Anzeige

Spurensuche

Die digitale Forensik kommt als digitales Pendant zu den klassischen forensischen Disziplinen immer dann ins Spiel, wenn ein Angriff auf ein IT-System vermutet wird. Sie soll mit ihrem speziellen Blick in die Vergangenheit herausfinden, was tatsächlich vorgefallen ist.

Stellen Sie sich folgendes Szenario vor: Sie kommen an einem Montagvormittag nach einem entspannten Wochenende ins Büro und finden in Ihrem E-Mail-Postfach eine Reihe von elektronischen Nachrichten vor. Strukturiert wie Sie sind, widmen Sie sich zunächst den offensichtlich wichtigen E-Mails. Eine Nachricht, die mutmaßlich von Ihrem Chef stammt, fällt Ihnen sofort ins Auge. Er will Ihnen noch einmal in einem angehängten Office-Dokument die aktualisierte Projektplanung für ein wichtiges Projekt erläutern und bittet Sie, sich das genau anzuschauen und zu kommentieren. Sie öffnen also das an die E-Mail angehängte Office-Dokument, allerdings kommt es nur zu einer Fehlermeldung. Eigentlich nichts Aufregendes, der Rechner macht ja oft mal, was er will. Nach ein paar Minuten springt der Lüfter Ihres Rechners an, weil der Prozessor anscheinend viele Befehle verarbeiten muss. Leider verschlüsselt ein Programm gerade alle ihre gespeicherten Daten und zeigt Ihnen anschließend eine Erpressungsmeldung am Bildschirm: entweder Sie zahlen ein Erpressungsgeld und können dann Ihre Daten wieder entschlüsseln oder die Daten des Rechners bleiben für immer verschlüsselt.

So oder ähnlich geht es seit einiger Zeit vielen Nutzern und Institutionen. Anfang September 2020 war beispielsweise das Universitätsklinikum Düsseldorf betroffen. Aufgrund der möglichen Verursachung eines Todesfalls durch den Angriff auf die IT der Klinik ermittelt die dortige Staatsanwaltschaft wegen fahrlässiger Tötung. Hinter dem Szenario steckt ein kriminelles Geschäftsfeld, das Schadsoftware zu Erpressungszwecken an Nutzer per E-Mailanhang verschickt. Es gibt noch zahlreiche andere verbreitete Szenarien von Angriffen auf IT-Systeme. Oft arbeitet Schadsoftware aber erst einmal eine Weile im Verborgenen und breitet sich im lokalen Netzwerk aus, damit der Schaden, das zu erpressende Geld bzw. der Profit für die Angreifer maximiert werden.

Digitale Spurensuche und Beweissicherung

In einem Schadensfall, auch wenn er nur vermutet wird, untersuchen digitale Forensiker den Vorfall. Dabei gelten Paradigmen, die aus der klassischen Forensik bekannt sind. Zum Beispiel soll der digitale Forensiker die digitalen Spuren nicht bzw. so wenig wie möglich verändern. Wenn er sie verändern muss, dann nur, wenn es einen wichtigen Grund gibt und er den zugehörigen Vorgang genau dokumentiert.

Eine IT-forensische Untersuchung ist mit zahlreichen Herausforderungen verbunden, auf die im Folgenden kurz eingegangen wird und mit denen sich meine Arbeitsgruppe beschäftigt. Eine erste wichtige Herausforderung ist die schiere Datenflut im Rahmen einer IT-forensischen Untersuchung. Es sind zahlreiche Datenträger von unterschiedlichen Geräten wie Computer, Smartphones und Tablets sowie Wechseldatenträger wie USB-Sticks, Speicherkarten und DVDs zu sichten. Die Datenmenge erreicht regelmäßig mehrere Terabytes. Hier gilt es, möglichst automatisiert wichtige Spuren von unwichtigen zu trennen, also die berühmte Nadel im Heuhaufen zu finden.

Eine zweite wichtige Herausforderung ist der Umgang mit Anti-Forensik, also allen Maßnahmen seitens des Angreifers, seine Spuren zu verschleiern oder zu vernichten. Anti-Forensik wird seit jeher von Kriminellen angewendet, beispielsweise trägt ein Einbrecher Handschuhe, um keine verräterischen Fingerabdrücke zu hinterlassen. In der digitalen Forensik ist es wichtig, anti-forensische Methoden seitens der Angreifer zu verstehen und zu entdecken.

Eine dritte wichtige Herausforderung ist die Korrektheit von IT-forensischen Tools, d.h. sie sollen so arbeiten wie spezifiziert. Dazu werden standardisierte Testdatensätze benötigt. Für diese sind die zu entdeckenden digitalen Spuren a priori bekannt und werden gegen die entdeckten Spuren vom jeweiligen Tool abgeglichen.

Prof. Harald Baier, Professor für Digitale Forensik am Forschungsinstitut CODE
Prof. Harald Baier
Professor für Digitale Forensik am Forschungsinstitut CODE, Universität der Bundeswehr München

Artikel zu diesem Thema

Cyberangriff - Virus Detected
Sep 29, 2020

Angriffe aufspüren bevor großer Schaden entsteht

Malware, Ransomware oder Phishing: Unternehmen sind zunehmend von Angriffen bedroht, die…

Weitere Artikel

Cloud Computing

Multi-Cloud-Umgebungen bringen größere Sicherheitsherausforderungen mit sich

Tripwire, Anbieter von Sicherheits- und Compliance-Lösungen für Unternehmen und Industrie, stellt die Ergebnisse seiner neuen Umfrage vor. Sie bewertet Cloud-Sicherheitspraktiken in Unternehmensumgebungen für das laufende Jahr 2021.
Cyber Security

Cyberangriffe nehmen zu: Was IT-Sicherheit mit Corona-Maßnahmen gemeinsam hat

Cyberangriffe sind während der Corona-Pandemie gestiegen. Angreifer nutzen unter anderem Sicherheitsschwachstellen im Home-Office aus, warnt der Spezialist für Unternehmensresilienz CARMAO GmbH.
Spyware

Pegasus-Projekt: Wie kann man sich gegen die Spyware schützen?

Hunderte Journalist:innen und Oppositionelle sind Opfer der israelischen Spyware Pegasus geworden. Die Software kann unbemerkt auf die Smartphones der Zielpersonen installiert werden – mit verheerenden Folgen.
Cyber Security

Cybersecurity aktuell: Was wir heute von gestern für morgen lernen können

Der enorme Anstieg von Ransomware-Angriffen zeigt einmal mehr, wie verwundbar noch viele IT-Systeme in Unternehmen sind. Bis heute treffen zahlreiche Firmen nicht die richtigen Maßnahmen, um sich vor Cyberkriminellen effektiv zu schützen.
IT Sicherheit

Schwerwiegende Sicherheitslücke in Druckern von HP, Xerox und Samsung

Die Sicherheitsforscher von SentinelLabs, der Research-Einheit von SentinelOne, haben einen seit sechzehn Jahren bestehenden schwerwiegenden Fehler in HP-, Xerox- und Samsung-Druckertreibern entdeckt und dazu einen Forschungsbericht veröffentlicht.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.