Anzeige

Spurensuche

Die digitale Forensik kommt als digitales Pendant zu den klassischen forensischen Disziplinen immer dann ins Spiel, wenn ein Angriff auf ein IT-System vermutet wird. Sie soll mit ihrem speziellen Blick in die Vergangenheit herausfinden, was tatsächlich vorgefallen ist.

Stellen Sie sich folgendes Szenario vor: Sie kommen an einem Montagvormittag nach einem entspannten Wochenende ins Büro und finden in Ihrem E-Mail-Postfach eine Reihe von elektronischen Nachrichten vor. Strukturiert wie Sie sind, widmen Sie sich zunächst den offensichtlich wichtigen E-Mails. Eine Nachricht, die mutmaßlich von Ihrem Chef stammt, fällt Ihnen sofort ins Auge. Er will Ihnen noch einmal in einem angehängten Office-Dokument die aktualisierte Projektplanung für ein wichtiges Projekt erläutern und bittet Sie, sich das genau anzuschauen und zu kommentieren. Sie öffnen also das an die E-Mail angehängte Office-Dokument, allerdings kommt es nur zu einer Fehlermeldung. Eigentlich nichts Aufregendes, der Rechner macht ja oft mal, was er will. Nach ein paar Minuten springt der Lüfter Ihres Rechners an, weil der Prozessor anscheinend viele Befehle verarbeiten muss. Leider verschlüsselt ein Programm gerade alle ihre gespeicherten Daten und zeigt Ihnen anschließend eine Erpressungsmeldung am Bildschirm: entweder Sie zahlen ein Erpressungsgeld und können dann Ihre Daten wieder entschlüsseln oder die Daten des Rechners bleiben für immer verschlüsselt.

So oder ähnlich geht es seit einiger Zeit vielen Nutzern und Institutionen. Anfang September 2020 war beispielsweise das Universitätsklinikum Düsseldorf betroffen. Aufgrund der möglichen Verursachung eines Todesfalls durch den Angriff auf die IT der Klinik ermittelt die dortige Staatsanwaltschaft wegen fahrlässiger Tötung. Hinter dem Szenario steckt ein kriminelles Geschäftsfeld, das Schadsoftware zu Erpressungszwecken an Nutzer per E-Mailanhang verschickt. Es gibt noch zahlreiche andere verbreitete Szenarien von Angriffen auf IT-Systeme. Oft arbeitet Schadsoftware aber erst einmal eine Weile im Verborgenen und breitet sich im lokalen Netzwerk aus, damit der Schaden, das zu erpressende Geld bzw. der Profit für die Angreifer maximiert werden.

Digitale Spurensuche und Beweissicherung

In einem Schadensfall, auch wenn er nur vermutet wird, untersuchen digitale Forensiker den Vorfall. Dabei gelten Paradigmen, die aus der klassischen Forensik bekannt sind. Zum Beispiel soll der digitale Forensiker die digitalen Spuren nicht bzw. so wenig wie möglich verändern. Wenn er sie verändern muss, dann nur, wenn es einen wichtigen Grund gibt und er den zugehörigen Vorgang genau dokumentiert.

Eine IT-forensische Untersuchung ist mit zahlreichen Herausforderungen verbunden, auf die im Folgenden kurz eingegangen wird und mit denen sich meine Arbeitsgruppe beschäftigt. Eine erste wichtige Herausforderung ist die schiere Datenflut im Rahmen einer IT-forensischen Untersuchung. Es sind zahlreiche Datenträger von unterschiedlichen Geräten wie Computer, Smartphones und Tablets sowie Wechseldatenträger wie USB-Sticks, Speicherkarten und DVDs zu sichten. Die Datenmenge erreicht regelmäßig mehrere Terabytes. Hier gilt es, möglichst automatisiert wichtige Spuren von unwichtigen zu trennen, also die berühmte Nadel im Heuhaufen zu finden.

Eine zweite wichtige Herausforderung ist der Umgang mit Anti-Forensik, also allen Maßnahmen seitens des Angreifers, seine Spuren zu verschleiern oder zu vernichten. Anti-Forensik wird seit jeher von Kriminellen angewendet, beispielsweise trägt ein Einbrecher Handschuhe, um keine verräterischen Fingerabdrücke zu hinterlassen. In der digitalen Forensik ist es wichtig, anti-forensische Methoden seitens der Angreifer zu verstehen und zu entdecken.

Eine dritte wichtige Herausforderung ist die Korrektheit von IT-forensischen Tools, d.h. sie sollen so arbeiten wie spezifiziert. Dazu werden standardisierte Testdatensätze benötigt. Für diese sind die zu entdeckenden digitalen Spuren a priori bekannt und werden gegen die entdeckten Spuren vom jeweiligen Tool abgeglichen.

Prof. Harald Baier, Professor für Digitale Forensik am Forschungsinstitut CODE
Prof. Harald Baier
Professor für Digitale Forensik am Forschungsinstitut CODE, Universität der Bundeswehr München

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Cyberangriff - Virus Detected
Sep 29, 2020

Angriffe aufspüren bevor großer Schaden entsteht

Malware, Ransomware oder Phishing: Unternehmen sind zunehmend von Angriffen bedroht, die…

Weitere Artikel

Remote Work

Remote Work: Sicherheitsbedenken bleiben bestehen

Cloud-Securityanbieter Bitglass hat seinen diesjährigen Remote Workforce Security Report veröffentlicht. In einer Umfrage gaben IT-und Securityprofis Auskunft darüber, welche Auswirkungen das Arbeiten im Homeoffice im vergangenen Jahr auf die Datensicherheit…
Frauen in der Cybersecurity

Warum gibt es so wenige Frauen in der Cybersecurity?

Obwohl auch viele Frauen bereits große Erfolge in der IT erzielt haben, gibt es noch immer wenige Frauen in der Cybersecurity. Woran liegt das? Und wie kann man es schaffen, dass mehr Frauen einen Karriere in der IT-Sicherheit einschlagen? Ein Interview mit…
Homeoffice

Endpunktsicherheit – die Schwachstelle

Nach über einem Jahr COVID-bezogener “Notunterkünfte” ist von zu Hause aus arbeiten unumgänglich geworden. Arbeitgeber und Arbeitnehmer haben Anpassungen ihrer Arbeitsweise vorgenommen, um die Geschäftskontinuität während dieser beispiellosen Pandemie…
Cyber Security

Warum eine operationszentrierte Strategie?

IT-Teams sind nicht selten gezwungen, ihr Unternehmen aus einer siloartigen Infrastruktur heraus gegen Cyberangriffe zu verteidigen.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!