Schadsoftware, gezielte Angriffe durch Cyber-Kriminelle und Wirtschaftskriminalität – diese Themen sind aktueller denn je. Damit Vorfälle im Cyber-Raum wirksam verfolgt werden können, müssen sie untersucht werden, um zukünftige Angriffe zu verhindern. Hier kommt die IT-Forensik mit dem Identifizieren, Sicherstellen, Selektieren und Analysieren von digitalen Spuren zum Einsatz.

IT-Forensik

Bei der IT-Forensik, auch als digitale Forensik bzw. Computer Forensik bezeichnet, geht es um die Untersuchung eines Rechnersystems nach einem Vorfall. In Abgrenzung zur IT-Sicherheit geht es bei der Forensik um die zentrale Frage „Was ist passiert?“ und nicht um die Frage „Was könnte passieren?“.

Einführung

Bei der IT-Forensik geht es darum, digitale Spuren und rechtswidrige oder schädliche Handlungen durch Analyse nachzuweisen und aufzuklären, indem die Spuren gesichert und ausgewertet werden. Zur gerichtsverwertbaren Sicherung digitaler Spuren muss die Untersuchung nach etablierten Standards streng methodisch und jederzeit nachweisbar erfolgen. Die IT-Forensik ist dabei ein Teilaspekt der gesamten Forensik (systematische Untersuchung von kriminellen Handlungen), bezieht sich somit auf alle Analysen, die Spuren von Rechnersystemen (Personalcomputer, Notebooks, Tablets und Smartphones) behandeln.

Die Begrifflichkeit der IT-Forensik unterliegt kontinuierlich einem gewissen Wandel bzw. einer Weiterentwicklung und wird durch neue Einsatzgebiete dabei teilweise auch unschärfer. So lag am Anfang der Entwicklung dieses Bereiches der Fokus auf den Rechnern, auf denen der Vorfall stattgefunden hatte sowie auf den Rechnern, die für den Angriff genutzt worden sind. Mittlerweile werden allerdings nicht nur Vorgänge untersucht, bei denen eine Straftat mit einem Rechner erfolgt ist, sondern auch, ob ein Vorfall mit den Daten eines Rechners aufgeklärt werden kann. Bei der Erschleichung von Leistungen mithilfe eins manipulierten Dokuments, spielt die Untersuchung zum Beispiel des Rechners eine zentrale Rolle zur Aufklärung, ohne dass der Rechner für einen aktiven Angriff eingesetzt wurde, sondern lediglich für die Bearbeitung eines Dokumentes. Das Gleiche gilt auch, wenn eine Software oder ein Gerät verdächtigt wird, den Datenschutz zu verletzen. Ebenso gilt dies, wenn zunächst Funktionen und Kommunikationseigenschaften verstanden werden möchten, bevor diese in einem kritischen Bereich eingesetzt werden. Auch hier werden forensische Untersuchungen durchgeführt, ohne dass es einen Vorfall gab.

Grundprinzipien

Digitale Spuren sind zunächst als physische Spuren vorhanden – z. B. als Magnetisierung auf der Oberfläche einer Festplatte, als elektromagnetische Wellen auf einem Datenkabel oder als Ladezustand von Transistoren im Hauptspeicher. Daher müssen digitale Spuren zunächst extrahiert und in eine lesbare Form übersetzt werden. Dabei kann solch eine Transformation mehrmals stattfinden, bis die Daten in ein für Menschen lesbares Format umgewandelt worden sind. Durch diese mehrfache Interpretation kann es zu Fehlern bzw. Fehlinterpretationen kommen. Daher müssen etablierte Standards eingesetzt werden, um die Fehlerwahrscheinlichkeit zu minimieren.

Eine forensische Untersuchung wird mit dem Ziel durchgeführt, einen Vorgang in einem Rechnersystem zu untersuchen und zu protokollieren. Dazu gehören das Identifizieren, Sicherstellen, Selektieren und Analysieren von Spuren, die im weiteren Verlauf der Ermittlungen als Indizien bzw. Beweise verwendet werden können. Daher beantwortet eine forensische Untersuchung, ob ein bestimmter Vorgang mit einem Rechnersystem durchgeführt worden ist. Die unterschiedlichsten Systeme können der Gegenstand einer Untersuchung sein: ein Wearable (z.B. eine Smartwatch, um die Frage zu beantworten, ob der Träger zu einem bestimmten Zeitpunkt an einem bestimmten Ort war), ein Smartphone (z.B. um den Speicher zu analysieren und unrechtmäßig gemachte Fotos nachzuweisen), ein Notebook (z.B. um die Manipulation eines Dokuments nachzuweisen) oder ein Server (z.B. um die Logfiles zu analysieren und so die Verbreitung einer Schadsoftware nachzuweisen).

