Erschwerte Ermittlungen Forensik in der modernen Cyber-Welt

Autor / Redakteur: Bruno Kerouanton* / Stephan Augsten

IT-Forensik zielt in erster Instanz nicht auf die Ermittlung der Täter ab. Vielmehr dient sie dazu, den Ablauf der Attacke zu rekonstruieren. So lassen sich verloren geglaubte Daten wiederherstellen, potenzielle Angriffsvektoren identifizieren und künftige Attacken vermeiden. Doch der Technikwandel erschwert die Aufgabe.

Firmen zum Thema

IT-Forensiker müssen allen digitalen Spuren nachgehen, um Einfallstore auch nachhaltig zu schließen.
IT-Forensiker müssen allen digitalen Spuren nachgehen, um Einfallstore auch nachhaltig zu schließen.
(Bild: Archiv)

Nachdem das IT-Sicherheitsgesetz in Deutschland Ende Juli 2015 in Kraft getreten ist, sind alle Augen auf das Bundesamt für Sicherheit in der Informationstechnik (BSI) gerichtet. Dessen Zuständigkeiten wurden nämlich drastisch erweitert, auch der Stellenwert der Behörde ist erheblich gestiegen.

Weniger häufig kommt zur Sprache, dass auch das Bundeskriminalamt (BKA) mehr Kompetenzen bekommt. Das BKA steht nicht im Blickpunkt, weil es nicht direkt an der Ausarbeitung der rechtlichen Details beteiligt ist. Es wird jedoch eine sehr wichtige Rolle bei der Untersuchung von Cyber-Angriffen spielen; ein Punkt, der oft nur unzureichend bedacht wird.

Der Angriff auf Sony Pictures Ende 2014 ist nur ein Beispiel, das die finanziellen Risiken von Cyberangriffen aufzeigt. Öffentliche und private Ermittler stehen unter Zugzwang und sollen die Personen hinter solchen Angriffen ermitteln. Dabei kann Forensik in der digitalen Welt in drei Kategorien unterteilt werden: Dem eigentlichen Ermittlungsverfahren, dem Incident Management und der Datenwiederherstellung.

Moderne Cyber-Forensik - eine ernsthafte Herausforderung

Beim ersten Teil der Ermittlung handelt es sich um den klassischen Teil der Untersuchung. Man stellt sich die Frage des Motivs der Verbrecher. Dies ist normalerweise die Aufgabe der Polizei, aber bei Bedarf können auch private Organisationen zur Unterstützung beauftragt werden.

Der zweite Teil richtet sich an die Cyber-Experten. Ein Vorfall wird nach seiner Analyse kategorisiert. Neben dem Sammeln von Beweisen ist hier die von den Angreifern angewandte Methodologie das Ziel der Ermittlung. Die dritte Form forensischer Arbeit bezieht sich stärker auf die Wiederherstellung des Systems im Falle eines Hardware-Ausfalls oder Datenverlusts. Man zielt darauf ab, Daten von ausgefallenen Laufwerken wieder verfügbar zu machen, falls keine Backups gemacht wurden oder nicht verfügbar sind.

Der allgemeine forensische Arbeitsablauf ist darauf ausgerichtet, die richtigen Informationen zu erlangen. Begonnen wird mit der Erstellung einer forensisch nutzbaren Kopie (Imaging), dann werden die Daten für die Analyse verarbeitet (Conversion) und alle irrelevanten Daten nach dem Vergleich mit kategorisierten Listen (Hashing) verworfen. Zusätzliche Daten können durch die Rekonstruktion von Fragmenten wiedergewonnen werden (Carving).

Die Ergebnisse müssen zur Vorlage und gemeinsamen Nutzung durch Ermittler, juristische Partner oder Manager (Reporting) aufbereitet werden. Schließlich ist die sichere Speicherung aller Beweise und Berichte (Archiving) wichtig, um Verbindungen zwischen anderen Vorfällen herzustellen und die Beweise für die rechtliche Verfolgung abrufbar zu machen.

Von all diesen Aufgaben ist der Carving-Prozess einer der anspruchsvollsten. Sogar wenn das Medium in gutem physischem Zustand ist, können und werden Probleme auftreten. Die Tatsache, dass immer mehr Anbieter Mobilgeräte herstellen und unterschiedliche Standards und Betriebssysteme nutzen, führt zu einem enormen Anstieg an unterschiedlichen physischen Anschlüssen und Dateiformaten. Diese verlangen nach individuellen forensischen Instrumentarien.

