Thought Leadership
Durch die Zunahme von Ereignisfällen in Unternehmen werden immer häufiger interne Ermittlungen erforderlich und nehmen dabei immer größere Ausmaße an.
Zumindest trifft dies auf die zu untersuchenden Datenmengen zu. So ist es kaum mehr händelbar, dass sich eine Person allein mit der Untersuchung und Auswertung von Daten befasst, sondern mehrere Personen damit betraut werden müssen. Neueste Technologien können hier zum Einsatz kommen, die große Datenmengen verarbeiten, darstellen und verteilen können. Das verteilte Arbeiten an Dokumenten ist in größeren Unternehmen durchaus etabliert, gleiches muss sich für den Fachbereich der IT-Forensik etablieren mit Kollaborations-Forensik.
Separates Netzwerksegment für die Forensik
Der Ansatz der hierbei verfolgt wird, ist denkbar einfach: Daten aus einer forensischen Maßnahme oder mehreren Maßnahmen werden auf einem zentralen Storage vorgehalten, die gesondert abgesichert und physikalisch vom Netz getrennt erreichbar sind. Forensiker, Ermittler und Analysten haben hierbei gleichsam den Zugriff auf die Daten eines Falles und können diese auswerten und/oder analysieren. Je nachdem, um was für eine Ermittlung es sich handelt, kann hier ein Rechte-Management greifen, welches unterschiedlichen Ermittlern und/oder Analysten unterschiedliche Zugriffe auf die Daten innerhalb eines Falles gewährt.
Beispielsweise können IT-Forensiker den Zugriff auf den Case bekommen, um Daten auf den Server mit dem Storage zu laden und diese entsprechend auch zuordnen. Analysten hingegen können lediglich Daten betrachten, um diese entsprechend auszuwerten. Ermöglicht wird Kollaboration-Forensik durch den Einsatz modernster Technologien und leistungsstarker Server. Empfehlenswert ist es, ein separates Netzwerksegment aufzubauen, auf dem nur die dafür fest konfigurierten Forensik-Workstations Zugriff haben. Dieses Forensik-Netzwerk hat keine Anbindung an das Internet und bietet somit alle Anforderungen an die digitale Forensik. Die Forensik-Workstation benötigen dabei nicht mehr so viel Rechenleistung wie herkömmlich, sondern lediglich einen Browser. Zwei Lösungen die hervorstechen und mit denen wir am häufigsten arbeiten, können direkt im Browser angesprochen werden und nach dem Login als Forensiker oder Ermittler kann man direkt mit der Arbeit beginnen, da ein Ladeprozess lokal nicht mehr erfolgen muss.
Beispiele für Kollaboration-Forensik sind „AccessData“ mit seinem „Forensic Lab Summation“ und „Cellebrite“ mit dem „UFED Analytics Enterprise“. Ersteres hat seinen Schwerpunkt auf den Bereich der herkömmlichen Forensik gelegt und verbindet zugleich auch die Einhaltung rechtlicher Aspekte bei der forensischen Auswertung und Analyse von Daten. Die zweite Lösung spezialisierte sich auf die Auswertung und Analyse von Daten aus mobilen Endgeräten.
Übersicht über elektronische Asservate
Die Vorteile solcher Lösungen liegen auf der Hand, angefangen von der Unabhängigkeit bestehender Infrastrukturen und Plattformen bis hin zur deutlich besseren Skalierbarkeit und Analysemöglichkeiten für mehrere IT-Forensiker, Ermittler und/oder Analysten. Ein weiterer Vorteil von Kollaboration-Forensik-Lösungen ist das Datenmanagement, welches es dem Forensiker erlaubt, unterschiedliche Datenquellen heran ziehen zu können, um diese in einem Case vereint bereit stellen zu können. Das können z.B. im AccessData Forensic Lab Festplatten, USB-Sticks, logische Abbilder von Datenbanken oder auch SD-Karten sein. Dabei können unterschiedliche elektronische Asservate einem Beschuldigten zugeordnet werden und man behält die Übersicht. Bei der Plattform UFED Analytics Enterprise der Firma Cellebrite können z.B. Smartphones als forensische Abbilder gemeinsam mit SIM-Karten, Cloud-Daten und SD-Karten ebenfalls eines Beschuldigten im Storage zusammengeführt und den Ermittlern bereitgestellt werden. Dies kann über einen direkten Zugang geschehen, oder in Form eines Berichts.
Marko Rogge kam aus dem Umfeld der Computer-Hacker in die Security Branche und war dort viele Jahre als Berater tätig. Ab 2006 wechselte er in Ermittlungstätigkeiten und arbeitete dort im technischen Bereich für zahlreiche namenhafte Konzerne. Teile seiner Ausbildung erlangte er in Israel (Tel Aviv, Petach Tikwa) sowie von ehemaligen geheimdienstlichen Mitarbeitern und anderen Ermittlern. Marko Rogge ist seit Anfang 2016 “Leiter Forensik & Investigations Lab” bei der Phalanx-IT GmbH in Heilbronn, ist zudem EnCase Certified Forensiker, Certified Cellebrite mobile Forensik Trainer & Certified Cellebrite UFED Ultimate Forensiker. Er arbeitet erfolgreich seit vielen Jahren für diverse Strafverfolgungs- und Ermittlungsbehörden im technischen Ermittlungsbereich und trainierte auch fachspezifisch im Bereich mobile Forensik Mitarbeiter von Geheimdiensten, Strafverfolgungs- und Ermittlungsbehörden, aber auch Zoll und Steuerfahndungseinheiten.
