Am Anfang steht die Tat.
Und auch wenn diese Tat heute in immer stärkerem Ausmaß und in unterschiedlichsten Formen in der digitalen Welt stattfindet, so hat sich an den grundlegenden forensischen Methoden, derer sich bereits die vom britischen Schriftsteller Sir Arthur Conan Doyle geschaffene Kunstfigur Sherlock Holmes zur Aufklärung seiner Fälle im späten 19. und frühen 20. Jahrhundert bedient, im Grunde bis heute nichts verändert: auf eine Sicherung der Spuren folgen die detailgenaue Beobachtung und abschließend die nüchterne Schlussfolgerung.
Edmond Locard, um 1910 Direktor des französischen Polizeilabors in Lyon und Mitbegründer der modernen Forensik, formulierte den forensischen Grundsatz, dass kein Täter eine Tat begehen oder einen Tatort verlassen könne, ohne eine Vielzahl von Spuren zu hinterlassen. Stets stehen Täter, Tatort und Opfer in direktem Verhältnis zueinander:
Waren die Spuren seinerzeit ausschließlich physikalische Spuren wie Fingerabdrücke, Fußabdrücke oder Faserspuren, so hinterlassen Cyberkriminelle heute ihre digitalen Spuren z. B. in Form von IP-/Mac-Adressen, versteckten Dateien oder Dateiresten vermeintlich gelöschter Daten.
Der IT-Forensiker findet diese Spuren auf diversen möglichen Datenträgern, angefangen von der Festplatte eines PCs, USB-Sticks, Speicherkarten bis hin zu Mobiltelefonen, Navigationssystemen oder in Routern. Aber auch im flüchtigen Arbeitsspeicher eines Servers können sich Hinweise auf Vorfälle finden.
Findet eine Beweissicherung an aktiven Systemen statt, so muss sie mit größter Sorgfalt erfolgen: laufende Prozesse z. B. einer Produktion dürfen nicht gestört werden, und je nach Vorfall könnte ein Täter den forensischen Einsatz mitbekommen und weitere Aktivitäten einleiten, seine Spuren beseitigen oder wichtige Daten löschen.
Bei der Beweissicherung der digitalen Spuren ist stets höchste Aufmerksamkeit darauf zu legen, dass sie in keiner Weise verfälscht werden. Nur so kann sichergestellt werden, dass diese Daten z. B. in einem sich anschließenden Gerichtsprozess als Beweismittel anerkannt werden. IT-Forensiker bedienen sich dazu etlicher spezieller Werkzeuge und Tools, die bitgenaue Kopien der vorgefundenen Datenträger erzeugen, ohne das Original zu verändern, wie spezielle Festplattenkopierer mit integrierten Write-Blockern oder besondere Auswertegeräte für Mobiltelefone und Navigationssysteme. Der eigentliche forensische Analyse- und Auswertungsprozess erfolgt dann ausschließlich an diesen Kopien, die Originale werden als Asservat gesichert und bleiben fortan unangetastet.
Bei der Analyse der Daten orientiert sich der IT-Forensiker an der Aufgabenstellung, die er von seinem Auftraggeber erhalten hat. Beispiele typischer Fragen sind:
Wer hat Daten gelöscht oder geändert, und wann hat er das getan?
Kann nachgewiesen werden, dass der Geschäftsführer Herr Meier eine Kündigung des Mietvertrags an den Vermieter geschrieben und gesendet hat?
Hat der freigestellte Vertriebsmitarbeiter Herr Müller die Kundendatenbank auf einen USB-Stick kopiert und entwendet?
Von welchem Email-Server wurde eine Phishing-Nachricht gesendet, die den Buchhalter Herrn Müller zu einer falschen Überweisung veranlasst hat?
Auf dem Server wurde ein Trojaner gefunden, der dafür bekannt ist, Daten aus dem Netzwerk zu exportieren:
Über welchen Weg wurde der Server infiziert?
Welche Daten wurden bereits abgezogen? Wo flossen diese hin?
Wurde ein Backdoor angelegt, über das der Täter auch nach Entfernen des Trojaners noch Zugriff auf das Netzwerk hat?
Seit wann waren die Systeme kompromittiert?
Für die Auswertung der Daten stehen dem IT-Forensiker spezielle Software-Tools zur Verfügung, die gelöschte Daten wiederherstellen können, Datenreste aus dem Dateischlupf rekonstruieren oder auch in unscheinbaren Schriftstücken versteckte Dateien auffinden. Zur Analyse großer Datenmengen kommen Auswertungstools zum Einsatz, die ggf. fallspezifisch programmiert werden müssen.
Es folgt nun die Detektivarbeit des IT-Forensikers: Die Korrelation der Daten, bei der er die einzelnen Informationen in Bezug zueinander setzt, Verbindungen der Daten aufzeigt und einen zeitlichen Ablauf des Vorfalls rekonstruiert. Von äußerster Wichtigkeit ist hierbei die Neutralität: Der IT-Forensiker betrachtet die vorliegenden und gefundenen Fakten unabhängig und unvoreingenommen, stellt die Zusammenhänge sachlich dar, nimmt dabei aber niemals eine Schuldzuweisung vor.
Die Ergebnisse der IT-forensischen Untersuchung werden abschließend in einem gerichtsverwertbaren Gutachten oder in einem Bericht zusammengefasst. Hier gilt es, die gesamte Prozesskette nachvollziehbar und für einen Laien verständlich darzulegen: Beginnend bei der Beweissicherung über die Datenanalyse und Auswertung bis hin zur Gegenüberstellung der Daten werden die einzelnen Schritte chronologisch gegliedert und begründet. Die eingesetzten Tools werden erläutert und ihre Sinnhaftigkeit z.B. durch einen allgemein üblichen Einsatz der Werkzeuge für IT-forensische Untersuchungen dargestellt.
Kommt es zu einem Gerichtsprozess, so wird der IT-Forensiker dort als Zeuge geladen: Nun zeigt es sich, ob Sherlock Holmes und seine Schlussfolgerungen zur Aufklärung der Tat beitragen können.
Wenn Sie selbst betroffen sind oder auch nur vermuten, dass eine solche Untersuchung für Sie aufschlussreich sein könnte, nehmen Sie gern mit mir Kontakt auf.
Weitere spannende Informationen zum Thema IT-Fornesik finden Sie hier.
Andreas Velten ist zertifizierter und erfahrener
EDV-Sachverständiger, IT-Forensiker und Fachkraft
für Datenschutz. In seiner aktuellen Position ist er
Ansprechpartner für alle Kunden und Interessenten,
die mit ihren Anfragen bzw. ihrem Beratungsbedarf
in den sensiblen Bereichen der IT-Security, Governance,
Risk-Management und Compliance an
Dietzel & Company GmbH herantreten.