Dadurch steigt nicht nur der Komplexitätsgrad, sondern auch die Kosten für diese Werkzeuge. Es geht nicht nur um den passenden Anschluss zur Verbindung mit dem Endgerät oder der Festplatte, sondern auch um den effizienten Umgang mit Dateiformaten (davon gibt es Tausende) und deren Versionen – es muss ständig aktualisiert werden. Ganz zu schweigen von Festplattenverschlüsselung, eingebetteten Geräten und unterschiedlichen Zugangsschutzmaßnahmen.

Wie sich die Entwicklung der IT auswirkt

Die digitale Integration verändert vielleicht die Werkzeuge, die Kriminelle verwenden, ihr Ziel bleibt jedoch das Gleiche: Kriminelle Hacker sind auf fremdes Eigentum (und Vermögen) aus, wollen Gegner schädigen, Organisationen sabotieren und stören oder Menschen durch Bestechung und Einschüchterung zum Gehorsam zwingen. Gewöhnlich fallen alle Straftaten, die sie begehen, unter geltenden Rechtsvorschriften.

Durch die wachsende Nutzung von Cloud-Diensten unterliegt die Arbeit der Forensik-Experten einer wesentlichen Veränderung. Instrumentarien zum Aufspüren relevanter Informationen waren anfänglich für physische Speichergeräte konzipiert; jetzt, wo Daten, in der Cloud gespeichert werden, sind sie wenig hilfreich. Denn dort liegen sie auf Memory- oder Live-Systemen, die in kein Labor mehr gebracht werden können.

Die Herausforderung nimmt auch zu, weil die Menge an Daten exponentiell steigt. Dabei sind die meisten alten Forensik-Instrumente jedoch für sich stets bewegende Datenmengen nicht geeignet. Die größten Player unter den Cloud-Dienstanbietern, wie Google, Apple, Microsoft oder Amazon (GAMA) haben Cloud-spezifische Tools für ihre eigenen internen Untersuchungen und Anforderungen entwickelt.

Einige dieser Tools, wie Rekall oderGoogle Rapid Response , sind quelloffen und für jedermann frei verfügbar. Andererseits hat die Strafverfolgung trotzdem immer Probleme mit Daten aus der Cloud, denn sie ist auf diese Unternehmen angewiesen – und jeder Zugriff auf Informationen hängt vom Wohlwollen der Provider ab. Eine gerichtliche Verfügung zur Erlangung von Informationen hat nur Chancen auf Erfolg, wenn es um eine ernsthafte Bedrohungen geht. In anderen Fällen können die Provider das Ersuchen jedoch ablehnen, es verzögern oder den Ermittlern lediglich minimale Informationen geben.

Das sind die sogenannten Cryptowars, die zwischen der Strafverfolgung und diesen Privatunternehmen herrschen. Besorgniserregend sind dabei der Mangel an effizienten Instrumenten, das Problem der Zugriffsrechte und die rechtlichen Probleme mit den Dienstanbietern.

Selbst wenn die Behörden über die geeigneten Werkzeuge zur Ermittlung in der Cloud verfügen, bräuchten sie für ihre Maßnahmen die Genehmigung dieser Unternehmen. Die Dienstanbieter sind in aller Welt ansässig, weshalb verschiedene regionale oder länderspezifische Bestimmungen angegangen werden müssen.

Fazit

Alte Hardwareansätze in der Forensik sind nicht mehr wirksam, da Daten nicht mehr auf Festplatten ruhen, sondern im virtuellen Speicher oder in der Cloud zu finden sind. Oder sogar auf mehreren verteilten Geräten, wie Spielekonsolen, Küchengeräten oder Autos.

Big Data und das Internet der Dinge sind ein enormes Problem für Ermittler, da die Forensik-Instrumente niemals dafür entwickelt wurden und in diesem Wettlauf einfach nicht Schritt halten können. Cyber-Forensik muss sich auf die neuen Herausforderungen konzentrieren, denn nur wenn Ermittler in der Lage sind, auf diesem Gebiet Beweise und Spuren zu sichern, haben sie eine Chance, die Personen hinter den Angriffen zu finden.

Nun stellt sich die Frage, ob die Strafverfolgungsbehörden in aller Welt, wie das BKA in Deutschland, für diese Entwicklung gerüstet sind. Das ist schwer zu sagen, da hier ein Informationsdefizit besteht. Früher oder später wird es zu Vorfällen kommen und dann muss das BKA beweisen, dass die Erweiterung seiner Befugnisse notwendig und die Investition gut angelegt war. Letztlich muss man einsehen, dass die Cyberwelt ein wichtiger, globalisierter Tatort ist, der sich täglich ausweitet.

* Bruno Kerouanton ist CISO des Schweizer Kantons Jura und zertifizierter CISSP sowie Mitglied von (ISC)².

(ID:43723953)