Erschwerte Ermittlungen

Forensik in der modernen Cyber-Welt

| Autor / Redakteur: Bruno Kerouanton* / Stephan Augsten

IT-Forensiker müssen allen digitalen Spuren nachgehen, um Einfallstore auch nachhaltig zu schließen.
IT-Forensiker müssen allen digitalen Spuren nachgehen, um Einfallstore auch nachhaltig zu schließen. (Bild: Archiv)

IT-Forensik zielt in erster Instanz nicht auf die Ermittlung der Täter ab. Vielmehr dient sie dazu, den Ablauf der Attacke zu rekonstruieren. So lassen sich verloren geglaubte Daten wiederherstellen, potenzielle Angriffsvektoren identifizieren und künftige Attacken vermeiden. Doch der Technikwandel erschwert die Aufgabe.

Nachdem das IT-Sicherheitsgesetz in Deutschland Ende Juli 2015 in Kraft getreten ist, sind alle Augen auf das Bundesamt für Sicherheit in der Informationstechnik (BSI) gerichtet. Dessen Zuständigkeiten wurden nämlich drastisch erweitert, auch der Stellenwert der Behörde ist erheblich gestiegen.

Weniger häufig kommt zur Sprache, dass auch das Bundeskriminalamt (BKA) mehr Kompetenzen bekommt. Das BKA steht nicht im Blickpunkt, weil es nicht direkt an der Ausarbeitung der rechtlichen Details beteiligt ist. Es wird jedoch eine sehr wichtige Rolle bei der Untersuchung von Cyber-Angriffen spielen; ein Punkt, der oft nur unzureichend bedacht wird.

Der Angriff auf Sony Pictures Ende 2014 ist nur ein Beispiel, das die finanziellen Risiken von Cyberangriffen aufzeigt. Öffentliche und private Ermittler stehen unter Zugzwang und sollen die Personen hinter solchen Angriffen ermitteln. Dabei kann Forensik in der digitalen Welt in drei Kategorien unterteilt werden: Dem eigentlichen Ermittlungsverfahren, dem Incident Management und der Datenwiederherstellung.

Moderne Cyber-Forensik - eine ernsthafte Herausforderung

Beim ersten Teil der Ermittlung handelt es sich um den klassischen Teil der Untersuchung. Man stellt sich die Frage des Motivs der Verbrecher. Dies ist normalerweise die Aufgabe der Polizei, aber bei Bedarf können auch private Organisationen zur Unterstützung beauftragt werden.

Der zweite Teil richtet sich an die Cyber-Experten. Ein Vorfall wird nach seiner Analyse kategorisiert. Neben dem Sammeln von Beweisen ist hier die von den Angreifern angewandte Methodologie das Ziel der Ermittlung. Die dritte Form forensischer Arbeit bezieht sich stärker auf die Wiederherstellung des Systems im Falle eines Hardware-Ausfalls oder Datenverlusts. Man zielt darauf ab, Daten von ausgefallenen Laufwerken wieder verfügbar zu machen, falls keine Backups gemacht wurden oder nicht verfügbar sind.

Der allgemeine forensische Arbeitsablauf ist darauf ausgerichtet, die richtigen Informationen zu erlangen. Begonnen wird mit der Erstellung einer forensisch nutzbaren Kopie (Imaging), dann werden die Daten für die Analyse verarbeitet (Conversion) und alle irrelevanten Daten nach dem Vergleich mit kategorisierten Listen (Hashing) verworfen. Zusätzliche Daten können durch die Rekonstruktion von Fragmenten wiedergewonnen werden (Carving).

Die Ergebnisse müssen zur Vorlage und gemeinsamen Nutzung durch Ermittler, juristische Partner oder Manager (Reporting) aufbereitet werden. Schließlich ist die sichere Speicherung aller Beweise und Berichte (Archiving) wichtig, um Verbindungen zwischen anderen Vorfällen herzustellen und die Beweise für die rechtliche Verfolgung abrufbar zu machen.

Von all diesen Aufgaben ist der Carving-Prozess einer der anspruchsvollsten. Sogar wenn das Medium in gutem physischem Zustand ist, können und werden Probleme auftreten. Die Tatsache, dass immer mehr Anbieter Mobilgeräte herstellen und unterschiedliche Standards und Betriebssysteme nutzen, führt zu einem enormen Anstieg an unterschiedlichen physischen Anschlüssen und Dateiformaten. Diese verlangen nach individuellen forensischen Instrumentarien.

Dadurch steigt nicht nur der Komplexitätsgrad, sondern auch die Kosten für diese Werkzeuge. Es geht nicht nur um den passenden Anschluss zur Verbindung mit dem Endgerät oder der Festplatte, sondern auch um den effizienten Umgang mit Dateiformaten (davon gibt es Tausende) und deren Versionen – es muss ständig aktualisiert werden. Ganz zu schweigen von Festplattenverschlüsselung, eingebetteten Geräten und unterschiedlichen Zugangsschutzmaßnahmen.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43723953 / Security Management)