IT-Forensik: Die Suche nach digitalen Beweisen
IT-Sicherheit stellt im Allgemeinen die Frage "Was könnte passieren?" in den Fokus. Bei der IT-Forensik hingegen geht es um die Untersuchung nach einem Vorfall und somit um die zentrale Frage "Was ist passiert?". Dabei sind neben Fällen bei denen ein Server mit einem Rechner angegriffen wurde, auch alle Szenarien, in die ein IT-System involviert war, relevant. Dazu gehört zum Beispiel auch das Fälschen eines Dokuments am Rechner oder die Verletzung der Privatsphäre durch Aufnahmen mit einem Smartphone. Mit der Digitalisierung vieler Gegenstände nimmt die Anzahl der interessanten Geräte immer weiter zu und neue Möglichkeiten der Untersuchung gewinnen an Bedeutung.
Zum Beispiel zeichnen autonome Autos mit ihren Kameras und Sensoren permanent die Umgebung auf und speichern viele Informationen dauerhaft oder übertragen diese an einen Dienstleister. Dadurch könnte beispielsweise ein derartig ausgestattetes Fahrzeug eine Straftat aufzeichnen und damit für die Ermittlungen relevant werden. Ein weiteres Beispiel wären intelligente Thermostate, die die Anwesenheit einer Person durch den Log-in des Smartphones im Heimnetz erkennen. Damit kann zum Beispiel nachgewiesen werden, wo sich das Smartphone und höchstwahrscheinlich auch die Person zu einem gewissen Zeitpunkt befunden hat.
Die digitale Forensik wird als Analyse von digitalen Spuren und Sicherung von digitalen Beweisen zur Aufklärung von Vorfällen definiert. Es geht darum, rechtswidrige oder schädliche Handlungen nachzuweisen und Tatbestände aufzuklären, indem digitale Spuren gesichert und ausgewertet werden. Die IT-Forensik ist ein Teilaspekt der Forensik, zu der zum Beispiel auch die Gerichtsmedizin sowie die psychologische Forensik gehört. Zur gerichtsverwertbaren Sicherung digitaler Spuren muss die Untersuchung nach etablierten Standards streng methodisch und jederzeit nachweisbar erfolgen.
Die Begrifflichkeit der IT-Forensik unterliegt kontinuierlich einem gewissen Wandel bzw. einer Weiterentwicklung und wird durch neue Einsatzgebiete dabei teilweise unschärfer. So lag zu Beginn der Entwicklung dieses Bereiches der Fokus klar auf den Rechnern, auf denen der Vorfall stattgefunden hatte, sowie auf den Rechnern, die für den Angriff genutzt wurden. Mittlerweile werden allerdings alle Vorgänge untersucht, bei denen eine Straftat mit einem Rechnersystem erfolgt ist und zusätzlich wird untersucht, ob ein Vorfall mit den Daten eines Rechners aufgeklärt werden kann. So spielt beispielsweise bei der Erschleichung von Leistungen mithilfe eins manipulierten Dokuments, die Untersuchung des Rechners eine zentrale Rolle zur Aufklärung, obwohl der Rechner nicht für einen aktiven Angriff eingesetzt wurde, sondern lediglich für die Bearbeitung eines Dokuments zum Einsatz kam. Das Gleiche gilt auch, wenn eine Software oder ein Gerät verdächtigt wird, den Datenschutz zu verletzen. Ebenso gilt dies, wenn zunächst Funktionen und Kommunikationseigenschaften verstanden werden sollen, bevor diese in einem kritischen Bereich eingesetzt werden. Auch hier werden forensische Untersuchungen durchgeführt, ohne dass es im Vorfeld einen Vorfall gab.
Forensische Untersuchung
Eine forensische Untersuchung wird mit dem Ziel durchgeführt, einen Vorgang in einem Rechnersystem zu untersuchen und zu protokollieren. Insgesamt zählen hierzu das Identifizieren, Sicherstellen, Selektieren und Analysieren von Spuren, die im weiteren Verlauf der Ermittlungen als Indizien bzw. Beweise verwendet werden können. Daher beantwortet eine forensische Untersuchung die Frage, ob mit dem spezifischen Rechnersystem ein bestimmter Vorgang durchgeführt wurde. Dabei können die unterschiedlichsten Systeme Gegenstand einer Untersuchung sein und unterschiedliche Ziele verfolgt werden – hier einige Beispiele:
- ein Wearable z. B. eine Smartwatch, um die Frage zu beantworten, ob der Träger zu einem bestimmten Zeitpunkt an einem bestimmten Ort war,
- ein Smartphone z. B. um den Speicher zu analysieren und unrechtmäßig gemachte Fotos nachzuweisen,
- ein Notebook z. B. um die Manipulation eines Dokuments nachzuweisen oder
- ein Server z. B. um die Logfiles zu analysieren und so die Verbreitung einer Schadsoftware nachzuweisen.
