IT-Forensik

Die IT-Forensik bzw. Digitale Forensik ist ein Teilgebiet der Forensik.

Die IT-Forensik behandelt die Untersuchung von verdächtigen Vorfällen im Zusammenhang mit IT-Systemen und der Feststellung des Tatbestandes und der Täter durch Erfassung, Analyse und Auswertung digitaler Spuren. Mittlerweile ist die Untersuchung von Computersystemen im Sinne einer inhaltlichen Auswertung der dort gespeicherten Informationen auch im Zusammenhang mit „herkömmlichen“ Straftaten, aber auch für Zwecke der Steuerfahndung etabliert.
Wesentliches Element der IT-Forensik ist die Gerichtsfestigkeit der digitalen Beweismittel und aller folgenden Aktivitäten, d. h. die Daten und Analyseschritte müssen den Anforderungen von Gerichten an Beweismittel genügen. Dies wird durch eine lückenlose und umfassende Dokumentation der Beweismittel (u. a. mit Fotos, Hashing, Vier-Augen-Prinzip, etc.) und aller weiteren Analyseschritte bis zum Ergebnis der forensischen Datenanalyse erreicht.
Die IT-Forensik gliedert sich in die zwei Bereiche Computer-Forensik bzw. Disk-Forensik, bei der es um die Analyse von Computer- oder Mobilgeräten und der darin enthaltenen Daten geht, und Forensische Datenanalyse bzw. Data-Forensik, bei der es um die Analyse von (meist großen) Datenbeständen aus Anwendungen und den zugrunde liegenden Datenbanken geht. Ziel der Computer-Forensik ist in der Regel das Analysieren von Kommunikation. Ziel der Forensischen Datenanalyse ist typischerweise die Analyse von Handlungen.

 
Erfahren Sie mehr…
 
 
 

Zur Durchführung einer Analyse mittels IT-Forensik ist ein fester Prozess notwendig. Dieser Prozess besteht im normalen Sinne aus folgenden vier Schritten:

Identifizierung

Da in diesem Teilprozess die Ausgangslage dargestellt werden soll, liegen die Tätigkeitsschwerpunkte in der möglichst genauen Dokumentation der vorgefundenen Situation. Neben der Bestandsaufnahme des eigentlichen Sicherheitsvorfalles und erster Vermutungen müssen unbedingt weitere Fragen für die nähere Untersuchung geklärt werden. Es folgt eine Strukturierung dahingehend, welche Formen von Daten den Beteiligten zugänglich sind. Beispiele hierfür könnten Computer (Festplatten), Mobiltelefone, spezielle Log-Dateien oder auch flüchtige Datenbestände wie Hauptspeicherinhalte sein. Es wird ferner festgehalten, wo und in welchen Umgebungen (z. B. Betriebssystemen) diese Daten vorrätig sind.
Am Ende kann durch Sichtung dieser grundlegenden Fakten eine Entscheidung darüber gefällt werden, welche dieser Daten im folgenden Schritt gesichert werden müssen.

