Forensik & Datenrettung
Die Informations- und Kommunikationstechnologie (IKT) und das Internet haben sich in den letzten Jahren extrem schnell weiterentwickelt. Aus einem Medium, das ursprünglich einige Universitäten und Forschungseinrichtungen verbinden sollte, ist ein Massenmedium geworden, das unser tägliches Lebens durchdringt. Ca. 90% der Unternehmen in Deutschland haben ihr Geschäftsmodell dem Internet angepasst: mittlerweile ist es die ”Lebensader” für Unternehmen und die öffentliche Verwaltung – beinahe unverzichtbar wie Strom und Wasser.
Darüber hinaus wurde die IKT in den letzten Jahren auch häufig ein Baustein für andere kritische Infrastrukturen. Gemeint sind Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Neben den Sektoren Energie und Gesundheit, zählen z.B. auch die Wasserversorgung sowie die Ernährung zu den Bereichen, die überlebensnotwendige Infrastrukturen bereitstellen.
Parallel dazu haben Angriffe auf Daten stark zugenommen: Diebstahl digitaler Identitäten, Computersabotage, Phishing oder digitale Erpressung sind als Stichworte zu nennen. Bei den Straftaten handelt es sich hauptsächlich um Betrugsfälle, Sabotagen und Wirtschaftsspionage, nicht zu vergessen der internationale Terrorismus.
Trotz umfangreicher Schutzmaßnahmen für IT-Anlagen wie Angrifferkennungssysteme (Intrusion Detection), Firewalls und Virenscanner können Angriffe nicht immer abgewehrt werden. Wie in der realen Welt, gibt es auch in der „digitalen Welt” Regeln und Gesetze.
Bei der Ermittlung digitaler Straftaten hat sich ein eigenes Teilgebiet der forensischen Untersuchung entwickelt, die IT-Forensik (auch digitale Forensik genannt). Sie ermöglicht die Ermittlung von Schwachstellen und hilft, Straftäter oder kriminelle Handlungen zu erkennen – und ihnen in der Folge vorzubeugen. Aufgabe der IT-Forensik ist der Nachweis und die Ermittlung von Straftaten sowie die Aufklärung von strafbaren Handlungen, etwa durch Analyse von digitalen Spuren.
Grundsätzlich unterscheidet man zwei verschiedene Arten der forensischen Analyse: das Liveresponse Verfahren und die Postmortem-Analyse. Beide Verfahren werden oft in Kombination angewandt, um ein optimales Ergebnis zu erzielen.
Bei der Postmortem-Analyse werden Daten eines ausgeschalteten Systems bearbeitet, von dem zuvor ein 1:1-Duplikat erstellt wurde. Die Postmortem-Analyse hat den Vorteil, dass beliebig viele Kopien der Datenträger erstellt werden können, ohne Beweise zu vernichten oder zu verändern. Das Originalsystem kann unabhängig von der Untersuchung wieder den Betrieb aufnehmen. Damit können ohne zeitliche Limits unterschiedliche Analyseverfahren gleichzeitig durchgeführt werden. Doch es gibt auch Nachteile. Es können kaum Aussagen über die Laufzeit des Systems gemacht werden und flüchtige Daten gehen durch das Ausschalten des Systems meist verloren.
Liveresponse-Analysen lassen dagegen auch eine Analyse von flüchtigen, fragilen oder temporär zugänglichen Daten zu. (Diese Daten stehen im abgeschalteten System nicht zur Verfügung, weil sie Informationen über Prozesse, Verbindungen oder den Inhalt von Caches enthalten und nach dem Herunterfahren des Systems gelöscht oder verändert werden.) Diese Daten bilden auch den Schwerpunkt von Liveresponse Analysen.
Jede forensische Ermittlung baut auf dem Prinzip des „Spur-Annahme-Beweis“-Kreislaufs auf. Eine forensische Untersuchung gibt Antworten auf die Fragen
- wann das System gehackt wurde
- wer als möglicher Täter in Frage kommt
- welche Sicherheitslücken ausgenutzt wurden
- wie hoch der Schaden ist
- und sichert gerichtsverwertbar Beweise.
Es ist unbedingt notwendig, möglichst alle Daten (also auch flüchtige oder fragile) des Systems zu sichern, ohne das System selbst zu verändern. Um die gewonnenen Erkenntnisse auch juristisch zu verwerten, sollten die Methoden und Werkzeuge anerkannt sein und detailliert dokumentiert werden, so dass auch nicht an den Ermittlungen beteiligte Personen die Untersuchung nachvollziehen können, z.B. Versicherungen, Rechtsanwälte oder die geschädigten Unternehmen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt den forensischen Prozess als Kreislauf mit insgesamt sieben Phasen.
Phase 1: Strategische Vorbereitung
Hier sollen alle Maßnahmen vor dem Eintritt eines Ereignisses enthalten sein. Die Vorbereitungen für die Untersuchung eines möglichen Vorfalls ist das zentrale Element dieser Phase. Beispielsweise soll sichergestellt werden, dass die Protokollierung von Ereignissen aktiviert ist.
Phase 2: Operationale Vorbereitung
Identifikation aller Datenquellen, die mit einem Vorfall in Verbindung stehen könnten
Phase 3: Beweissicherung
Phase 4: Untersuchung.
Die gesammelten Daten werden methodisch sortiert und eine erste Überprüfung durchgeführt, ob sich Beweise aus den Daten extrahieren lassen.
Phase 5: Die Datenmenge wird reduziert, um eine detaillierte Analyse der gewonnen Daten vorzunehmen.
Phase 6: Abschlussbericht.
Einzelergebnisse werden in einen Gesamtzusammenhang gebracht und dokumentiert.
Parallel zu allen Phasen läuft eine prozessbegleitende Dokumentation aller Vorgänge und Tätigkeiten an den Daten. In dieser Phase werden alle gewonnenen Daten parallel zu den Untersuchungen festgehalten. Zusätzlich werden die durchgeführten Untersuchungen, Methoden und Parameter selbst dokumentiert.
Eine IT-forensische Analyse kann mehrere Herausforderungen für die untersuchenden Personen mitbringen. Wie bei der Untersuchung eines Kriminaltatorts, geht es auch in der IT-Forensik darum, möglichst alle Beweise zu sammeln, ohne diese zu verändern. Digitale Spuren können allerdings auch im Nachhinein durch die Ermittler leicht verändert werden, weshalb hier nur bestimmte Werkzeuge und Methoden zur Sicherung eingesetzt werden dürfen. Auch die Datenmenge unterscheidet die Computerforensik von der Beweissicherung eines realen Tatorts. Während bei diesen Untersuchungen die Zahl der Beweismittel im zwei- bis dreistelligen Bereich liegen, gibt es in der digitalen Welt schnell mehrere tausend Dateien, die Spuren beinhalten können.