Um zu gewährleisten, dass eine Untersuchung auch von Dritten, beispielsweise einem Gericht, akzeptiert wird, muss sie, wie bereits erläutert, nach etablierten Standards durchgeführt werden und die Ergebnisse müssen entsprechend dokumentiert werden.
Digitale Spuren
Digitale Spuren sind zunächst auch als physische Spuren vorhanden – z. B. als Magnetisierung auf der Oberfläche einer Festplatte, als elektromagnetische Wellen auf einem Datenkabel oder als Ladezustand von Transistoren im Hauptspeicher. Daher müssen digitale Spuren zunächst extrahiert und in eine lesbare Form übersetzt werden. Dabei kann eine derartige Transformation mehrmals stattfinden, bis die Daten schlussendlich in ein für Menschen lesbares Format umgewandelt worden sind. Durch diese, teilweise unvermeidbare, mehrfache Interpretation kann es zu Fehlern bzw. Fehlinterpretationen kommen. Daher müssen etablierte Standards eingesetzt werden, um die Fehlerwahrscheinlichkeit zu minimieren.
Analysemethoden
Grundsätzlich gibt es zwei Arten von Analysemethoden in der IT-Forensik:
- Die Post-Mortem-Analyse
- Die Live-Analyse
Bei der Post-Mortem-Analyse findet die Untersuchung (zeitlich gesehen) nach einem Vorfall statt. Dies geschieht im Wesentlichen durch die Untersuchung von Datenträgern der betroffenen Rechnersysteme. Eine Post-Mortem-Analyse wird durchgeführt, wenn der flüchtige Speicher für den zu klärenden Vorfall nicht relevant ist oder dieser Vorfall schon längere Zeit zurückliegt. Die Vorteile der Post-Mortem-Analyse an einer forensischen Datenträgerkopie sind darin zu sehen, dass Daten nicht aus Versehen zerstört werden können und der gesamte Analyseprozess bzw. der Einsatz von Tools planbar ist, da keine Informationen verloren gehen können. Bei der Post-Mortem-Analyse spielt die Untersuchung der Zeiten in den Metadaten eine wesentliche Rolle. Da diese jedoch vom System beeinflusst werden, muss dringend festgehalten werden, wie das System konfiguriert war. Dazu gehört z. B. welche Zeitzone eingestellt war und ob eine Synchronisation mit einem Zeitserver aktiviert war oder ob es eine lokale Verschiebung gab. Gleichzeitig gilt es zu beachten, dass sich die Betriebssysteme beim Setzen eines Zeitstempels unterschiedlich verhalten bzw. konfiguriert sein können. Zudem sollte berücksichtigt werden, dass die Zeitinformationen einer Datei leicht manipuliert werden können.
Bei der Live-Analyse wird versucht, flüchtige Daten zu gewinnen und zu untersuchen. Diese beinhalten unter anderem den Hauptspeicherinhalt oder Informationen über bestehende Netzwerkverbindungen. Der Vorteil einer Live-Analyse ist die mögliche Gewinnung von Daten aus dem Hauptspeicher, wie zum Beispiel Informationen über angemeldete Benutzer, Passwörter von entschlüsselten Laufwerken sowie aktiven Prozessen. Da dies alles "live" an einem angeschalteten Rechnersystem erfolgt, wird daher auch von Live-Forensik gesprochen. Jede Aktion, z. B. bereits die Bewegung eines Mauscursors, verändert jedoch die Daten auf einem Rechnersystem. Deshalb muss bei der Live-Analyse ein streng strukturiertes Vorgehen angewendet werden, damit im Anschluss alle Veränderungen nachvollzogen werden können.
Bereiche der IT-Forensik
Die IT-Forensik lässt sich in verschiedene Bereiche unterteilen, die sich am Aufbau eines Rechnersystems orientieren:
Datenspeicher-Forensik: Im ersten Schritt wird die forensische Sicherung des kompletten Datenträgers durchgeführt, um anschließend die Analyse aller Daten zu ermöglichen.
