Digiale Forensik

Computer-Forensik oder digitale Forensik bedeutet die Nutzung informationstechnischer Systeme für die Analyse von Computerdelikten, um belastende oder entlastende Beweise für ein mögliches Gerichtsverfahren zu erhalten. Die Rechtsgültigkeit der Beweise ist gegeben, wenn eine bestimmte logische Methodik angewendet wird sowie verschiedene Prinzipien beachtet werden. Die Transparenz und Nachvollziehbarkeit bzw. Protokollierung der Vorgehensweise ist unbedingt erforderlich.

„Computer forensics is the scientific examination and analysis of data held on, or retrieved from, computer storage media in such a way that the information can be used as evidence in a court of law.“ (zitiert von DIBS USA Inc).

Neben der Kompetenz und Glaubwürdigkeit der untersuchenden Experten muss vor allem auf den korrekten Einsatz der notwendigen Werkzeuge geachtet werden. Diese müssen nachweisbar funktionieren und keinen Zweifel am Ergebnis lassen. Open-Source-Programme liefern durch die Offenheit bis auf Code-Ebene hinab eine solide Basis für eine Untersuchung.

Weiterhin ist es notwendig, die technischen Gutachten juristisch richtig zu formulieren und so aufzubereiten, dass auch technische Laien vor Gericht sie ohne spezielle Schulung verstehen.

Grober Ablauf einer forensischen Analyse:

Nach einem Angriff beginnt zunächst die Sicherstellung aller Geräte und Speichermedien sowie die Ermittlung aller Datenbestände. Eine Protokollierung der Aktionen der Administratoren oder User nach dem Angriff hilft bei der Erkennung der Systemeingriffe des Angreifers.

Läuft das System noch, so müssen zunächst die flüchtigen Speicher gesichert werden. Dazu gehören der Hauptspeicher (Speicher und Prozessdump) sowie verschiedene Logs oder temporäre Verzeichnisse und Dateien.

Anschließend werden die Datenträger ausgewertet. Sind sie defekt, müssen sie in einem Speziallabor für den Zugriff aufbereitet werden. Die Daten werden zu Beginn auf andere Datenträger gespiegelt, d.h. kopiert, ohne in irgendeiner Form verändert zu werden. Die erzeugten Sicherungen werden nur im Lese-Modus (read-only) ausgewertet.

Es wird nach speziellen Logs gesucht, um den Angriff zu rekonstruieren. Sind die Daten gelöscht, liefern Magic Bytes Hinweise auf den Typ der Dateien. Hier sind vielfältige Tools (Forensic Toolkits) vorhanden, um die Daten wiederherzustellen.

Nach Auswertung der Datenbestände wird ein Bericht über die Vorgehensweise, die genutzten Hilfsmittel sowie die Ergebnisse erstellt und für den Gerichtssaal aufbereitet.

Läuft ein Angriff noch, gilt es Nutzen gegen Schaden abzuwägen. In den meisten Fällen sollten sofort die Netzwerkverbindung gekappt werden, um das Löschen wichtiger Daten oder Loginformationen zu verhindern. Unternimmt der Angreifer keine schädlichen Aktionen, kann man die Zeit für das Auslesen der Verbindungsinformationen nutzen. So kann man Beweise sammeln und den Hacker später eindeutig identifizieren.

Werkzeuge/Forensic Toolkits:

Forensic Toolkits liefern die Werkzeuge für viele wichtigen Aufgaben:

  • Automatisierte Analysen
  • Rekonstruktion von Daten
  • Speichermedien manipulationssicher duplizieren
  • Auswerten von Datenformaten
  • Sicherung der flüchtigen Daten
  • Analyse der Zugriffs-/Metadaten

Die Toolkits müssen eine Vielzahl an Kodierungen und Dateiformaten der vielfältigen Betriebssysteme unterstützen. Datenuntersuchungen müssen auch auf verschiedenen Ebenen stattfinden können, da jede Speicherebene unter Umständen aufschlussreiche Informationen liefern könnte.

Vor allem Open-Source-Toolkits werden zunehmend beliebter. Die Werkzeuge können auf Code-Ebene auf ihre Funktionen untersucht werden. Erweiterungen können relativ einfach implementiert werden und die notwendige Überprüfung durch Dritte ist wesentlich vereinfacht. Schwachstellen können so schnell und effizient beseitigt werden.

Vorbereitung und Überwachung eines Systems:

Die digitale Forensik bietet auch viele Möglichkeiten ein System so vorzubereiten, dass im Falle eines Delikts die anschließende Beweissuche wesentlich einfacher ist. Intrusion-Detection-Systeme z.B. erkennen Veränderungen am System zur Laufzeit und melden sie einem Zuständigen. Spezielle Schulungen helfen Administratoren im Falle eines Angriffes richtig zu handeln. Alleine schon das Herabfahren oder Booten des Systems zerstört viele Informationen.

Literatur:

DN-Systems bieten viele nützliche Informationen im Artikel-Bereich.