Digitale Forensik

 

Computersysteme müssen heutzutage mit Sicherheitsmechanismen betrieben werden. Forensische Analysen dienen neben der eigentlichen Verbesserung der Sicherheit auch der Beweisführung gegenüber Drittpersonen. Forensische Fertigkeiten und Kenntnisse helfen auch im Alltag beim Troubleshooting von Problemen mit IT-Systemen. Wird das Bewusstsein und die Sensibilisierung der Lernenden für die Sicherheit eines Computersystems geschärft, wandelt sich das Verhalten von unbewusst (oder sogar fahrlässig) zu bewusst und vorsichtig.

Computersysteme im Internet werden immer wieder von „Hackern“ angegriffen, geknackt und zum Ausführen von kriminellen Zwecken missbraucht, beispielsweise „Denial of Service“-Attacken. Die Angriffstaktiken werden immer raffinierter, und es lässt sich eine Zunahme der Angriffe über die letzten Jahre beobachten. Daher ist es heutzutage fahrlässig, Computersysteme ohne entsprechende Sicherheitsmechanismen zu betreiben. Effiziente Sicherheitsmechanismen setzen allerdings Kenntnisse der Taktiken und Vorgehensweisen der „Hacker“ voraus.

Bei „Computer Forensics“ versucht man, den Tathergang eines Angriffes zu rekonstruieren und zu verstehen. Dieses Wissen kann der Untersucher einsetzen, um sein System sicherer zu machen und um sich gegen zukünftige Angriffe zu wappnen.

Forensische Analysen dienen neben der eigentlichen Verbesserung der Sicherheit auch der Beweisführung gegenüber Drittpersonen. So lässt sich aus den detaillierten Resultaten der Untersuchung beweisen, dass ein erfolgreicher Angriff stattgefunden hat. Dieses Wissen kann dann auch für ein juristisches Vorgehen gegen die Angreifer verwendet werden.

Forensische Fertigkeiten und Kenntnisse helfen nicht zuletzt auch im Alltag beim Troubleshooting von Problemen mit IT-Systemen

 

Was ist Computer-Forensik?

Der Begriff Computer, Cyber Forensik oder auch Digitale Forensik (engl. Computer Forensics, Digital Forensics) hat sich in den letzten Jahren für den Nachweis und die Ermittlung von Straftaten aus dem Bereich der Computerkriminalität durchgesetzt. In Anlehnung an die allgemeine Erklärung des lateinischen Wortes Forensik, ist die Computer Forensik ein Teilgebiet, das sich mit dem Nachweis und der Aufklärung von strafbaren Handlungen z.B. durch Analyse von digitalen Spuren beschäftigt.

Die Ziele einer forensischen Analyse nach einem Hackerangriff oder Fällen von Computersabotage, Datendiebstahl, Wirtschaftsspionage oder einem anderem möglicherweise ernsthaften Sicherheitsvorfall sind in der Regel:

  • die Identifikation des Angreifers,
  • das Erkennen der Methode oder der Schwachstelle, die zum Systemeinbruch geführt haben könnte,
  • die Ermittlung des entstanden Schadens nach einem Systemeinbruch und
  • die Sicherung der Beweise für weitere juristische Aktionen.

Die wesentliche praktische Frage bei der Computer Forensik lautet hierbei:
Wie stellt man sicher, dass soviel gerichtsverwertbare Informationen (sog. Beweismittel) wie möglich von einem kompromittierten System gesammelt werden können, wobei der aktuelle Zustand bzw. Status dieses Systems so wenig wie möglich verändert wird?

Zur Beantwortung dieser scheinbar einfachen, aber in der Umsetzung recht komplexen Frage muss bei der Computer Forensik bereits im Vorfeld geklärt werden:

  • Wie wird der Angriff verifiziert?
  • Wie sollte der kompromittierte Rechner und die zugehörige Umgebung gesichert werden?
  • Welche Methoden können für die Sammlung von Beweisspuren verwendet werden?
  • Wo sucht man nach Anhaltspunkten und wie können Sie gefunden werden?
  • Wie kann das Unbekannte analysiert werden?

Dies bedeutet allerdings auch, dass sich das Security Management des Unternehmens im Vorfeld auf einen möglichen Security Incident vorbereiten muss. Hier zählt die Erstellung von Security Incident Response - bzw. Notfallplänen und ein angemessenes Training der Sicherheitsspezialisten im Umgang mit Security Tools und den Methoden zur Behandlung von Sicherheitsvorfällen.

