Die sichere Entwicklung steht immer – zumindest theoretisch – im Fokus der Softwareentwickler. Sobald ein Angreifer jedoch eine Lücke findet und sie ausnutzt, sollte dieser Vorfall (am besten umgehend) untersucht werden, um zukünftige Angriffe zu verhindern. Hier kommt die IT-Forensik mit der Suche nach und Analyse von digitalen Spuren zum Einsatz. Wird ein fundiertes und umfangreiches Logging implementiert, so unterstützt dies bei einem Vorfall und ermöglicht den IT-Forensikern Spuren effizient zu erfassen und auszuwerten. Aus diesem Grund muss dieser wichtige Aspekt bereits in der Konzeption berücksichtigt werden und spielt damit eine wesentliche Rolle für Softwarearchitekten und Softwareentwickler.

IT-Forensik

Bei der IT-Sicherheit geht im Allgemeinen um die zentrale Fragestellung „Was könnte passieren?“. Bei der IT-Forensik, auch als digitale Forensik bzw. Computer Forensik bezeichnet, geht es hingegen um die Untersuchung eines Rechnersystems nach einem Vorfall und somit um die zentrale Frage „Was ist passiert?“

Digitale Spuren

Digitale Spuren sind zunächst als physische Spuren vorhanden – z. B. als Magnetisierung auf der Oberfläche einer Festplatte, als elektromagnetische Wellen auf einem Datenkabel oder als Ladezustand von Transistoren im Hauptspeicher. Daher müssen digitale Spuren zunächst extrahiert und in eine lesbare Form übersetzt werden. Dabei kann eine derartige Transformation mehrmals stattfinden, bis die Daten schlussendlich in ein, für Menschen lesbares, Format umgewandelt worden sind. Durch diese, teilweise unvermeidbare, mehrfache Interpretation kann es zu Fehlern bzw. Fehlinterpretationen kommen. Daher müssen etablierte Standards eingesetzt werden, um die Fehlerwahrscheinlichkeit zu minimieren.

Forensische Untersuchung

Eine forensische Untersuchung wird mit dem Ziel durchgeführt, einen Vorgang in einem Rechnersystem zu untersuchen und zu protokollieren. Insgesamt zählen hierzu das Identifizieren, Sicherstellen, Selektieren und Analysieren von Spuren, die im weiteren Verlauf der Ermittlungen als Indizien bzw. Beweise verwendet werden können. Daher beantwortet eine forensische Untersuchung die Frage, ob mit dem spezifischen Rechnersystem ein bestimmter Vorgang durchgeführt wurde. Dabei können die unterschiedlichsten Systeme Gegenstand einer Untersuchung sein: ein Wearable (z.B. eine Smartwatch, um die Frage zu beantworten, ob der Träger zu einem bestimmten Zeitpunkt an einem bestimmten Ort war), ein Smartphone (z.B. um den Speicher zu analysieren und unrechtmäßig gemachte Fotos nachzuweisen), ein Notebook (z.B. um die Manipulation eines Dokuments nachzuweisen) oder ein Server (z.B. um die Logfiles zu analysieren und so die Verbreitung einer Schadsoftware nachzuweisen).

Analysemethoden

Post-Mortem Analyse

Bei der Post-Mortem Analyse findet die Untersuchung (zeitlich gesehen) nach einem Vorfall statt. Dies geschieht im Wesentlichen durch die Untersuchung von Datenträgern der betroffenen Rechnersysteme. Eine Post-Mortem Analyse wird durchgeführt, wenn der flüchtige Speicher für den zu klärenden Vorfall nicht relevant ist oder dieser Vorfall schon lange Zeit zurückliegt. Die Vorteile der Post-Mortem Analyse an einer forensischen Datenträgerkopie sind darin zu sehen, dass flüchtige Daten nicht aus Versehen zerstört werden können und der gesamte Analyseprozess bzw. der Tooleinsatz planbar ist, da keine Informationen verloren gehen können. Bei der Post-Mortem Analyse spielt die Untersuchung der Zeiten in den Metadaten eine wesentliche Rolle. Da diese jedoch vom System beeinflusst werden, muss dringend festgehalten werden, wie das System konfiguriert war. Dazu gehört z.B. welche Zeitzone eingestellt war und ob eine Synchronisation mit einem Zeitserver aktiviert war oder ob es eine lokale Verschiebung gab. Gleichzeitig gilt es zu beachten, dass sich die Betriebssysteme beim Setzen eines Zeitstempels unterschiedlich verhalten bzw. konfiguriert sein können. Zudem sollte berücksichtigt werden, dass die Zeitinformationen einer Datei leicht manipuliert werden können.

Live-Analyse

Bei der Live-Analyse wird versucht, sogenannte flüchtige Daten zu gewinnen und zu untersuchen. Diese beinhalten unter anderem den Hauptspeicherinhalt oder Informationen über bestehende Netzwerkverbindungen. Der Vorteil einer Live-Analyse ist die mögliche Gewinnung von Daten aus dem Hauptspeicher, wie zum Beispiel Informationen über angemeldete Benutzer, Passwörter von entschlüsselten Laufwerken sowie aktiven Prozessen. Da dies alles „live“ an einem angeschalteten Rechnersystem erfolgt, wird daher auch von Live-Forensik gesprochen. Jede Aktion, z. B. bereits die Bewegung eines Mauscursors, verändert jedoch die Daten auf einem Rechnersystem. Deshalb muss bei der Live-Analyse ein streng strukturiertes Vorgehen angewendet werden, damit im Anschluss alle Veränderungen nachvollzogen werden können.

Untersuchungsprozess

Anforderungen

Um zu gewährleisten, dass eine Untersuchung auch von Dritten, beispielsweise einem Gericht, akzeptiert wird, muss sie gewisse Anforderungen erfüllen. Sie muss beispielsweise nach etablierten Standards durchgeführt werden und die Ergebnisse müssen entsprechend dokumentiert werden. Viele dieser Anforderungen orientieren sich an den folgenden Standards zur Erstellung von wissenschaftlichen Arbeiten.

Vorgehensmodelle

In der IT-Forensik finden verschiedene Vorgehensmodelle Anwendung. Sie dienen als Leitfaden für eine Ermittlung. Die Modelle unterscheiden sich hinsichtlich dem Abstraktionsgrad sowie ihrer spezifischen Ausrichtung. Die etabliertesten Modelle sind das Secure-Analyse-Present Modell (SAP), das Incident-Response-Modell, der investigative Prozess und das Common Model.

Rechtliche Aspekte

Egal welches Modell der Untersuchung zu Grunde gelegt wird – immer spielt der Datenschutz bei Untersuchungen eine wichtige Rolle. Die Rechtsnormen des Datenschutzes kommen auch zur Anwendung, wenn Datenspeicher ausgewertet werden sollen, die personenbezogene Daten enthalten könnten. Dies gilt, durch die Regelungen des Arbeitnehmerdatenschutzes, auch für Unternehmen. Daher muss bei konkreten Aktionen der Datenschutzbeauftragte und der Betriebs- bzw. Personalrat mit eingebunden werden und gemeinsam ein Konzept für interne forensische Untersuchungen ausgearbeitet werden.

Einsatzszenarien für IT-Forensik

IT-Forensik findet heute neben der Aufarbeitung von Straftaten mit Bezug zur Computerkriminalität, ein immer breiteres Anwendungsspektrum. Auch abseits der strafrechtlichen Ermittlungen werden die Methoden der IT-Forensik eingesetzt, zum Beispiel um geschlossene Systeme zu überprüfen oder Fehlfunktionen aufzuspüren.

