Die beweissichere forensische Analyse ist unabdingbar, um IT-Vorfällen erfolgreich begegnen zu können. Eine Datensicherung auf Datenträgern und Computernetzen muss vorbereitet, geplant und dokumentiert werden. Zur Beweismittelsicherung in der IT-Forensik werden Speichermedien und Netzwerkprotokolle gesichtet, gesichert sowie analysiert. Bei einer Datenträgeranalyse wird zunächst ein forensisches Duplikat (Image) erstellt und gesichert, welches anschließend gesichtet und analysiert wird.
Der Inhalt im Überblick
Digitale Spuren
IT-Forensiker identifizieren, lokalisieren und sichern hinterlassene digitale Spuren und Beweise, wie z.B.:
- Erfolgte Datei-Downloads (zum Beispiel via E-Mail, Skype oder Internetbrowser)
- Ausgeführte Programme (zum Beispiel wann zuletzt ausgeführt)
- Erfolgte Dateizugriffe (zum Beispiel letzter Zugriff )
- Gelöschte Dateien (zum Beispiel Uhrzeit, Dateipfad oder Dateiname)
- Externe Gerätenutzung (wie Anschluss von USB-Sticks, Nutzer des Gerätes)
- Detaillierte Systemnutzungen (wie [fehlgeschlagene] Log-Ons, letzter Passwortwechsel)
- Browsernutzung (zum Beispiel Datum und Uhrzeit, Frequenz besuchter Seiten)
Um rechtssicher handeln zu können und zu den wesentlichen Spuren zu gelangen bedarf es einer genauen Analyse im Einzelfall.
Analyse und Bearbeitung von kriminalistischen Sachverhalten
Eine strukturierte und professionelle Vorgehensweise ist für jeden IT-Forensiker unabdingbar.
Die kriminalistische Fallanalyse ist sehr umfangreich. Einzelne Phasen sind miteinander verzahnt und gehen in einander über. Eine eindeutige Trennung einzelner Analyse- und Bearbeitungsphasen ist nicht möglich. Jeder Einzelfall ist als ein großes Ganzes zu sehen und Wechselwirkungen sind einzukalkulieren.
Wesentliche Fragen, mit denen sich ein IT-Forensiker beschäftigt:
- Liegt ein Systemeinbruch vor? Liegen Hinweise auf eine Schadsoftware vor? Wurden Daten entwendet oder gelöscht? Wenn ja, in welcher Form? Welche Systeme sind betroffen? Ist eine Schadenseindämmung notwendig und möglich?
- Wie ist die Rechtslage? Welche Rahmenbedingungen und Einflussfaktoren sind zu erkennen und zu berücksichtigen?
- Welche Rechtsnormen sind einschlägig? Ist der Täter noch aktiv? Inwieweit wurde das System eventuell von Mitarbeitern, wie Administratoren bereits verändert?
- Welche Feststellungen, Überlegungen, Schlussfolgerungen sind bezüglich des betroffenen Systems in unmittelbarem Tatzusammenhang möglich?
- Welches System ist betroffen? Mit welchem Betriebssystem, welcher Software und Hardware, und welchen Netzwerkadressen. Welche Teile des Systems müssen ausgewertet werden, um Spuren sichern zu können?
- Welche Personen, Sachen, Vermögenswerte müssen und können wann, wo und wie berücksichtigt werden? (Abwägung zwischen zu erwartendem Schaden und der Tätererfassung)
- Welche Daten liegen vor, welche sind zu erwarten? Wie sind diese Daten zu bewerten?
- Wie kann das Ermittlungsverfahren zu einem gerichtsfesten Abschluss gebracht werden?
Es kommt darauf an gespeicherte Daten und Informationen zu gewinnen, diese genauestens zu analysieren und letztendlich im kontextuellen Gesamtzusammenhang zu bewerten.
Ein wesentlicher Bestandteil der Beweissicherung ist die ausführliche Bewertung der vorhandenen, der zu erwartenden Spuren, möglicherweise auch fingierter Spuren und Trugspuren.
Die Beweissituation
Zwischen der allgemeinen Beweiskraft und dem kontextuellen Beweiswert der einzelnen Sach- bzw. Personenbeweise muss ein IT-Forensiker unterscheiden können. Beweise müssen immer im Gesamtzusammenhang gesehen und bewertet werden.
Oftmals mögen in der IT-Forensik gefundene Daten eine hohe allgemeine Beweiskraft haben; ohne jedoch z. B. zu wissen, wer zu dem Entstehungszeitpunkt der Nutzer des Systems war; kann es sein, dass der Beweiswert gegen null geht.
Erst im Gesamtzusammenhang entwickeln einzelne Beweise einen hohen kontextuellen Beweiswert.
Chain of Custody
Damit Spuren später vor Gericht verwendet werden können, muss die Kette der Obhut („Chain of Custody“) nachvollzogen werden können. Insbesondere kommt es auf die lückenlose Dokumentation an, damit im Nachhinein jeder Umgang mit einem Beweismittel und der Verbleib eines Beweismittels zu jederzeit objektiv nachvollziehbar ist.
Wer hat was (Beweismittel), wann, wo, wie, womit und warum gefunden, gesichert, asserviert, transportiert, untersucht, analysiert und begutachtet?
Der Umgang mit und der Verbleib von Beweismitteln muss vom Auffinden bis zur Inaugenscheinnahme vor Gericht lückenlos nachgewiesen sein. Dies schützt vor
- Beweismittelverlust,
- Beweismittelverwechslung,
- Beweismittelvertausch,
- Beweismittelmanipulation und
- Beweismittelverfälschung.
Beweismittel und die an ihnen vorgenommenen Untersuchungen sollen authentisch und integer sein.