- Forensische Sicherung von kompletten Datenspeichern (1:1-Kopie)
- Analyse von verborgenen Datenbereichen
- Wiederherstellung von gelöschten Daten (File Carving)
- Identifizierung von heruntergeladenen Dateien (Zone.Identifier)
Betriebssystem-Forensik: Extraktion von Informationen zur Bestimmung der Systemkonfiguration, der Nutzeraktivitäten und der installierten Anwendungen.
- Entfernung bzw. Filterung aller unveränderten Standarddateien
- System (Version, Installationsdatum, Hardware, Log-Dateien, …)
- Benutzer (welche Benutzer, wann angelegt, letzter Login, …)
- Anwendungen (welche Software, Installationsdatum, …)
Anwendungs-Forensik: Identifizierung individueller Anwendungsspuren sowie die Erhebung aller durch die Anwendungen gespeicherten Daten.
- Identifizierung der relevanten Anwendungen
- Sammlung der Daten, die durch die Anwendungen gespeichert wurden
- Interpretation der Daten (auch proprietäre Formate)
- Rekonstruktion der Nutzung der Anwendung
Netzwerk-Forensik: Hier wird die Kommunikation in einem Netzwerk rekonstruiert und analysiert, um herauszufinden, welche Übertragungen stattgefunden haben.
- Übersicht der Zielnetzwerke und Netzdienste erstellen
- Datenströme durch Konfigurationen nachvollziehen
- Spuren von Protokollen wie HTTP und DNS auswerten
- Zeitlichen Ablauf rekonstruieren
Darüber hinaus gibt es in der IT-Forensik mehrere Spezialdisziplinen, die sich auf ein bestimmtes Themenfeld konzentrieren. Hierbei handelt es sich zum Beispiel um:
Mobilgeräte-Forensik: Smartphones oder Tablets werden Tag für Tag genutzt, dabei werden kontinuierlich Daten gespeichert, zum Teil automatisch, ohne dass der Anwender den vollen Umfang kennt.
- Kommunikationsdaten (Mail, Messenger, …)
- Standortdaten (Funkzellen, Positionssystem, ...)
- Herausforderung: Verschlüsselung der Geräte "Katz-und-Maus-Spiel"
Multimedia-Forensik: Untersuchung von Fotos und Videos mit dem Ziel herauszufinden, ob sie einem Gerät oder einem Ort zugeordnet werden können, ob Manipulationen vorliegen oder ob versteckte Informationen beinhaltet sind.
- Analyse von Fotos und Videoaufnahmen (Manipulationen, Zuordnung, …)
- Möglichkeit von verschleierter Kommunikation – Steganographie
Cloud-Forensik: Durch immer mehr Cloud-Dienste müssen Methoden gefunden werden, um digitale Spuren von externen Systemen extrahieren zu können.
- Verlagerung der Systeme und Daten in die Cloud
- Zugriffe über Schnittstellen und Analyse der Daten
Hardware-Forensik: Viele Gegenstände mit einem integrierten Rechner sammeln kontinuierlich Daten, die für eine Analyse von Interesse sind.
- Drucker, Network Attached Storage und Automobile erzeugen relevante Daten
- IoT und Smart Home spielen bereits heute bei Ermittlungen eine große Rolle
Web-Forensik: Immer mehr Dienste werden ausschließlich als Web-Anwendung bereitgestellt, gleichzeitig werden immer neue Funktionen in Web-Browser integriert.
- Entstandene Spuren im Web-Browser (teilweise für den Anwender nicht sichtbar)
- Daten auf Web-Servern oder in Datenbanken
Einsatzszenarien für IT-Forensik
Die IT-Forensik findet heute – neben der Aufarbeitung von Straftaten mit Bezug zur Computerkriminalität – ein immer breiteres Anwendungsspektrum. Auch abseits der strafrechtlichen Ermittlungen werden die Methoden der IT-Forensik eingesetzt, zum Beispiel, um geschlossene Systeme zu überprüfen oder Fehlfunktionen aufzuspüren.
Traditionell werden forensische Methoden zur Aufklärung von Straftaten eingesetzt. Mit der Etablierung von Rechnersystemen hat sich jedoch der Fokus hin zur Aufklärung von Cyber-Delikten verschoben. Wird ein Rechner eines Beschuldigten beschlagnahmt und analysiert, kann zum Teil rekonstruiert werden, wann der Rechner genutzt, Anwendungen geöffnet und geschlossen und welche Dateien wann bearbeitet wurden. Neben der Aufklärung von Straftaten spielt die Analyse von Angriffen oder Angriffsversuchen eine wichtige Rolle. Hierbei werden die entstandenen Spuren analysiert, um zu rekonstruieren, welches System wann und wie angegriffen wurde. Wenn genügend ausführliche Log-Daten vorhanden sind, können somit zum Teil sogar die Tools der Angreifer identifiziert werden.