Die Computerforensik macht aus Gelöschtem und Verborgenem Beweise, die vor Gericht Hand und Fuss haben. Dass das bitter nötig ist, zeigt die Kriminalität innerhalb der Informationstechnik. Zahlreiche alte und neue verbrecherische Betätigungsfelder fordern heute die Profis im Schnüffeln heraus. Allein das FBI hat die Gründung von drei neuen Computerforensik-Zentren angekündigt.

Die Revisoren der Firma Enron berichteten der empörten Welt, dass sie eine unbestimmte Menge Daten - Dokumente genauso wie E-Mails - zerstört hätten, die sich auf den finanziellen Niedergang des Unternehmens bezogen. Andrew Rosen jedoch ist überzeugt davon, dass er trotzdem herausfindet, was passiert ist und erfährt, wer was wann zerstört hat.
Rosen ist Präsident von ASR Data Acquisition and Analysis. Er ist einer der Schnüffler, die die Systeme des Falls durchwühlen, der eine der grössten computerforensischen Untersuchungen aller Zeiten auslöste. Jedenfalls sagen dies Beobachter. Rosen will keine Einzelheiten über seine Arbeit mit den Enron-Systemen preisgeben. "Es ist viel einfacher, die Computerforensik-Arbeiten durchzuführen, die zeigen, was gedruckt, was zerstört, was versandt und was empfangen wurde, als die Tausenden von Papierstreifen wieder zusammenzukleben, die in den Aktenvernichtern stecken."

Das FBI kündigte vor einiger Zeit die Gründung von drei neuen Computerforensik-Zentren in den USA an. Diese Technik der Spurensuche wird schon längere Zeit von den Justizbehörden eingesetzt. Die Werkzeuge dafür sind in vielen grossen Unternehmen, bei Sicherheitsdienstleistern und in Spezialfirmen wie der von Rosen zum alltäglichen Arbeitsmaterial geworden. Die Wissenschaft analysiert die Bits und Bytes, welche auf einer Speicherplatte zurückbleiben, und sichert sie sorgfältig, damit man die Daten in dem Zustand sieht, bevor sie zuletzt verändert wurden. Sie ist ein kraftvolles Werkzeug für Untersuchungsbeamte wie für interne Sicherheitsleute, die mit der Durchsetzung von Vorschriften der Computerverwendung betraut sind, das Online-Verhalten eines verärgerten Angestellten überprüfen oder die Autoren eines böswilligen Codes aufspüren müssen.

Die modernen Werkzeuge für Computerforensik halten mit der wachsenden Anzahl von Orten Schritt, an denen digitale Beweismittel versteckt werden.

Beispielsweise konnte damit die holländische Polizei mit Daten aus dem Navigationssystem eines Autos Informationen aus einem Handheld fischen. Dies setzt allerdings eine teure Ausbildung der Spezialisten voraus; aber nur dadurch wird die Computerforensik für Geschäftswelt und Justiz nutzbringend eingesetzt werden können. Ohne diese Schulung könnte es Jahre dauern, bis ein Untersuchungsbeamter den endgültigen Test besteht und als Experte vor Gericht aussagen kann.

CIOs sollten aufpassen. Wenn sie die Bildung eines internen Computerforensik-Teams planen oder die Personalabteilung ein solches vorschreiben will. Zuerst müssen die Leute ausgebildet werden, bevor man die Software einkaufen geht. Die grössten Hersteller in diesem Bereich bieten Schulungskurse an. Hier finden sich auch Polizisten und Privatdetektive unter den Schülern. Doch trotz internem Team sollten die Sicherheitsdienstleister und ihre Angebote verglichen werden.

"Die Kenntnisse, Erfahrungen und das Wissen der Fachperson reichern die Ergebnisse der Applikationen beträchtlich an", sagt Bill Boni, Chief Information Security Officer bei Motorola. "Ein Detektiv muss während einer Untersuchung das menschliche Verhalten und die Handlungen verstehen, Dinge miteinander in Zusammenhang bringen und sie gegeneinander abwägen". Für Unternehmen empfiehlt es sich eine Kombination von intern ausgebildeten Experten und Beratern, die auf Netzwerkeinbrecher und andere Zwischenfälle spezialisiert sind. Die Nachfrage nach forensischen Diensten ist bescheiden, wächst aber.


COMPISPEED.COM

Ihr verlässlicher Partner für IT-Sicherheit