Tobias Scheible Cyber Security & IT-Forensik Dozent
IT-Forensik-Vortrag und Sicherheit

Spurensuche in der digitalen Welt

Die Basisgruppe Zollern-Baar des Vereins Deutscher Ingenieure (VDI) hat mich eingeladen, im Rahmen des Online-Programms über das Thema IT-Forensik einen Vortrag zu halten. Mit meinem Online-Vortrag „IT-Forensik: Spurensuche in der digitalen Welt“ stärkte ich das Verständnis für Informationssicherheit.

Samstag, 20. Juni 2020
0 Kommentare

Schadsoftware, gezielte Angriffe durch Cyber-Kriminelle und Wirtschaftskriminalität – diese Themen sind aktueller denn je. Damit Vorfälle im Cyber-Raum wirksam verfolgt werden können, müssen sie untersucht werden, um zukünftige Angriffe zu verhindern. Hier kommt die IT-Forensik mit dem Identifizieren, Sicherstellen, Selektieren und Analysieren von digitalen Spuren zum Einsatz.

IT-Forensik

Bei der IT-Forensik, auch als digitale Forensik bzw. Computer Forensik bezeichnet, geht es um die Untersuchung eines Rechnersystems nach einem Vorfall. In Abgrenzung zur IT-Sicherheit geht es bei der Forensik um die zentrale Frage „Was ist passiert?“ und nicht um die Frage „Was könnte passieren?“.

Einführung

Bei der IT-Forensik geht es darum, digitale Spuren und rechtswidrige oder schädliche Handlungen durch Analyse nachzuweisen und aufzuklären, indem die Spuren gesichert und ausgewertet werden. Zur gerichtsverwertbaren Sicherung digitaler Spuren muss die Untersuchung nach etablierten Standards streng methodisch und jederzeit nachweisbar erfolgen. Die IT-Forensik ist dabei ein Teilaspekt der gesamten Forensik (systematische Untersuchung von kriminellen Handlungen), bezieht sich somit auf alle Analysen, die Spuren von Rechnersystemen (Personalcomputer, Notebooks, Tablets und Smartphones) behandeln.

Die Begrifflichkeit der IT-Forensik unterliegt kontinuierlich einem gewissen Wandel bzw. einer Weiterentwicklung und wird durch neue Einsatzgebiete dabei teilweise auch unschärfer. So lag am Anfang der Entwicklung dieses Bereiches der Fokus auf den Rechnern, auf denen der Vorfall stattgefunden hatte sowie auf den Rechnern, die für den Angriff genutzt worden sind. Mittlerweile werden allerdings nicht nur Vorgänge untersucht, bei denen eine Straftat mit einem Rechner erfolgt ist, sondern auch, ob ein Vorfall mit den Daten eines Rechners aufgeklärt werden kann. Bei der Erschleichung von Leistungen mithilfe eins manipulierten Dokuments, spielt die Untersuchung zum Beispiel des Rechners eine zentrale Rolle zur Aufklärung, ohne dass der Rechner für einen aktiven Angriff eingesetzt wurde, sondern lediglich für die Bearbeitung eines Dokumentes. Das Gleiche gilt auch, wenn eine Software oder ein Gerät verdächtigt wird, den Datenschutz zu verletzen. Ebenso gilt dies, wenn zunächst Funktionen und Kommunikationseigenschaften verstanden werden möchten, bevor diese in einem kritischen Bereich eingesetzt werden. Auch hier werden forensische Untersuchungen durchgeführt, ohne dass es einen Vorfall gab.

Grundprinzipien

Digitale Spuren

Digitale Spuren sind zunächst als physische Spuren vorhanden – z. B. als Magnetisierung auf der Oberfläche einer Festplatte, als elektromagnetische Wellen auf einem Datenkabel oder als Ladezustand von Transistoren im Hauptspeicher. Daher müssen digitale Spuren zunächst extrahiert und in eine lesbare Form übersetzt werden. Dabei kann solch eine Transformation mehrmals stattfinden, bis die Daten in ein für Menschen lesbares Format umgewandelt worden sind. Durch diese mehrfache Interpretation kann es zu Fehlern bzw. Fehlinterpretationen kommen. Daher müssen etablierte Standards eingesetzt werden, um die Fehlerwahrscheinlichkeit zu minimieren.