Aufklärung von Straftaten

Traditionell werden forensische Methoden zur Aufklärung von Straftaten eingesetzt. Mit der Etablierung von Rechnersysteme hat sich jedoch der Fokus hin zur Aufklärung von Cyber-Delikten verschoben. IT-Forensik findet jedoch auch Anwendung um „klassische“ Straftaten im physischen Raum aufzuklären, da durch die Verbreitung von Computersystemen im Alltag, wie beispielsweise Wearables (z.B. Smart Wachts), Smartphones und integrierte Rechnersysteme (z.B. Navigationssystem in Autos) immer mehr Spuren für eine Untersuchung bereitstehen.

Analyse von IT-Angriffen

Neben der Aufklärung von Straftaten spielt die Analyse von Angriffen oder Angriffsversuchen eine wichtige Rolle. Hierbei werden die entstandenen Spuren analysiert um zu rekonstruieren welches System wann und wie angegriffen wurde. Wenn genügend ausführliche Log-Dateien vorhanden sind, können zum Teil sogar die Tools der Angreifer identifiziert werden.

Behebung von Fehlfunktionen

Ein etwas anderer Anwendungsfall für die Methoden der IT-Forensik liegt in der Behebung von Fehlfunktionen. Treten bei der Softwareentwicklung Fehler in einem Bereich auf, der schwierig mit klassischen Entwicklungswerkzeuge zu debuggen ist, dann können die Methoden der IT-Forensik eingesetzt werden. Zum Beispiel kann mithilfe der Netzwerkforensik der komplette Datenstrom aufgezeichnet und analysiert werden. Damit kann ein Fehler auf einer niedrigen Netzwerkschicht im Treiber entdeckt werden, der sich auf die eigentliche Anwendung auswirkt und dort den gesuchten Fehler verursacht.

Untersuchung von Closed-Source-Software

Werden externe Komponenten, egal ob Hardware oder Software, in kritischen Umgebungen integriert, ist es wichtig die genau Funktionsweise zu kennen und alle Verarbeitungen nachvollziehen zu können. Hierbei kann neben der genauen Analyse des Netzwerkes bei Hardware die Firmware extrahiert oder bei Software mittels Reverse Engineering der Assembly-Code für eine tiefgreifende Überprüfung aufbereitet werden.

IT-Forensik in Unternehmen

Interne Spannungsfelder

Bei einem Cyberangriff oder einer Datenschutzverletzung muss ein Unternehmen schnell handeln. Das Incident Response Team hat hierbei die Aufgabe einen Vorfall möglichst rasch zu beheben und die Systeme wiederherzustellen um damit möglichst schnell den Stand vor dem Angriff wiederherzustellen. Das IT-Forensik Team hingegen verfolgt eine gegensätzliche Vorgehensweise und möchte eine tiefe Analyse durchführen, ohne dass ein betroffenes System verändert wird. Daher ist es wichtig, vor einem eigentlichen Vorfall, das genaue Vorgehen untereinander zu klären und die Kompetenzen klar zu definieren.

Rechtliche Anforderungen

IT-Forensik Untersuchungen umfassen in der Regel auch persönliche Daten. Daher wird häufig in dem Spannungsfeld zwischen Aufklärungswillen und -pflicht sowie Regelungen nach BDSG/DSGVO agiert. Die datenschutzkonforme Umsetzung des Vorgangs kann teilweise mühselig und zeitaufwändig erscheinen ist aber letztendlich möglich. Zum Beispiel durch Anonymisierung der Datensätze. Sobald dann konkrete Beweise vorliegen und eine weitere Verfolgung angestrebt wird, erfolgt die Zuordnung der Daten zu Personen. Darüber hinaus muss berücksichtigt werden, dass je nach Branche unterschiedliche weitere rechtliche Anforderungen bestehen.

Untersuchungen

Vorgänge rekonstruieren

Ein Einsatzszenario für IT-Forensik in Unternehmen ist die Rekonstruktion von Vorgängen. Hierzu findet im Vorfeld eine Untersuchung statt, um auf Grundlage der erhobenen Ergebnisse weitere Entscheidungen zu treffen. Dazu gehört zum Beispiel, ob Ermittlungen eingeleitet werden sollen oder müssen, ob es einen Verstoß gegen den Datenschutz gab oder ob vertragsrechtliche Konsequenz drohen. In diesen Bereich fällt auch ob die Police eine Versicherung zur Anwendung kommt oder nicht.

