Anzeige

Spurensuche

Die digitale Forensik kommt als digitales Pendant zu den klassischen forensischen Disziplinen immer dann ins Spiel, wenn ein Angriff auf ein IT-System vermutet wird. Sie soll mit ihrem speziellen Blick in die Vergangenheit herausfinden, was tatsächlich vorgefallen ist.

Stellen Sie sich folgendes Szenario vor: Sie kommen an einem Montagvormittag nach einem entspannten Wochenende ins Büro und finden in Ihrem E-Mail-Postfach eine Reihe von elektronischen Nachrichten vor. Strukturiert wie Sie sind, widmen Sie sich zunächst den offensichtlich wichtigen E-Mails. Eine Nachricht, die mutmaßlich von Ihrem Chef stammt, fällt Ihnen sofort ins Auge. Er will Ihnen noch einmal in einem angehängten Office-Dokument die aktualisierte Projektplanung für ein wichtiges Projekt erläutern und bittet Sie, sich das genau anzuschauen und zu kommentieren. Sie öffnen also das an die E-Mail angehängte Office-Dokument, allerdings kommt es nur zu einer Fehlermeldung. Eigentlich nichts Aufregendes, der Rechner macht ja oft mal, was er will. Nach ein paar Minuten springt der Lüfter Ihres Rechners an, weil der Prozessor anscheinend viele Befehle verarbeiten muss. Leider verschlüsselt ein Programm gerade alle ihre gespeicherten Daten und zeigt Ihnen anschließend eine Erpressungsmeldung am Bildschirm: entweder Sie zahlen ein Erpressungsgeld und können dann Ihre Daten wieder entschlüsseln oder die Daten des Rechners bleiben für immer verschlüsselt.

So oder ähnlich geht es seit einiger Zeit vielen Nutzern und Institutionen. Anfang September 2020 war beispielsweise das Universitätsklinikum Düsseldorf betroffen. Aufgrund der möglichen Verursachung eines Todesfalls durch den Angriff auf die IT der Klinik ermittelt die dortige Staatsanwaltschaft wegen fahrlässiger Tötung. Hinter dem Szenario steckt ein kriminelles Geschäftsfeld, das Schadsoftware zu Erpressungszwecken an Nutzer per E-Mailanhang verschickt. Es gibt noch zahlreiche andere verbreitete Szenarien von Angriffen auf IT-Systeme. Oft arbeitet Schadsoftware aber erst einmal eine Weile im Verborgenen und breitet sich im lokalen Netzwerk aus, damit der Schaden, das zu erpressende Geld bzw. der Profit für die Angreifer maximiert werden.

Digitale Spurensuche und Beweissicherung

In einem Schadensfall, auch wenn er nur vermutet wird, untersuchen digitale Forensiker den Vorfall. Dabei gelten Paradigmen, die aus der klassischen Forensik bekannt sind. Zum Beispiel soll der digitale Forensiker die digitalen Spuren nicht bzw. so wenig wie möglich verändern. Wenn er sie verändern muss, dann nur, wenn es einen wichtigen Grund gibt und er den zugehörigen Vorgang genau dokumentiert.

Eine IT-forensische Untersuchung ist mit zahlreichen Herausforderungen verbunden, auf die im Folgenden kurz eingegangen wird und mit denen sich meine Arbeitsgruppe beschäftigt. Eine erste wichtige Herausforderung ist die schiere Datenflut im Rahmen einer IT-forensischen Untersuchung. Es sind zahlreiche Datenträger von unterschiedlichen Geräten wie Computer, Smartphones und Tablets sowie Wechseldatenträger wie USB-Sticks, Speicherkarten und DVDs zu sichten. Die Datenmenge erreicht regelmäßig mehrere Terabytes. Hier gilt es, möglichst automatisiert wichtige Spuren von unwichtigen zu trennen, also die berühmte Nadel im Heuhaufen zu finden.

Eine zweite wichtige Herausforderung ist der Umgang mit Anti-Forensik, also allen Maßnahmen seitens des Angreifers, seine Spuren zu verschleiern oder zu vernichten. Anti-Forensik wird seit jeher von Kriminellen angewendet, beispielsweise trägt ein Einbrecher Handschuhe, um keine verräterischen Fingerabdrücke zu hinterlassen. In der digitalen Forensik ist es wichtig, anti-forensische Methoden seitens der Angreifer zu verstehen und zu entdecken.

Eine dritte wichtige Herausforderung ist die Korrektheit von IT-forensischen Tools, d.h. sie sollen so arbeiten wie spezifiziert. Dazu werden standardisierte Testdatensätze benötigt. Für diese sind die zu entdeckenden digitalen Spuren a priori bekannt und werden gegen die entdeckten Spuren vom jeweiligen Tool abgeglichen.

Prof. Harald Baier, Professor für Digitale Forensik am Forschungsinstitut CODE
Prof. Harald Baier
Professor für Digitale Forensik am Forschungsinstitut CODE, Universität der Bundeswehr München

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Cyberangriff - Virus Detected
Sep 29, 2020

Angriffe aufspüren bevor großer Schaden entsteht

Malware, Ransomware oder Phishing: Unternehmen sind zunehmend von Angriffen bedroht, die…

Weitere Artikel

Home Office

Sicher in Verbindung bleiben – Fortschritte bei der Fernarbeit?

Für viele Arbeitnehmer bedeutet die „neue Normalität“, dass man überwiegend zu Hause arbeitet und nicht mehr in ein Büro pendelt. Selbst wenn einige allmählich an ihre gewohnten Arbeitsplätze zurückkehren, könnte das Arbeiten aus der Ferne für viele zur…
VPN

Worauf kommt es bei einem VPN-Dienst an?

Vieles spricht dafür, einen VPN-Dienst zu buchen. Viele User nutzen ihn, um sicherer im Internet zu surfen. Andere wollen Geo-Blocking umgehen und wieder andere wollen damit Datenkraken entgehen. Die Auswahl an Anbietern ist groß. Doch was ist wirklich…
Schwachstelle

Die vier Mythen des Schwachstellen-Managements

Schwachstellen-Management hilft, Software-Lecks auf Endpoints zu erkennen und abzudichten. Viele Unternehmen verzichten jedoch auf den Einsatz, weil sie die Lösungen für zu teuer oder schlicht überflüssig halten – schließlich wird regelmäßig manuell gepatcht.
Zoom

Zoom: So lässt sich die E2E-Verschlüsselung aktivieren

Seit kurzem bietet Zoom eine Ende-zu-Ende (E2E) Verschlüsselung an. Das Feature stand lange auf der Wunschliste zahlreicher Nutzer, die immer wieder das Fehlen einer Verschlüsselung moniert hatten.
Security

Die Nutzung sicherer Kennwörter ist nicht genug

Dass Unternehmen verstärkt versuchen, ihre Infrastruktur und ihre Mitarbeiter bestmöglich abzusichern, verwundert angesichts der sich rapide verschärfenden Bedrohungssituation in Sachen IT-Sicherheit kaum. Auch um regulatorischen Vorgaben wie der DSGVO…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!