Anzeige

Spurensuche

Die digitale Forensik kommt als digitales Pendant zu den klassischen forensischen Disziplinen immer dann ins Spiel, wenn ein Angriff auf ein IT-System vermutet wird. Sie soll mit ihrem speziellen Blick in die Vergangenheit herausfinden, was tatsächlich vorgefallen ist.

Stellen Sie sich folgendes Szenario vor: Sie kommen an einem Montagvormittag nach einem entspannten Wochenende ins Büro und finden in Ihrem E-Mail-Postfach eine Reihe von elektronischen Nachrichten vor. Strukturiert wie Sie sind, widmen Sie sich zunächst den offensichtlich wichtigen E-Mails. Eine Nachricht, die mutmaßlich von Ihrem Chef stammt, fällt Ihnen sofort ins Auge. Er will Ihnen noch einmal in einem angehängten Office-Dokument die aktualisierte Projektplanung für ein wichtiges Projekt erläutern und bittet Sie, sich das genau anzuschauen und zu kommentieren. Sie öffnen also das an die E-Mail angehängte Office-Dokument, allerdings kommt es nur zu einer Fehlermeldung. Eigentlich nichts Aufregendes, der Rechner macht ja oft mal, was er will. Nach ein paar Minuten springt der Lüfter Ihres Rechners an, weil der Prozessor anscheinend viele Befehle verarbeiten muss. Leider verschlüsselt ein Programm gerade alle ihre gespeicherten Daten und zeigt Ihnen anschließend eine Erpressungsmeldung am Bildschirm: entweder Sie zahlen ein Erpressungsgeld und können dann Ihre Daten wieder entschlüsseln oder die Daten des Rechners bleiben für immer verschlüsselt.

So oder ähnlich geht es seit einiger Zeit vielen Nutzern und Institutionen. Anfang September 2020 war beispielsweise das Universitätsklinikum Düsseldorf betroffen. Aufgrund der möglichen Verursachung eines Todesfalls durch den Angriff auf die IT der Klinik ermittelt die dortige Staatsanwaltschaft wegen fahrlässiger Tötung. Hinter dem Szenario steckt ein kriminelles Geschäftsfeld, das Schadsoftware zu Erpressungszwecken an Nutzer per E-Mailanhang verschickt. Es gibt noch zahlreiche andere verbreitete Szenarien von Angriffen auf IT-Systeme. Oft arbeitet Schadsoftware aber erst einmal eine Weile im Verborgenen und breitet sich im lokalen Netzwerk aus, damit der Schaden, das zu erpressende Geld bzw. der Profit für die Angreifer maximiert werden.

Digitale Spurensuche und Beweissicherung

In einem Schadensfall, auch wenn er nur vermutet wird, untersuchen digitale Forensiker den Vorfall. Dabei gelten Paradigmen, die aus der klassischen Forensik bekannt sind. Zum Beispiel soll der digitale Forensiker die digitalen Spuren nicht bzw. so wenig wie möglich verändern. Wenn er sie verändern muss, dann nur, wenn es einen wichtigen Grund gibt und er den zugehörigen Vorgang genau dokumentiert.

Eine IT-forensische Untersuchung ist mit zahlreichen Herausforderungen verbunden, auf die im Folgenden kurz eingegangen wird und mit denen sich meine Arbeitsgruppe beschäftigt. Eine erste wichtige Herausforderung ist die schiere Datenflut im Rahmen einer IT-forensischen Untersuchung. Es sind zahlreiche Datenträger von unterschiedlichen Geräten wie Computer, Smartphones und Tablets sowie Wechseldatenträger wie USB-Sticks, Speicherkarten und DVDs zu sichten. Die Datenmenge erreicht regelmäßig mehrere Terabytes. Hier gilt es, möglichst automatisiert wichtige Spuren von unwichtigen zu trennen, also die berühmte Nadel im Heuhaufen zu finden.

Eine zweite wichtige Herausforderung ist der Umgang mit Anti-Forensik, also allen Maßnahmen seitens des Angreifers, seine Spuren zu verschleiern oder zu vernichten. Anti-Forensik wird seit jeher von Kriminellen angewendet, beispielsweise trägt ein Einbrecher Handschuhe, um keine verräterischen Fingerabdrücke zu hinterlassen. In der digitalen Forensik ist es wichtig, anti-forensische Methoden seitens der Angreifer zu verstehen und zu entdecken.

Eine dritte wichtige Herausforderung ist die Korrektheit von IT-forensischen Tools, d.h. sie sollen so arbeiten wie spezifiziert. Dazu werden standardisierte Testdatensätze benötigt. Für diese sind die zu entdeckenden digitalen Spuren a priori bekannt und werden gegen die entdeckten Spuren vom jeweiligen Tool abgeglichen.

Prof. Harald Baier, Professor für Digitale Forensik am Forschungsinstitut CODE
Prof. Harald Baier
Professor für Digitale Forensik am Forschungsinstitut CODE, Universität der Bundeswehr München

Artikel zu diesem Thema

Cyberangriff - Virus Detected
Sep 29, 2020

Angriffe aufspüren bevor großer Schaden entsteht

Malware, Ransomware oder Phishing: Unternehmen sind zunehmend von Angriffen bedroht, die…

Weitere Artikel

KRITIS

Die Energiewende als Herausforderungen für die Cybersicherheit

Die Energiewende ist in vollem Gange. Doch dabei sollte die Cybersicherheit nicht zu kurz kommen. Denn die neue Technologie bringt auch neue Angriffsvektoren mit sich.
Open Source

Gipfeltreffen zur Sicherheit von Open-Source-Software

Akamai Technologies hat an dem vom Weißen Haus veranstalteten Gipfeltreffen zur Sicherheit von Open-Source-Software teilgenommen und dabei die Gelegenheit genutzt, seine Ansichten und Empfehlungen zu diesem wichtigen Thema darzulegen. Ein Kommentar von…
Home Office Security

Hybrides Arbeiten: IT-Sicherheit neu gedacht

Durch die Coronapandemie haben sich die Koordinaten der Arbeitswelt nachhaltig verschoben. Hybride Arbeitsplätze sind in vielen Unternehmen zum Standard geworden. Das Thema Sicherheit spielt dabei eine zentrale Rolle – nicht nur in puncto Cyberabwehr. Dell…
Phishing

Phishing-Abwehr auf Basis von Crowd-Sourcing erfolgreich

Eine Schweizer Phishing-Studie mit rund 15.000 Teilnehmern in einem 15-monatigen Experiment brachte einige interessante Ergebnisse hervor. Die Studie wurde von Forschern der ETH Zürich in Kooperation mit einem Großunternehmen durchgeführt, das anonym bleiben…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.