Untersuchung von verdächtigen Vorfällen im Zusammenhang mit IT-Systemen und der Feststellung des Tatbestandes und der Täter durch Erfassung, Analyse und Auswertung digitaler Spuren in Computersystemen. Mittlerweile ist die Untersuchung von Computersystemen im Sinne einer inhaltlichen Auswertung der dort gespeicherten Informationen auch im Zusammenhang mit „herkömmlichen“ Straftaten, aber auch für Zwecke der Steuerfahndung etabliert.

IT-Forensik und Beweismittelsicherung

Um Beweise zu sichern, werden zum Beispiel Datenträger, sowie Protokolle des Netzverkehrs gesichert und analysiert. Bei der Analyse von Datenträgern wird in der Regel vorher ein forensisches Duplikat erstellt. Die Kenntnis um die Vergänglichkeit der einzelnen Spuren sollte die Reihenfolge der Sicherung der digitalen Spuren bestimmen, in der Realität wird jedoch häufig nach Grundsätzen verfahren, die dieser Aussage widersprechen: Viele Verfahrensvorgaben für computerforensische Untersuchungen sehen als ersten Schritt das Ziehen des Netzsteckers und den Ausbau der Festplatten vor, woraufhin diese auf mitgebrachte Sicherungsplatten kopiert werden. Dieser Ansatz macht beispielsweise eine Untersuchung des Arbeitsspeicherinhaltes unmöglich. Darüber hinaus gefährdet er bei einigen Dateisystemen die Datensicherheit auf den Festplatten, da moderne Dateisysteme viele relevante Daten im Speicher halten, die verloren gehen bzw. nur noch teilweise durch Selbstreparaturmaßnahmen des Dateisystems wieder korrigiert werden können. Diese Option steht nach der Erzeugung einer Kopie möglicherweise nicht mehr zur Verfügung. Einzelne Softwareprodukte zur IT-Forensik tragen diesem Umstand unterschiedlich gut Rechnung. Ein weiteres Problem bei dieser Vorgehensweise ist eine mögliche Verschlüsselung der Festplatte. Frei verfügbare Software-Produkte, wie zum Beispiel TrueCrypt, sind in der Lage eine ganze Festplatte so zu verschlüsseln, dass im laufenden Betrieb mit angemeldetem Benutzer auf alle Daten zugegriffen werden kann. Ist der zu untersuchende Computer ausgeschaltet, sind alle Daten auf der Festplatte zu stark verschlüsselt, als dass die Verschlüsselung geknackt werden könnte, um die Daten zu untersuchen.

Neben der klassischen Datenträgeranalyse von Festplatten aus PC- und Serversystemen rückt die Auswertung digitaler Spuren von Smartphones und PDAs immer stärker in den Vordergrund.

Mittlerweile bieten viele IT- und Beratungsfirmen forensische Untersuchungen als Dienstleistung an. Aber auch polizeiliche Behörden beschäftigen Fachkräfte in diesem Bereich.

Überlegungen zur Beweismittelsicherung

Um eine forensische Analyse durchführen zu können, sind im Vorfeld – bei der Sicherung des Systems – einige Dinge zu beachten:

1. Das originale Beweismaterial muss so wenig wie möglich „bewegt“ werden. Jede „Bewegung“ des Beweismaterials kann eine Verfälschung zur Folge haben
2. Die Beweismittelkette muss gewahrt werden. Dieses bedeutet und verlangt eine einwandfreie und lückenlose Dokumentation
3. Das persönliche Wissen darf nie überschätzt werden. Eine Einbeziehung verschiedener Fachleute zu Spezialthemen (zum Beispiel Datenrettung) ist in Erwägung zu ziehen.

