IT-Forensische Beweismittelsicherung von Rechtsverstößen

Um eine forensische Analyse durchführen zu können und die spätere gerichtsverwertbarkeit aufrecht zu erhalten, sind im Vorfeld – bei der Sicherstellung des Systems – einige Dinge zu beachten:

  1. Das originale Beweismaterial darf so wenig wie möglich „bewegt“ werden. Jede „Bewegung“ des Beweismaterials kann eine Verfälschung zur Folge haben. Unter "Bewegung" verstehen wir hierbei sowohl einen Zugangsschutz, als auch einen Zugriffsschutz. Es müssen seitens des Auftraggebers alle notwendigen Maßnahmen ergriffen werden, die Datenintegrität aufrecht zu erhalten: Sicherstellung des Gerätes, Maßnahmen die ein Einschalten des Gerätes unterbinden (z.B. Verwahrung im Safe).
  2. Die Beweismittelkette muss gewahrt werden. Dieses bedeutet und verlangt eine einwandfreie und lückenlose Dokumentation
  3. Das persönliche Wissen darf nie überschätzt werden. Eine Einbeziehung verschiedener Fachleute zu Spezialthemen (zum Beispiel Datenrettung) ist in Erwägung zu ziehen.

Prozessablauf

Zur Durchführung einer Analyse, im Rahmen der IT-Forensik, ist ein fester Prozess zwingend erforderlich. Dieser Prozess gliedert sich wie folgt:

  • Identifizierung - Welche Geräte stehen im Anfangsverdacht
  • Sicherstellung - Sicherstellung und Zugangsschutz der entsprechenden Gerätschaften
  • Analyse / Datenintegrität - Erstellung einer gerichtsverwertbaren forensischen Kopie - Anschließende Analyse auf Basis der forensischen Kopie.
  • Präsentation/Aufbereitung - Erstellung der forensischen Analyse und bei Bedarf Erstellung des forensischen Gutachtens.

Innerhalb dieser Prozesse geht es grundsätzlich um die Beantwortung nachfolgender Fragen hinsichtlich der Sachverhalte, die zur IT-forensischen Untersuchung geführt haben:

  • Wer – Wer veränderte oder löschte Daten? Welche Personen waren anwesend und beteiligt?
  • Wann – Datum und Uhrzeit.
  • Warum –Warum wurden Änderungen, Bewegungen und/oder Abweichungen durchgeführt?
  • Wo – Exakte Ortsangabe des Vorfalls.
  • Was – Was wurde genau getan?
  • Wie – Wie wurde vorgegangen bzw. welche Tools und/oder welche physikalischen Mittel wurden eingesetzt?

Identifizierung

Da in diesem Teilprozess die Ausgangslage dargestellt werden soll, liegen die Tätigkeitsschwerpunkte in der möglichst genauen Dokumentation der vorgefundenen Situation. Neben der Bestandsaufnahme des eigentlichen Sicherheitsvorfalles und erster Vermutungen müssen unbedingt weitere Fragen für die nähere Untersuchung geklärt werden. Es folgt eine Strukturierung dahingehend, welche Formen von Beweisen den Beteiligten zugänglich sind. Sind die Beweise z. B. in Form von speziellen Log-Dateien vorhanden? Geht es um Beweise in Form von nicht-flüchtigen Datenbeständen auf vorliegenden Datenträgern? Es wird ferner festgehalten, wo diese Beweise vorrätig sind. Die Umgebungen, in denen die Beweismittel vorliegen (z. B. Betriebssysteme) werden dokumentiert und aufgenommen.

Am Ende kann durch Sichtung dieser grundlegenden Fakten eine Entscheidung darüber gefällt werden, welche Mittel zur Beweiserhebung zur Verfügung gestellt werden müssen (Relevanz). Die besondere Beachtung der Frage einer Sicherungsmethode (Backup) ist zu klären. Im folgenden Prozessschritt wird man auf nicht-flüchtige (z. B. Daten auf Festplatten) und flüchtige Daten (z. B. Daten im RAM-Speicher) stoßen, die Beweise darstellen. Es müssen daher die richtigen Mittel zur Sicherung dieser Beweise gewählt werden. Hier kann auch die Frage einer möglichen externen Unterstützung eine maßgebliche Rolle spielen.