Forensische Untersuchungen

Eine forensische Untersuchung wird mit dem Ziel durchgeführt, einen Vorgang in einem Rechnersystem zu untersuchen und zu protokollieren. Dazu gehören das Identifizieren, Sicherstellen, Selektieren und Analysieren von Spuren, die im weiteren Verlauf der Ermittlungen als Indizien bzw. Beweise verwendet werden können. Daher beantwortet eine forensische Untersuchung, ob ein bestimmter Vorgang mit einem Rechnersystem durchgeführt worden ist. Die unterschiedlichsten Systeme können der Gegenstand einer Untersuchung sein: ein Wearable (z.B. eine Smartwatch, um die Frage zu beantworten, ob der Träger zu einem bestimmten Zeitpunkt an einem bestimmten Ort war), ein Smartphone (z.B. um den Speicher zu analysieren und unrechtmäßig gemachte Fotos nachzuweisen), ein Notebook (z.B. um die Manipulation eines Dokuments nachzuweisen) oder ein Server (z.B. um die Logfiles zu analysieren und so die Verbreitung einer Schadsoftware nachzuweisen).

Analysemethoden

Post-Mortem Analyse

Bei der Post-Mortem Analyse findet die Untersuchung nach einem Vorfall statt. Dies geschieht im Wesentlichen durch die Untersuchung von Datenträgern der betroffenen Rechnersysteme. Eine Post-Mortem Analyse wird durchgeführt, wenn der flüchtige Speicher für den zu klärenden Vorfall nicht relevant ist oder dieser Vorfall schon sehr lange zurückliegt. Die Vorteile der Post-Mortem Analyse an einer forensischen Datenträgerkopie sind darin zu sehen, dass flüchtige Daten nicht aus Versehen zerstört werden können und der gesamte Analyseprozess bzw. der Tooleinsatz planbar ist, da die Informationen nicht verloren gehen können. Bei der Post-Mortem Analyse spielt die Untersuchung der Zeiten in den Metadaten eine wichtige Rolle. Da diese vom System beeinflusst werden, muss festgehalten werden, wie das System konfiguriert war. Dazu gehört z.B. welche Zeitzone eingestellt war und ob eine Synchronisation mit einem Zeitserver aktiviert war oder ob es eine lokale Verschiebung gab. Gleichzeitig gilt es zu beachten, dass sich die Betriebssysteme beim Setzen eines Zeitstempels unterschiedlich verhalten bzw. konfiguriert sein können. Zudem können die Zeitinformationen einer Datei leicht manipuliert werden.

Live-Analyse

Bei der Live-Analyse wird versucht, sogenannte flüchtige Daten zu gewinnen und zu untersuchen. Diese beinhalten unter anderem den Hauptspeicherinhalt oder Informationen über bestehende Netzwerkverbindungen. Der Vorteil einer Live-Analyse ist die mögliche Gewinnung von Daten aus dem Hauptspeicher, wie zum Beispiel Informationen über angemeldete Benutzer, Passwörter von entschlüsselten Laufwerken und aktiven Prozessen. Da dies alles „live“ an einem angeschalteten Rechnersystem erfolgt, wird daher auch von Live-Forensik gesprochen. Jede Aktion, alleine bereits die Bewegung eines Mauscursors, verändert die Daten auf einem Rechnersystem. Dadurch muss bei der Live-Analyse ein streng strukturiertes Vorgehen angewendet werden, damit alle Veränderungen nachvollzogen werden können.

Fachdisziplinen

Datenspeicher-Forensik

Das Ziel der Datenspeicher-Forensik ist im ersten Schritt die forensische Sicherung des kompletten Datenträgers, um anschließend die Analyse aller Daten zu ermöglichen.