IT-Forensik
Datensicherung

Sicherung einer Festplatte mit Hilfe eines Writeblockers
Dieser Schritt beinhaltet die eigentliche Sicherung der im vorigen Schritt identifizierten Daten. In diesem Prozessschritt sind die Sicherstellung der Integrität der digitalen Daten und das Aufrechterhalten einer Beweiskette die zentralen Aufgaben. Daher ist als ein wesentlicher Schritt auch die Reihenfolge der Flüchtigkeit der Daten zu berücksichtigen.
In diesem Prozessschritt ergibt eine entscheidende Fragestellung, ob das betroffene IT-System aufgrund der Gefährdungssituation abzuschalten ist oder weiter betrieben werden kann. Diese Frage ist von zentraler Bedeutung, da es im weiteren Schritt um eine Sicherung von flüchtigen Datenbeständen wie z. B. dem RAM-Speicher, Netzwerkverbindungen und offenen Dateien sowie nicht-flüchtigen Datenbeständen wie z. B. Daten auf der Festplatte geht. Im Falle des Abschaltens würden die flüchtigen Datenbestände verloren gehen.
Das Abschalten eines Systems ist beispielsweise auch bei der Nutzung von Festplattenverschlüsselung problematisch für eine spätere Datenanalyse. Frei verfügbare Software-Produkte, wie zum Beispiel dm-crypt, sind in der Lage eine ganze Festplatte so zu verschlüsseln, dass im laufenden Betrieb mit angemeldetem Benutzer auf alle Daten zugegriffen werden kann. Alle Daten auf der Festplatte sind dann derart verschlüsselt, dass sie eine Entschlüsselung gänzlich unmöglich machen oder die Untersuchung aufgrund des enormen Zeitaufwands beträchtlich verzögern kann. Bei einer vorherigen Sicherung des Hauptspeicherinhaltes könnte eine Extraktion des dort vorhandenen Zugriffsschlüssels die Analyse der verschlüsselten Festplatte erleichtern bzw. ermöglichen.
Zur Sicherung von Daten einer Festplatte (Erstellung eines forensischen Duplikats) kommen häufig sog. Writeblocker zum Einsatz. An diese Geräte werden die zu sichernden Datenträger angeschlossen. Writeblocker verhindern schreibende Zugriffe auf die zu sichernden Datenträger, so dass deren Integrität gewahrt bleibt.
Regelmäßig werden in diesem Prozessschritt Daten auf mitgebrachten Datenträgern des IT-Forensikers gesichert. Dabei sollten Medien benutzt werden, die einmalig beschreibbar sind. Der Einsatz von kryptografischen Verfahren zum digitalen Signieren von Daten sollte geprüft und wenn möglich angewendet werden, um deren Unversehrtheit gewährleisten zu können.
Neben der klassischen Sicherung von Festplatten aus PC- und Serversystemen rückt auch die Sicherung digitaler Spuren von Smartphones und PDAs immer stärker in den Vordergrund.

 

Analyse

Nachdem die relevanten Daten erhoben sind und sicher auf entsprechenden Medien untergebracht sind, folgt eine erste Analyse. Hier ist Allroundwissen über Netzwerktopologien, Applikationen, aktuelle und bekannte System-Verwundbarkeiten als auch möglicherweise ein sehr hoher Grad an Improvisationsvermögen gefordert. Gerade hier sollten sich Organisationen überlegen, ob externe Fachleute hinzugezogen werden. Das benötigte Wissen geht weit über die pure Administration von Netzwerken oder Betriebssystemen hinaus und verlangt teilweise sogar betriebssystemnahe Programmierkenntnisse. Die erfolgreiche Analyse ist stets von der richtigen Deutung der vorliegenden Erkenntnisse abhängig. Der Sinn und Zweck der Analyse liegt in der Veranschaulichung und Untersuchung der Daten, der Bemessung der Ursachen des Vorfalles und der Wirkungsweise des eingetretenen Vorfalls. Die Analyse findet typischerweise niemals am originären System statt und bedingt eine noch peniblere Dokumentation als in den vorherigen Schritten.

 

Aufbereitung und Präsentation

Im letzten Prozessschritt bereiten die an der Analyse beteiligten Personen ihre Erkenntnisse in Form eines Berichtes auf. Hierbei ist der Bericht auf die grundsätzliche Motivation einer Untersuchung abzustimmen. Diese lässt sich in folgenden Punkten zusammenfassen:

  1. Ermittlung der Identität des Täters / der Täter,
  2. Ermittlung des Zeitraums der Tat (Erstellung „Timeline“),
  3. Ermittlung des Umfanges der Tat,
  4. Ermittlung der Motivation der Tat und
  5. Ermittlung der Ursache und Durchführung

Ob sich alle Punkte restlos klären lassen, hängt sowohl vom vorhandenen Datenmaterial als auch von der Qualität im Sinne von Intensität der Analyse ab.