Sicherstellung

Dieser Schritt beinhaltet die eigentliche Beweismittelsicherung nach potentiellen Verdacht auf Rechtsverstösse. Unter Einsatz der bereits vorgestellten Fragematrix sind in diesem Prozess die Integrität der digitalen Beweise und das Aufrechterhalten einer Beweiskette die zentralen Aufgaben. Im Regelfall bedeutet dies das Sichern von Beweisen auf Datenträgern. Dabei sollten Medien benutzt werden, die einmalig beschreibbar sind. Der Einsatz von kryptografischen Verfahren zum digitalen Signieren von Beweisdaten sollte geprüft und wenn möglich angewendet werden, um die Unversehrtheit von Daten gewährleisten zu können.

In diesem Prozessschritt ergibt sich immer wieder eine entscheidende Fragestellung: Ist das betroffene IT-System aufgrund der Gefährdungssituation abzuschalten oder kann es weiter betrieben werden? Diese Frage ist von zentraler Bedeutung, da es im weiteren Schritt um eine Sicherung von flüchtigen Datenbeständen wie z. B. dem RAM-Speicher, Netzwerkverbindungen und offenen Dateien sowie nicht-flüchtigen Datenbeständen wie z. B. Dateien auf der Festplatte geht. Im Falle des Abschaltens würden die flüchtigen Datenbestände verloren gehen.

Analyse

Nachdem die relevanten Beweisdaten erhoben sind und sicher auf entsprechenden Medien untergebracht sind, folgt eine erste Analyse. Hier ist Allroundwissen über Netzwerktopologien, Applikationen, aktuelle und bekannte System-Verwundbarkeiten als auch möglicherweise ein sehr hoher Grad an Improvisationsvermögen gefordert. Gerade hier sollten sich Organisationen überlegen, ob externe Fachleute hinzugezogen werden. Das benötigte Wissen geht weit über die pure Administration von Netzwerken oder Betriebssystemen hinaus und verlangt teilweise sogar betriebssystemnahe Programmierkenntnisse. Die erfolgreiche Analyse ist stets von der richtigen Deutung der vorliegenden Erkenntnisse abhängig. Der Sinn und Zweck der Analyse liegt in der Veranschaulichung und Untersuchung der Beweise, der Bemessung der Ursachen des Vorfalles und der Wirkungsweise des eingetretenen Vorfalls. Die Analyse findet typischerweise niemals am originären System statt und bedingt eine noch detailliertere Dokumentation als in den vorherigen Schritten.

Aufbereitung und Präsentation

Im letzten Prozessschritt bereiten die an der Analyse beteiligten Personen ihre Erkenntnisse in Form eines Berichtes auf. Hierbei ist der Bericht auf die grundsätzliche Motivation einer Untersuchung abzustimmen. Diese lässt sich in folgenden Punkten zusammenfassen:

  • Ermittlung der Identität des Täters / der Täter,
  • Ermittlung des Zeitraums der Tat (Erstellung „Timeline“),
  • Ermittlung des Umfanges der Tat,
  • Ermittlung der Motivation der Tat und
  • Ermittlung der Ursache und Durchführung

Ob sich alle Punkte restlos klären lassen, hängt sowohl vom vorhandenen Beweismaterial als auch von der Qualität der Analyse ab.

Kosten

Die zu erwartenden Kosten hängen von der Komplexität des jeweiligen Anfangsverdacht ab, den es zu analysieren gilt. Hierbei ist es nachvollziehbar, dass die Analyse einer Notebook-Festplatte einen niedrigeren Zeitaufwand erfordert, als die Analyse von Löschszenarien über mehrere Server hinweg. Die Kosten sind somit stark aufwandsorientiert. Eine durchschnittliche Analyse von Einzelfestplatten liegt für Gewerbe- und Unternehmenskunden zwischen 1.000 - 3.000 Euro net. zzgl. Mwst.. KUERT adressiert seine Forensik-Services ausschließlich an klein- und mittelständische Betriebe.  Für weitere Informationen rufen Sie einfach an, unsere Mitarbeiter helfen Ihnen gerne weiter.