Analysemethoden

Bei der Post-Mortem Analyse findet die Untersuchung nach einem Vorfall statt. Dies geschieht im Wesentlichen durch die Untersuchung von Datenträgern der betroffenen Rechnersysteme. Eine Post-Mortem Analyse wird durchgeführt, wenn der flüchtige Speicher für den zu klärenden Vorfall nicht relevant ist oder dieser Vorfall schon sehr lange zurückliegt. Die Vorteile der Post-Mortem Analyse an einer forensischen Datenträgerkopie sind darin zu sehen, dass flüchtige Daten nicht aus Versehen zerstört werden können und der gesamte Analyseprozess bzw. der Tooleinsatz planbar ist, da die Informationen nicht verloren gehen können. Bei der Post-Mortem Analyse spielt die Untersuchung der Zeiten in den Metadaten eine wichtige Rolle. Da diese vom System beeinflusst werden, muss festgehalten werden, wie das System konfiguriert war. Dazu gehört z.B. welche Zeitzone eingestellt war und ob eine Synchronisation mit einem Zeitserver aktiviert war oder ob es eine lokale Verschiebung gab. Gleichzeitig gilt es zu beachten, dass sich die Betriebssysteme beim Setzen eines Zeitstempels unterschiedlich verhalten bzw. konfiguriert sein können. Zudem können die Zeitinformationen einer Datei leicht manipuliert werden.

Bei der Live-Analyse wird versucht, sogenannte flüchtige Daten zu gewinnen und zu untersuchen. Diese beinhalten unter anderem den Hauptspeicherinhalt oder Informationen über bestehende Netzwerkverbindungen. Der Vorteil einer Live-Analyse ist die mögliche Gewinnung von Daten aus dem Hauptspeicher, wie zum Beispiel Informationen über angemeldete Benutzer, Passwörter von entschlüsselten Laufwerken und aktiven Prozessen. Da dies alles „live“ an einem angeschalteten Rechnersystem erfolgt, wird daher auch von Live-Forensik gesprochen. Jede Aktion, alleine bereits die Bewegung eines Mauscursors, verändert die Daten auf einem Rechnersystem. Dadurch muss bei der Live-Analyse ein streng strukturiertes Vorgehen angewendet werden, damit alle Veränderungen nachvollzogen werden können.

Fachdisziplinen

Das Ziel der Datenspeicher-Forensik ist im ersten Schritt die forensische Sicherung des kompletten Datenträgers, um anschließend die Analyse aller Daten zu ermöglichen.

• Forensische Sicherung von kompletten Datenspeichern (1:1 Kopie)
• Analyse von verborgenen Datenbereichen
• Wiederherstellung von gelöschten Daten (File Carving)
• Identifizierung von heruntergeladenen Dateien (Zone.Identifier)

Das Ziel der Betriebssystem-Forensik ist die Extraktion von Informationen zur Bestimmung der Systemkonfiguration, der Nutzeraktivitäten und der installierten Anwendungen.

• Entfernung bzw. Filterung aller unveränderten Standarddateien
• System (Version, Installationsdatum, Hardware, Log-Dateien, …)
• Benutzer (Welche Benutzer, wann angelegt, letzter Login, …)
• Anwendungen (Welche Software, Installationsdatum, …)

Das Ziel der Anwendungs-Forensik ist es, individuelle Anwendungsspuren zu identifizieren und die Erhebung aller durch die Anwendungen gespeicherten Daten.

• Identifizierung der relevanten Anwendungen
• Sammeln der Daten, die durch die Anwendungen gespeichert werden
• Interpretation der Daten (auch proprietäre Formate)
• Rekonstruktion der Nutzung der Anwendung

Das Ziel der Netzwerk-Forensik ist die stattgefundene Kommunikation in einem Netzwerk zu rekonstruieren und nachzuvollziehen, welche Übertragungen stattgefunden haben.

• Übersicht der Zielnetzwerke und Netzdienste erstellen
• Datenströme durch Konfigurationen nachvollziehen
• Spuren von Protokollen wie HTTP und DNS auswerten
• Zeitlichen Ablauf rekonstruieren

Spezialdisziplinen

Mobilgeräte-Forensik

• Smartphones fassen alle Daten zusammen (Mail, Messenger, GPS, Web, …)
• Herausforderung: Verschlüsselung der Geräte „Katz-und-Maus-Spiel“

Multimedia-Forensik

• Analyse von Fotos und Videoaufnahmen (Manipulationen, Zuordnung, …)
• Möglichkeit von verschleierter Kommunikation – Steganographie

Cloud-Forensik

• Verlagerung der Systeme und Daten in die Cloud
• Zugriffe über Schnittstellen und Analyse der Daten wie gewohnt

Hardware-Forensik

• Drucker, Network Attached Storage und Automobile erzeugen viele Daten
• IoT wird in Zukunft eine immer größere Bedeutung spielen

IT-Forensik Vortrag

Der Online-Vortrag „IT-Forensik: Spurensuche in der digitalen Welt“ fand im Rahmen des VDI Zollern-Baar Online-Programms am 20. Juni 2020 ab 11:00 Uhr statt. Im Vortrag wurde gezeigt, welche Möglichkeiten die IT-Forensik bietet und anhand von Praxisbeispielen wurde aufgezeigt, an welchen Stellen digitale Spuren gefunden werden können. Dies können elektronische Dokumente, digitale Bilder, E-Mails, Webbrowser- Verläufe genauso wie Informationen oder Spuren von Angriffen auf Systeme sein. Anschließend wurde aufgezeigt, welche proaktiven Maßnahmen eine forensische Untersuchung in Unternehmen unterstützen können, um auf den Ernstfall besser vorbereitet zu sein. Im Anschluss wurde der Verlauf eines Webbrowsers live analysiert.

Die kompletten Folien des IT-Forensik Vortrags gibt es als Download (PDF) und können hier direkt angeschaut werden: