Vorteile moderner IT-Forensik: Den Verbrechern auf die Schliche kommen

Vorteile moderner IT-Forensik: Den Verbrechern auf die Schliche kommen

Das Phänomen „Cybercrime“ stellt Strafverfolgungsbehörden seit vielen Jahren unter Zugzwang. Immer neue und ausgereiftere Methoden sorgen dafür, dass Polizei, Staatsanwaltschaft und private Ermittler in ein „Katz und Maus“-Spiel eintreten. Cyberkriminalität muss dabei als singuläres, grundsätzlich von anderen Straftaten abgegrenztes Problem betrachtet werden – auch wenn es selbstverständlich Verknüpfungen gibt, bei denen auf bestimmte Methoden zurückgegriffen wird.

DigiFors erläutert Ihnen die Vorzüge von IT-Forensik, veranschaulicht die Thematik anhand von Beispielen und präsentiert Methoden, die im Zuge dessen eingesetzt werden.

Definition IT-Forensik: Worum geht es?

Alle Lebensbereiche sind durch digitale Hilfsgeräte potenziell angreifbar, sei es über Netzwerke, Tablets, Smartphones oder andere Peripheriegeräte. Im besonderen Fokus stehen naturgemäß Bereiche, die das Abgreifen von Daten ermöglichen (Behörden, Unternehmen, Krankenhäuser, Versorger, etc.) – doch auch der gemeine Bürger steht im Fadenkreuz, v.a. begünstigt durch den unsachgemäßen Gebrauch von Endgeräten, die oftmals auch als digitales Zugangsmedium fungieren.

Dies vorausgeschickt, lässt sich IT-Forensik anhand folgender Merkmale charakterisieren:

  • Sicherung von Beweismitteln (u.a. Chat- und Netzwerkprotokolle, Dokumente, Dateien, etc.)
  • Untersuchung der entsprechenden Objekte
  • Entschlüsselung und Identifikation (straf-)rechtlich relevanter Informationen und Daten
  • Aufbereitung zur gerichtsfesten Verwertung

Kurzum: Eine Mischung aus Methoden und Werkzeugen, die analytisch zum entsprechenden Auftragszweck eingesetzt werden. Ein besonderer Fokus gilt hier i.d.R. der Analyse von Datenträgern, denn hier lassen sich Zusammenhänge konstruieren und Sachverhalte verständlich dokumentieren.

IT-Forensik: Chancen der digitalen Beweissicherung in der Praxis

Wie ein „klassischer“ Forensiker, der spezifisch vorgeht und analytisch denkt, gilt es auch hinsichtlich der IT-Forensik strukturiert vorzugehen. Dabei bauen einzelne Schritte sinnvoll aufeinander auf, sie dienen verschiedenen übergeordneten Zwecken. Wir möchten das Ganze kurz darstellen:

  • Strategie und Vorbereitung

Ausgestaltung von Maßnahmen, die der forensischen Untersuchung dienen

  • Symptomdarstellung

Was ist Auslöser des Vorgehens?

  • Vorbereitungen der Operationen

Welcher Anfangsverdacht besteht? Welche Datenquellen gilt es aufzunehmen? In welcher Form werden die Ergebnisse gesichert?

  • Datensammlung

Auswahl geeigneter Werkzeuge, Aufstellen eines Werkzeugkatalogs, Datenakkumulation

  • Untersuchung von Daten
  • Analyse der Untersuchungsgegenstände
  • Dokumentation

Protokollierung der Ergebnisse

Daraus folgt: Vieles innerhalb der IT-Forensik ist äußerst kleinteilige, strukturierte Arbeit unter der Prämisse einer Authentizitätssicherung. Dies gelingt u.a. durch strikte Anwendung des Vier-Augen-Prinzips. Hier bei DigiFors sind wir in der Lage, jede Art von Dateiformat, Protokoll oder Systemeinstellung zu untersuchen – einige der Methoden dazu stellen wir Ihnen im nächsten Absatz gerne vor.

Methoden der IT-Forensik: Auswahl klassischer Werkzeuge

Es ist wichtig, sich im Rahmen der forensischen Arbeit nicht von einzelnen Werkzeugen abhängig zu machen. Deshalb setzen wir auf ein ganzes Sammelsurium an Methoden und Werkzeugen, die anhand ihrer Eigenschaften kategorisiert und ausgewählt werden. Dies alles fällt unter den Begriff „Notation“. Dabei geht es immer auch um die Beweiskraft, welche Daten haben, die mit bestimmten Methoden erhoben werden – ebenso wie um mögliche Schutzmaßnahmen, die es in Bezug auf Datenmaterial einzuhalten gilt.

