Was ist Computer Forensik oder IT-Forensik ?

Sinn und Zweck der IT-Forensik oder auch Computer-Forensik ist die gerichtsverwertbare digitale Beweismittelsicherung.

Zur Durchführung einer forensischen Analyse und zur Aufrechterhaltung der späteren Gerichtsverwertbarkeit sind schon vor der eigentlichen Sicherstellung der Geräte einige elementare Faktoren zu beachten:

  1. Nach Möglichkeit sollten so wenig Personen wie möglich, jedoch nötig einen physikalischen Zugriff auf das Beweismittel haben. Das Beweismittel selbst sollte so wenig wie möglich „bewegt“ werden. Denn jegliche „Bewegung“ des Beweismaterials kann eine "Verfälschung" der Dateninhalte mit sich ziehen. Eine Aufrechterhalteung des bestmöglichen Zugangsschutz, als auch eines bestmöglichen Zugriffsschutz ist hierbei schon bei der Maßnahme und Durchführung der Sicherstellung erforderlich. Auch sollten durch den Auftraggeber alle notwendigen Erfordernisse zur Aufrechterhaltung der Datenintegrität eroiert werden: Hierzu zählen die Sicherstellung des Gerätes und die bestmögliche Verfahrung hinsichtlich eines potentiellen Zugriffs durch Dritte (z.B. Verfahrung im Safe).
  2. Einwandfreie und lückenlose Dokumentationsstrecke, von der Sicherstellung bis zum späteren forensischen Gutachten.
  3. Unterschiedliche Aufgaben erfordern unterschiedliche Spezialisten. Sollten Datenträger mutwillig zerstört worden sein, so ist eine Einbeziehung verschiedener Fachleute zu erwägen, z.B. neben forensichen Gutachter auch ausgewiesenen Spezialisten in Sachen Datenrettung.

Prozess und Ablauf einer IT-forensischen Untersuchung

Bestimmte Prozessabläufe sind zwingend erforderlich, diese gliedern sich u.a. in:

  • Identifikation
  • Sicherstellung - Sicherstellung und Zugangsschutz
  • Analyse und Datenintegrität - Erstellung einer sektorbasierten gerichtsverwertbaren forensichen Kopie - Durchführung der Analyse an der forensischen Kopie.
  • Forensische Analyse / Forensisches Gutachten - Erstellung der forensischen Analyse und bei Bedarf Erstellung des forensischen Gutachtens.

Der Prozessablauf soll in der Regel folgende Fragen klären:

  • Wer – Wer veränderte oder löschte Daten?
  • Wann – Datum und Uhrzeit.
  • Warum –Warum wurden Änderungen, Bewegungen und/oder Abweichungen durchgeführt?
  • Wo – Exakte Ortsangabe des Vorfalls.
  • Was – Was wurde genau getan und was ist genau vorgefallen ?
  • Wie – Wie wurde vorgegangen bzw. welche Programme oder welche physikalischen Mittel wurden eingesetzt um Daten zu löschen oder Datenspuren zu beseitigen ?

Identifikation von Beweismitteln

Im Rahmen der Identifikation wird die Ausgangslage nach eintreten des Verdachtsfalles dargelegt. Die Schwerpunkte liegen hierbei bei der Beschreibung der jeweiligen Situation, dazu gehört eine Beschandsaufnahme des Vorfalles und des Verdachts, Strukturierte Aufarbeitung des zugänglichen Datenmaterials (Log-Dateien, etc.). Diese sind mitunter nicht nur lokal vorzufinden, mitunter lassen sich auch Rückschlüsse auf Verdachtsfälle im Unternehmensnetz (Server-Logs) sichern.

Schlußendlich ermöglicht die Sichtung der zugrundegelegten Fakten eine Entscheidungsfindung, welche Mittel zur Beweiserhebung zur Verfügung gestellt werden müssen (Relevanz).