Prozess

Zur Durchführung einer Analyse mittels IT-Forensik ist ein fester Prozess notwendig. Dieser Prozess besteht im normalen Sinne aus folgenden vier Schritten:

• Identifizierung
• Sicherstellung
• Analyse
• Präsentation/Aufbereitung

Innerhalb der Einzelschritte des Gesamtprozesses geht es im Wesentlichen um die Klärung folgender Fragestellungen im Hinblick auf die Geschehnisse, die zur Untersuchung geführt haben:

• ‚Wer‘ – Wer bewegte bzw. veränderte Daten? Wer war anwesend und beteiligt?
• ‚Wann‘ – Datum und Uhrzeit.
• ‚Warum‘ – Warum wurde eine Änderung, Bewegung und/oder Abweichung vorgenommen?
• ‚Wo‘ – Genaue Ortsangabe.
• ‚Was‘ – Was wurde genau getan?
• ‚Wie‘ – Wie wurde vorgegangen bzw. welche Tools und/oder welche physikalischen Mittel wurden eingesetzt?

Identifizierung

Da in diesem Teilprozess die Ausgangslage dargestellt werden soll, liegen die Tätigkeitsschwerpunkte in der möglichst genauen Dokumentation der vorgefundenen Situation. Neben der Bestandsaufnahme des eigentlichen Sicherheitsvorfalles und erster Vermutungen müssen unbedingt weitere Fragen für die nähere Untersuchung geklärt werden. Es folgt eine Strukturierung dahingehend, welche Formen von Beweisen den Beteiligten zugänglich sind. Sind die Beweise z. B. in Form von speziellen Log-Dateien vorhanden? Geht es um Beweise in Form von nicht-flüchtigen Datenbeständen auf vorliegenden Datenträgern? Es wird ferner festgehalten, wo diese Beweise vorrätig sind. Die Umgebungen, in denen die Beweismittel vorliegen (z. B. Betriebssysteme) werden dokumentiert und aufgenommen.

Am Ende kann durch Sichtung dieser grundlegenden Fakten eine Entscheidung darüber gefällt werden, welche Mittel zur Beweiserhebung zur Verfügung gestellt werden müssen (Relevanz). Die besondere Beachtung der Frage einer Sicherungsmethode (Backup) ist zu klären. Im folgenden Prozessschritt wird man auf nicht-flüchtige (z. B. Daten auf Festplatten) und flüchtige Daten (z. B. Daten im RAM-Speicher) stoßen, die Beweise darstellen. Es müssen daher die richtigen Mittel zur Sicherung dieser Beweise gewählt werden. Hier kann auch die Frage einer möglichen externen Unterstützung eine maßgebliche Rolle spielen.

Sicherstellung

Dieser Schritt beinhaltet die eigentliche Beweiserhebung. Unter Einsatz der bereits vorgestellten Fragematrix sind in diesem Prozess die Integrität der digitalen Beweise und das Aufrechterhalten einer Beweiskette die zentralen Aufgaben. Im Regelfall bedeutet dies das Sichern von Beweisen auf Datenträgern. Dabei sollten Medien benutzt werden, die einmalig beschreibbar sind. Der Einsatz von kryptografischen Verfahren zum digitalen Signieren von Beweisdaten sollte geprüft und wenn möglich angewendet werden, um die Unversehrtheit von Daten gewährleisten zu können.

In diesem Prozessschritt ergibt sich immer wieder eine entscheidende Fragestellung: Ist das betroffene IT-System aufgrund der Gefährdungssituation abzuschalten oder kann es weiter betrieben werden? Diese Frage ist von zentraler Bedeutung, da es im weiteren Schritt um eine Sicherung von flüchtigen Datenbeständen wie z. B. dem RAM-Speicher, Netzwerkverbindungen und offenen Dateien sowie nicht-flüchtigen Datenbeständen wie z. B. Dateien auf der Festplatte geht. Im Falle des Abschaltens würden die flüchtigen Datenbestände verloren gehen.