Damit Sie ein besseres Verständnis über die praktischen Dimensionen der IT-Forensik erhalten, hier kurz eine Auswahl typischer Analysewerkzeuge:

  • JTAG (Joint Test Action Group)

Methode zum Debugging von Hardware, u.a. zur Datenextraktion mittels Schnittstellen.

  • Digitale Beweissicherung

Auswahl verschiedener Hardware, um identische Kopien von Datenträgern für die Auswertung und Dokumentation zu erstellen.

  • Chip-Off

Worst-Case-Methode, wenn Speichermedien durch physikalische oder mechanische Beschädigungen zerstört wurden – basierend auf einer Auslesung von Informationen, die sich durch Auslöten des Chips von der Leiterplatte ergeben.

Wichtig: Es ist stets eine Mischung aus Hard- und Software, die es ermöglicht, einzelne Schritte zu gehen. Je nach Kontext und Aufgabenstellung bedienen wir uns in der IT-Forensik verschiedener Erfahrungswerte, die als Teil regelmäßiger Fort- und Weiterbildungen in Schulungen vermittelt werden. Weitere Informationen dazu sowie zum Angebot unserer IT-Forensik Akademie [VERLINKEN!] finden Sie auf unserer Webseite.

Beispiel gefällig? IT-Forensik praktisch dargestellt

Nehmen wir an, es sollen Daten aus einem Computer extrahiert werden, der sichergestellt wurde und offensichtlich keinerlei Anzeichen für Manipulation aufweist. Es ist jedoch davon auszugehen, dass bestimmte Informationen gelöscht oder unkenntlich gemacht wurden. Im Rahmen der IT-Forensik gilt es nun, zunächst in das Verwaltungssystem zu gelangen, wo in Tabellenform Informationen zu abgespeicherten Dateien aufbereitet sind. Wenn es um NTFS-Dateisysteme geht, dem Standard des Betriebssystems Windows von Microsoft, kommt es hier u.a. auf die Master File Table (MFT) an.

Hier finden sich u.a.:

  • Strukturen der Organisation des Speichers
  • Rechteverwaltung
  • Informationen zu Zeiten und Attributen

Für die IT-Forensik bedeutsam sind vor allem Daten der sog. MAC-Zeiten. Damit lässt sich eine Modifikation feststellen, denn hier sind der Zeitpunkt der Erstellung und des letzten Zugriffs dokumentiert. Unter Berücksichtigung weiterer Maßnahmen ist es somit möglich, Versionshistorien aufzuzeigen und damit die Echtheit zum relevanten Zeitpunkt zu verifizieren.

Jedoch: Ob und in welcher Form Methodenwerkzeuge zum Einsatz kommen, ist stets abhängig von strategischen Abwägungen ganz zu Beginn der Untersuchungen. Der hier dargestellte Prozess ist daher verkürzt und abhängig von weiteren Schritten, deren Ausführung jedoch zu umfassend wäre. Das Beispiel verdeutlicht jedoch, wie ein Teilaspekt der Arbeit in der IT-Forensik aussehen könnte.

Fazit: IT-Forensik als Allheilmittel der Beweissicherung?

Klar ist, dass allein durch die Vielfalt an Betriebssystemen, Netzwerkstrukturen und Co. ein Bedürfnis danach besteht, sich fortwährend mit den neuesten Entwicklungen vertraut zu machen. Die IT-Forensik lebt von der stetigen Überprüfung und Anpassung von Analysewerkzeugen und Grundüberlegungen. Wir bei DigiFors verstehen unsere Aufgabe deshalb als Mittler zwischen den Extremen, um Ordnung in ein schier endlos komplexes System an Daten, Dateien und dergleichen zu bringen.

Sie haben Fragen? Gerne stehen wir Ihnen unverbindlich zur Seite. Rufen Sie uns an oder vereinbaren Sie einen Rückruftermin. Im IT-Forensik Blog von DigiFors finden Sie zudem wöchentlich neue und spannende Beiträge zum Themenkomplex – reinschauen lohnt sich!