  • Forensische Sicherung von kompletten Datenspeichern (1:1 Kopie)
  • Analyse von verborgenen Datenbereichen
  • Wiederherstellung von gelöschten Daten (File Carving)
  • Identifizierung von heruntergeladenen Dateien (Zone.Identifier)
Betriebssystem-Forensik

Das Ziel der Betriebssystem-Forensik ist die Extraktion von Informationen zur Bestimmung der Systemkonfiguration, der Nutzeraktivitäten und der installierten Anwendungen.

  • Entfernung bzw. Filterung aller unveränderten Standarddateien
  • System (Version, Installationsdatum, Hardware, Log-Dateien, …)
  • Benutzer (Welche Benutzer, wann angelegt, letzter Login, …)
  • Anwendungen (Welche Software, Installationsdatum, …)
Anwendungs-Forensik

Das Ziel der Anwendungs-Forensik ist es, individuelle Anwendungsspuren zu identifizieren und die Erhebung aller durch die Anwendungen gespeicherten Daten.

  • Identifizierung der relevanten Anwendungen
  • Sammeln der Daten, die durch die Anwendungen gespeichert werden
  • Interpretation der Daten (auch proprietäre Formate)
  • Rekonstruktion der Nutzung der Anwendung
Netzwerk-Forensik

Das Ziel der Netzwerk-Forensik ist die stattgefundene Kommunikation in einem Netzwerk zu rekonstruieren und nachzuvollziehen, welche Übertragungen stattgefunden haben.

  • Übersicht der Zielnetzwerke und Netzdienste erstellen
  • Datenströme durch Konfigurationen nachvollziehen
  • Spuren von Protokollen wie HTTP und DNS auswerten
  • Zeitlichen Ablauf rekonstruieren

Spezialdisziplinen

Mobilgeräte-Forensik

  • Smartphones fassen alle Daten zusammen (Mail, Messenger, GPS, Web, …)
  • Herausforderung: Verschlüsselung der Geräte „Katz-und-Maus-Spiel“

Multimedia-Forensik

  • Analyse von Fotos und Videoaufnahmen (Manipulationen, Zuordnung, …)
  • Möglichkeit von verschleierter Kommunikation – Steganographie

Cloud-Forensik

  • Verlagerung der Systeme und Daten in die Cloud
  • Zugriffe über Schnittstellen und Analyse der Daten wie gewohnt

Hardware-Forensik

  • Drucker, Network Attached Storage und Automobile erzeugen viele Daten
  • IoT wird in Zukunft eine immer größere Bedeutung spielen

IT-Forensik Vortrag

Der Online-Vortrag „IT-Forensik: Spurensuche in der digitalen Welt“ fand im Rahmen des VDI Zollern-Baar Online-Programms am 20. Juni 2020 ab 11:00 Uhr statt. Im Vortrag wurde gezeigt, welche Möglichkeiten die IT-Forensik bietet und anhand von Praxisbeispielen wurde aufgezeigt, an welchen Stellen digitale Spuren gefunden werden können. Dies können elektronische Dokumente, digitale Bilder, E-Mails, Webbrowser- Verläufe genauso wie Informationen oder Spuren von Angriffen auf Systeme sein. Anschließend wurde aufgezeigt, welche proaktiven Maßnahmen eine forensische Untersuchung in Unternehmen unterstützen können, um auf den Ernstfall besser vorbereitet zu sein. Im Anschluss wurde der Verlauf eines Webbrowsers live analysiert.

Die kompletten Folien des IT-Forensik Vortrags gibt es als Download (PDF) und können hier direkt angeschaut werden:

IT-Forensik: Spurensuche in der digitalen Welt
IT-Forensik: Spurensuche in der digitalen Welt
IT-Forensik: Spurensuche in der digitalen Welt
IT-Forensik: Spurensuche in der digitalen Welt
IT-Forensik: Spurensuche in der digitalen Welt
IT-Forensik: Spurensuche in der digitalen Welt
IT-Forensik: Spurensuche in der digitalen Welt
IT-Forensik: Spurensuche in der digitalen Welt
IT-Forensik: Spurensuche in der digitalen Welt
IT-Forensik: Spurensuche in der digitalen Welt
IT-Forensik: Spurensuche in der digitalen Welt
IT-Forensik: Spurensuche in der digitalen Welt
IT-Forensik: Spurensuche in der digitalen Welt
IT-Forensik: Spurensuche in der digitalen Welt
IT-Forensik: Spurensuche in der digitalen Welt
IT-Forensik: Spurensuche in der digitalen Welt
IT-Forensik: Spurensuche in der digitalen Welt
IT-Forensik: Spurensuche in der digitalen Welt
IT-Forensik: Spurensuche in der digitalen Welt
IT-Forensik: Spurensuche in der digitalen Welt
IT-Forensik: Spurensuche in der digitalen Welt
IT-Forensik: Spurensuche in der digitalen Welt
IT-Forensik: Spurensuche in der digitalen Welt
IT-Forensik: Spurensuche in der digitalen Welt
IT-Forensik: Spurensuche in der digitalen Welt
IT-Forensik: Spurensuche in der digitalen Welt
IT-Forensik: Spurensuche in der digitalen Welt
IT-Forensik: Spurensuche in der digitalen Welt
IT-Forensik: Spurensuche in der digitalen Welt
IT-Forensik: Spurensuche in der digitalen Welt
IT-Forensik: Spurensuche in der digitalen Welt
IT-Forensik: Spurensuche in der digitalen Welt

Über Tobias Scheible

Tobias Scheible

Hallo, mein Name ist Tobias Scheible. Ich bin begeisterter Informatiker und Sicherheitsforscher mit den Schwerpunkten Cyber Security und IT-Forensik. Mein Wissen teile ich gerne anhand von Fachartikeln hier in meinem Blog. Als Referent halte ich Vorträge und Workshops für Verbände und Unternehmen u. a. auch offene Veranstaltungen für den VDI und die IHK.

Cyber Security Vorträge

Sie suchen einen Referenten für einen Vortrag rund um das Thema IT-Sicherheit?

Ich sensibilisiere Ihre Mitarbeiter für Bedrohungen, transferiere Fachwissen auf akademischem Niveau und zeige neben aktuellen Angriffsszenarien auch effektive Gegenmaßnahmen. Mit meinem fundierten Fachwissen und dem tiefgreifenden Verständnis von aktuellen Bedrohungslagen sowie Entwicklungen decke ich zahlreiche spannende Themenfelder ab.

Jetzt informieren

Nächste Veranstaltungen

Kommentare

Es wurde noch kein Kommentar abgegeben.

Schreibe einen Kommentar!

Hilfe zum Kommentieren

Um kommentieren zu können, geben sie bitte mindestens ihren Namen und ihre E-Mail-Adresse an. Bitte nutzen Sie die Kommentarfunktion nicht dazu, andere zu beleidigen oder Spam zu verbreiten. Trolle und Spammer sind hier unerwünscht! Unangemessene Kommentare, die zum Beispiel gegen geltendes Recht verstoßen oder eine Gefährdung anderer Besucher darstellen, werden gelöscht oder angepasst.

Name: Ihr Name, der oberhalb des Kommentars steht, gerne auch Ihren echten Namen, das erleichtert die Kommunikation für alle. Sollte ein Spam-Keyword als Name verwendet werden, kann dieses entfernt oder korrigiert werden.

E-Mail: Ihre E-Mail Adresse dient zur Identifizierung weiterer Kommentare und sie haben die Möglichkeit, ein Avatar-Bild zu verwenden. Dazu müssen Sie mit Ihrer E-Mail Adresse bei Gravatar angemeldet sein. Die E-Mail Adresse wird natürlich nicht veröffentlicht und nicht weitergegeben.

Website: Hier können Sie ihren eigenen Blog bzw. ihre eigene Website eintragen, dadurch wird Ihr Name und Ihr Avatar-Bild verlinkt. Werden rein kommerzielle Angebote offensichtlich beworben, setze ich den Link auf nofollow und unangemessene werden einfach entfernt.

Erlaubte HTML-Tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <hr> <big> <small> <sub> <sup> <u>

Ihre E-Mailadresse wird nicht veröffentlicht. Mit dem Absenden anerkennen Sie die Datenschutzhinweis des Blogs.