Analyse

Nachdem die relevanten Beweisdaten erhoben sind und sicher auf entsprechenden Medien untergebracht sind, folgt eine erste Analyse. Hier ist Allroundwissen über Netzwerktopologien, Applikationen, aktuelle und bekannte System-Verwundbarkeiten als auch möglicherweise ein sehr hoher Grad an Improvisationsvermögen gefordert. Gerade hier sollten sich Organisationen überlegen, ob externe Fachleute hinzugezogen werden. Das benötigte Wissen geht weit über die pure Administration von Netzwerken oder Betriebssystemen hinaus und verlangt teilweise sogar betriebssystemnahe Programmierkenntnisse. Die erfolgreiche Analyse ist stets von der richtigen Deutung der vorliegenden Erkenntnisse abhängig. Der Sinn und Zweck der Analyse liegt in der Veranschaulichung und Untersuchung der Beweise, der Bemessung der Ursachen des Vorfalles und der Wirkungsweise des eingetretenen Vorfalls. Die Analyse findet typischerweise niemals am originären System statt und bedingt eine noch peniblere Dokumentation als in den vorherigen Schritten.

Aufbereitung und Präsentation

Im letzten Prozessschritt bereiten die an der Analyse beteiligten Personen ihre Erkenntnisse in Form eines Berichtes auf. Hierbei ist der Bericht auf die grundsätzliche Motivation einer Untersuchung abzustimmen. Diese lässt sich in folgenden Punkten zusammenfassen:

• Ermittlung der Identität des Täters / der Täter,
• Ermittlung des Zeitraums der Tat (Erstellung „Timeline“),
• Ermittlung des Umfanges der Tat,
• Ermittlung der Motivation der Tat und
• Ermittlung der Ursache und Durchführung

Ob sich alle Punkte restlos klären lassen, hängt sowohl vom vorhandenen Beweismaterial als auch von der Qualität der Analyse ab.

Literatur

• Dan Farmer, Wietse Venema: Forensic Discovery. 2nd Printing. Addison Wesley, Boston u. a. 2006, ISBN 0-201-63497-X, (Addison-Wesley professional computing series).
• Eoghan Casey (Hrsg.): Handbook of computer crime investigation. Forensic tools and technology. 6th Printing. Elsevier Academic Press, Amsterdam u. a. 2007, ISBN 978-0-12-163103-1.
• Alexander Geschonneck: Computer-Forensik. Computerstraftaten erkennen, ermitteln, aufklären. 3. aktualisierte und erweiterte Auflage. dpunkt Verlag, Heidelberg 2008, ISBN 978-3-89864-534-8.

Weblinks

 Wikibooks: Disk Forensik – Lern- und Lehrmaterialien

Artikel und Fachbeiträge

• Leitfaden IT-Forensik – Grundlagenwerk des BSI zur IT-Forensik (März. 2011)
• Der Feind in meinem Büro – Firmen unterschätzen Wirtschaftskriminalität durch Datenklau (Spiegel Online 24. Mai 2007)
• „Versteckte Daten in JPEG-Dateien“ (Netzreport, 4. Oktober 2006)
• „Der PC ist das Beweismittel“ (ZDFheute Online, 16. April 2006)
• „Computer-Forensik: Kein Fall für Dr. Watson“ (Heise Security, 19. August 2005)
• „Verbrecherjagd am PC“ (PC-Magazin, ohne Datum)
• „Zwischen Festplatte und Fingerabdruck“ (Tagesspiegel, 24. Juli 1996)
• "Auf unsichtbarer Spur - 'Computerforensiker', die neuen Datendetektive, sind viel gefragt und gut bezahlt." Von Kerstin Bund, in: DIE ZEIT 44/2009 vom 22. Oktober 2009, Seite 31 ("Wirtschaft")

Sachbezogene Webseiten zum Thema

• Master Online Studiengang - Digitale Forensik
• Seminar zur Weiterbildung für IT-Sachverständige (§ 73 StPO)
• krollontrack.de
• computer-forensik.org
• forensicswiki.org
• computer.forensikblog.de