Analyse des Ist-Zustands

Als weiterer Baustein kann die IT-Forensik eingesetzt werden um anlassunabhängige Compliance-Prüfungen durchzuführen. Hierbei steht die Kontrolle von Abläufen und Prozessen mittels forensische Untersuchungsmethoden im Fokus. Beispielweise werden Zugriffe auf Datenbanken analysiert, um die Einhaltung von Zugriffsrechten und der internen Vertraulichkeit im Unternehmen zu bestätigen.

Forensic Readiness

Das Worst-Case-Szenario ist ein IT-Sicherheitsvorfall, bei dem ein Angreifer in die internen Systeme eindringen konnte, und dabei in der Lage war die entstandenen Spuren zu verwischen oder gar zu vernichten. Um dies zu verhindern ist es notwenidg eine Sicherheitsstrategie in Vorbereitung auf digitale forensische Untersuchungen zu etablieren, die sogenannte Forensic Readiness oder auch Digital Forensic Readiness (DFR). Nachfolgend werden vier Forensic Readiness Bereiche betrachtet, die besonders für die sichere Softwareentwicklung relevant sind.

Effektives Logging

Umfang

Das Erstellen von Protokolldateien (Logs) ist Standard und wird vielfach eingesetzt. Ein wichtiger Aspekt, insbesondere für die IT-Forensik, ist, wie umfangreich die Logs sind. Auf der einen Seite sollten sie möglichst umfangreich sein, um Vorgehen besser nachvollziehen zu können, auf der anderen Seite sollten sie möglichst effizient sein und wenig Ressourcen benötigen. Bei der Entwicklung spielt zudem häufig nur die Sichtweise des Entwicklers eine Rolle, daher liegt der Fokus meist auf dem Debugging. Hier wäre es wünschenswert, dass sich die Entwickler mit IT Security Experten austauschen um alle relevanten Daten in den Logs zu erfassen.

Zentralisierung

Ein weiterer wichtiger Punkt ist der Schutz der Log-Dateien vor Veränderung. Ist ein Angreifer in der Lage die Logs zu manipulieren, sind diese nahezu wertlos für eine forensische Untersuchung. Als effektive Maßnahme haben sich hier zentralisierte Log-Dienste bewährt. Allerdings werde diese bei der Architektur einer Anwendung häufig mit niedriger Priorität behandelt. Allerdings müssen diese Dienste dann sehr gut vor Manipulation und unerlaubten Zugriff geschützt werden, damit ein effektives Logging realisiert werden kann und die Daten bei ein einer forensischen Untersuchung Ihren Wert nicht verlieren.

Schutz vor Manipulation

Sensible Daten, die potentielle Spuren enthalten, müssen besonders geschützt werden, insbesondere vor Manipulationen und Löschvorgängen. Als einfachste Methode hat sich hier das Erstellen von Hashes für einzelne Dateien oder für Abschnitte in Datenbanken etabliert. Diese Hashes müssen anschließend natürlich auf einem weiteren System sicher gespeichert werden. Dafür bieten sich zum Beispiel eine extra Datenbank oder ein gesondertes System mit minimalen Zugriffsrechten an.

Protokollierung

Sollte dennoch ein System eingesetzt werden, dass Veränderungen erlaubt, müssen diese entsprechend protokolliert werden. Optimalerweise gibt es eine Versionierung, die selbst natürlich nicht geändert werden kann, um somit später die Bearbeitung rekonstruieren zu können.

Nachvollziehbarkeit

Sollen Logs oder andere Beweise bei einer Ermittlung zum Einsatz kommen, ist es wichtig darzulegen, dass keine Bearbeitung dieser Daten stattgefunden hat. Grundsätzlich lässt sich dies durch dokumentierte und sichere Prozesse gewährleisten. Steht dies nicht zur Verfügung oder sollen zusätzliche Maßnahmen ergriffen werden, ist eine Methode die Verkettung von Dateien oder Daten, die der Reihe nach erstellt werden. Für diese Art von Vorgehensweise gibt es verschiedene Bezeichnungen wie Chain of Trust oder der Hype-Begriff Blockchain.