Mit diesen Daten kann zum Beispiel das Bewegungsmuster einer Person rekonstruiert werden
IT-Forensik findet jedoch auch Anwendung, um "konventionelle" Straftaten im physischen Raum aufzuklären, da durch die Verbreitung von Computersystemen im Alltag, wie beispielsweise Wearables (z. B. Smart Watch), Smartphones und integrierte Rechnersysteme (z. B. Navigationssystem in Autos) immer mehr Spuren für eine Untersuchung bereitstehen. Damit können Bewegungsabläufe rekonstruiert werden und zeitliche Abläufe eingeordnet werden. Wurde zum Beispiel eine Smartwatch von einem Verdächtigen getragen und war diese im Fitnesstracker-Modus, zeichnete sie die verschiedenen Arten von Bewegungen auf. Mit diesen Daten kann zum Beispiel rekonstruiert werden, wann die Person Treppen genommen hat oder ob sie weggerannt ist. Passt dieses Profil zum Tathergang, können diese Daten belastende Indizien darstellen.
Ein etwas anderer Anwendungsfall für die Methoden der IT-Forensik liegt in der Behebung von Fehlfunktionen. Treten bei der Softwareentwicklung Fehler in einem Bereich auf, der schwierig mit klassischen Entwicklungswerkzeugen zu debuggen ist, können die Methoden der IT-Forensik eingesetzt werden. Zum Beispiel kann mithilfe der Netzwerkforensik der komplette Datenstrom aufgezeichnet und analysiert werden. Damit kann ein Fehler auf einer niedrigen Netzwerkschicht im Treiber entdeckt werden, der sich auf die eigentliche Anwendung auswirkt und dort den gesuchten Fehler verursacht.
Werden externe Komponenten, egal ob Hardware oder Software, in kritischen Umgebungen integriert, ist es wichtig, die genaue Funktionsweise zu kennen und alle Verarbeitungen nachvollziehen zu können. Hierbei kann neben der genauen Analyse des Netzwerkes bei Hardware die Firmware extrahiert oder bei Software mittels Reverse Engineering der Assembler-Code für eine tiefgreifende Überprüfung aufbereitet werden. Dabei wird genauso wie bei der Analyse einer Schadsoftware vorgegangen.
Fazit
Die IT-Forensik kommt immer zum Zuge, wenn es einen Vorfall gegeben hat oder eine spezifische Problemstellung behandelt werden soll. Grundsätzlich geht es um die systematische Untersuchung von Rechnersystemen und die Sicherstellung von digitalen Spuren. Dabei ist die Bandbreite der Anwendung sehr groß und reicht von Rechnern als Tatmittel bis zum gerichtsfesten Nachweis für Versicherungsfälle. Selbst der Browserverlauf spielt bei Untersuchungen eine Rolle, bei dem der Täter nach dem Vorfall mit nicht veröffentlichen Details gesucht hatte, bevor eine erste Meldung veröffentlicht wurde. Aber auch Smart-Home-Anlagen können mit IT-Forensik ausgewertet werden, um ein Alibi zu bestätigen oder zu widerlegen.
Wichtig ist dabei, dass immer nur nachgewiesen werden kann, was mit einem Rechnersystem durchgeführt wurde und nicht ob eine bestimmte Person etwas durchgeführt hat. Denn es kann nur belegt werden, dass ein bestimmter Log-in genutzt wurde. Die IT-Forensik kann nicht nachweisen, wer die Logindaten genutzt hat. Bei biometrischen Merkmalen ist eine Zuordnung potenziell möglich. Wenn allerdings ein Gerät mit biometrischen Funktionen entsperrt wurde und anschließend die Person ohne das Gerät zu sperren weggegangen ist, kann ein Angreifer das System nutzen und es käme zu einer fehlerhaften Zuordnung.
Die Herausforderungen bei der IT-Forensik liegen primär im Zugriff auf die relevanten Daten und die Interpretation von proprietären Dateien und Protokollen. So ist es zum Beispiel bei den Herstellern von Smartphones ein Katz-und-Maus-Spiel mit den Anbietern von Lösungen für den Vollzugriff. Gleichzeitig gilt es bei jeder neuen Geräteart Wege zu finden, alle relevanten Daten zu extrahieren. Es bleibt also spannend…