Sicherstellung von Beweismitteln

Ermittlung der Datenintegrität des Beweismaterials und die Aufrechterhaltung der Beweiskette sind die zentralen Aufgaben der Sicherstellung. Normalerweise betrifft dies dies dass sichern von Beweisen auf Speichermedien. Es empfiehlt sich, zu diesem Zwecke Datenträger einzusetzen, die nur einmalig physikalisch beschrieben werden können. Die Verwendung kryptografischen Verfahren zur digitalen Signierung von Beweisdaten sollte geprüft und im best-case auch angewendet werden, um die Unversehrtheit der Daten auch nachweislich garantieren zu können.

Bei diesem Punkt ergibt sich meistens eine entscheidende Fragestellung: Ist das betroffene IT-System aufgrund der Gefährdungssituation abzuschalten oder kann es weiter betrieben werden? Diese Fragestellung ist von enormer Bedeutung, da es im weiteren Schritt um eine Sicherstellung von flüchtigen Datenmaterial wie z. B. dem RAM-Speicher, Netzwerkverbindungen und offenen Dateien sowie nicht-flüchtigen Daten wie z. B. einzelner Dateien auf der Festplatte geht. Im Falle des Abschaltens würden die flüchtigen Datenbestände des RAM-Speichers verloren gehen.

Analyse des Beweismaterials

Nachdem die relevanten Beweisdaten definiert und gesichert worden sind, schließt sich hieran die erste Analyse des sichergestellten Materials an. Neben Allround-Kenntnissen hinsichtlich Netzwerktopologien, Applikationen, sowie aktueller und bekannte System-Verwundbarkeiten, ist auch ein hoher Grad an Improvisationsvermögen und -Möglichkeiten gefordert, bzw. erforderlich. Speziall and diesem Punkt sollten sich Unternehmen überlegen, ob nicht sinnvoller Weise externe Spezialisten hinzugezogen werden sollten. Die notwendigen Kenntnisse gehen weit über die pure Netzwerk-Administration oder die Kenntnisse von Betriebs- und Dateisystemen hinaus und erfordern mitunter betriebssystemnahe Programmierkenntnisse. Zielsetzung des Analyseschritts ist die Untersuchung und Darstellung der Beweise, der Ursachenbemessung des Vorfalles und der Wirkungsweise des eingetretenen Vorfalls. Die Analyse wird niemals am originären System durchgeführt und erfordert eine noch detailliertere Dokumentation als in den vorherigen Schritten.

Aufbearbeitung und Präsentation des Beweismaterials

Beim letzten Prozessschritt bereiten die an der Analyse beteiligten Personen und Spezialisten ihre gesammelten Erkenntnisse in Form eines Berichtes, bzw. einer Präsentation auf. Hierbei ist der Bericht auf die grundsätzliche Motivation oder den ursprünglichen Verdachtsmoment einer Untersuchung abzustimmen. Diese lässt sich in folgenden Punkten gliedern:

  • Ermittlung der Identität des Täters
  • Ermittlung der Anzahl der an der Tat beteiligten
  • Ermittlung des Zeitraums der Tat („Timeline“),
  • Ermittlung des Tatumfangs,
  • Ermittlung der Motivation
  • Ermittlung der Ursache und Durchführung der Tat

Die Klärung aller oben aufgeführter Punkte ist sowohl stark abhängig vom vorhandenen Beweismaterial sowie der Qualität der Analyse.

Kosten einer IT-Forensischen Untersuchung

Die Kosten stehen in Abhängigkeit von der Komplexität des jeweiligen ursächlichen Anfangsverdachts. Folgerichtig erfordert z.B. die Analyse einer Notebook-Festplatte einen geringeren Zeitaufwand als im Vergleich hierzu die Analyse von Löschszenarien über mehrere Server hinweg benötigen würde. Die Kosten sind somit stark aufwandsorientiert zu betrachten. Die forensische Analye für Einzelfestplatten kann für Unternehmen, je nach Szenario zwischen 1.000 - 3.000 Euro net. zzgl. Mwst. liegen. KUERT adressiert seine Forensik-Services ausschließlich an klein- und mittelständische Unternehmen. Für weitere Informationen rufen Sie einfach an, unsere Mitarbeiter helfen Ihnen gerne weiter.