Der Grundgedanken ist dabei, dass es eine Ursprungsdatei gibt, die gesondert gesichert wird. In die darauffolgend erstellte Datei wird die Signatur, z.B. in Form eines Hash in die nächste Datei integriert. So bildet sich eine Kette von Dateien die effizient überprüft werden kann. Wurde eine Datei manipuliert, sind die nachfolgende Signaturen nicht mehr korrekt und die Manipulation wird aufgedeckt.

In der Praxis wird dieses Vorgehen zum Beispiel von einem Unternehmen eingesetzt, dass mit einer mobilen Station z.B. einem iPad Fehler in der Produktion erfasst. In diesem Szenario gehen wir davon aus, dass bei einem Fehler in der Fertigung das verwendete Werkzeug beschädigt werden kann. Die Aufgabe des Personals ist es dann alle Teile zu finden. Anschließend werden die einzelnen Teile mit einem Foto erfasst, um nachzuweisen, dass alle Teile gefunden wurden. Sollte es später zu einer gerichtlichen Auseinandersetzung mit einem Kunden kommen, spielen diese Fotos eine wichtige Rolle. Um zu gewährleisten, dass eine Manipulation ausgeschlossen werden kann, wird der Hash des vorherigen Fotos in das darauffolgende Foto integriert. Damit ist die Erstellung der Fotos für einen externen Gutachter nachvollziehbar.

Digitale Signaturen

Eine weitere und sehr sichere Methode, ist der Schutz von Dateien mit einer digitalen Signatur. Mit der Signatur einer Datei kann einerseits nachgewiesen werden, dass die Datei vom System selbst erstellt wurde (Authentizität) und andererseits nachvollzogen werden, ob die Datei nach dem Anbringen der Signatur verändert wurde (Integrität).

Für digitale Signaturen kommt ein asynchrones Verschlüsselungsverfahren mit zwei Schlüssel zum Einsatz: ein privater und ein öffentlicher Schlüssel. Die Signierung der Datei erfolgt dabei mit dem privaten Schlüssel, der besonders geschützt werden muss. Mittels eines mathematischen Algorithmus und dem privaten Schlüssel wird die Datei verschlüsselt. Die Signatur wird entweder angehängt oder in die Datei integriert. Die Gegenstelle greift auf den öffentlichen Schlüssel zu und kann mithilfe der Signatur die Datei entschlüsseln.

Da ein Angreifer nicht im Besitz des privaten Schlüssels ist, kann dieser zwar auch den Inhalt der Datei lesen, aber keine Änderungen vornehmen. Sollte dennoch eine Änderung vorgenommen werden, ist das System nicht mehr in der Lage mit dem öffentlichen Schlüssel, die Datei zu entschlüsseln. Dies bedeutet, dass die Signatur ungültig ist und die Datei manipuliert wurde.

Fazit

Wird bereits bei der Planung einer Anwendung die Softwarearchitektur unter dem Gesichtspunkt Forensic Readiness entworfen, kann eine spätere IT-Forensik Untersuchung deutlich fundierter erfolgen. Mit einem manipulationssicheren und umfangreichen Logging, kann die IT-Forensik Spuren effizient erfassen und auswerten. Dabei reichen beispielsweise bereits kleine Veränderungen, wie das zentrale Speichern von umfangreichen Logs, aus um einen großen Effekt zu erzielen.

Präsentation des Vortrags

Der Online-Vortrag „IT-Forensik: Digitale Spurensuche im Tatort Software“ (PDF Download) fand am 22.10.2020 im Rahmen der // heise devSec() 2020, einer Konferenz für sichere Software- und Webentwicklung, statt. Wie versprochen gibt es hier die Folien des Vortrags: