Zum Inhalt springen Zur Navigation springen
Das Werkzeug im Fokus der digitalen Forensik

Das Werkzeug im Fokus der digitalen Forensik

Artikel von Dr. Datenschutz·26. November 2021

Unter die Aus- und Weiterbildung zum IT-Forensiker und der ständigen Erweiterung des Wissens fällt auch die Benutzung verschiedenster Werkzeuge. Warum eine gute Grundauswahl von Tools wichtig ist, aber auch hierbei immer wieder über den Tellerrand geschaut werden muss, erklärt der folgende Beitrag.

Die Arbeit mit dem Werkzeugkasten

Klassische Werkzeuge wie Hammer, Schraubenzieher und Säge findet man wohlmöglich in nahezu jedem Werkzeugkasten. Hinzu kommt dann in der Regel noch individuelles Werkzeug für besondere Anlässe, knifflige Reparaturen oder zum Ausprobieren, wenn neues Werkzeug auf den Markt kommt. Im Bereich der digitalen Forensik bezeichnet man diese Werkzeuge zumeist mit dem englischen Begriff als Tools. Die Auswahl ist hierbei häufig anwendungsbasiert. Manchmal wird noch unterschieden, ob man das Tool lieber mit einer grafischen Oberfläche oder auf der Kommandozeile bedient, sofern diese Möglichkeit besteht.

Werkzeug ist kein Spielzeug

Die Benutzung von Werkzeugen ist anwendungs- und fallspezifisch. Dabei sollte es bei der Auswahl nicht darum gehen, welches Tool am schönsten aussieht, oder die Ergebnisse am Ende in eine hübsche Tabelle steckt. Es sollte auch nicht darum gehen, welches Tool einem am leichtesten von der Hand geht. Natürlich spielt Komfort auch immer eine Rolle. Schließlich muss man das Tool auch bedienen können. Es hat aber auch Vorteile, seine Komfortzone zu verlassen, neuen Tools eine Chance zu geben oder auch mal manuell Ergebnisse zu verifizieren. In erster Linie geht es darum das ein Tool also zuverlässig funktionieren, die Daten analysieren, die man benötigt und einem einen Einblick gewährt, wie die Daten durch das Tool verarbeitet werden und woher die Ergebnisse stammen. Das kann man sogar erreichen, wenn man selbst geskriptete Tools verwendet. Solange die Ergebnisse zuverlässig und verifizierbar sind.

Dadurch, dass gewisse Anforderungen an die Tools und ihre Auswahl gestellt werden, ist das Werkzeug im täglichen Einsatz eines IT-Forensikers bei der Fallbearbeitung kein Spielzeug. Die richtige Bedienung des Tools und die Bewertung der Ergebnisse kann in einem Strafverfahren entscheidend für dessen Ausgang sein. Als Spielzeug können die Werkzeuge in Sandboxsystemen dienen, wenn man deren Funktionsumfang und Anwendungsoptionen für zukünftige Fälle testen möchte.

„Ein Tool ist nur so gut wie der Preis, den es kostet“

Es sollte direkt klar sein, dass diese Aussage Blödsinn ist. Jeder Fall ist anders. Kommerzielle Tools, Open Source & Freeware bieten eine Bandbreite an verschiedenen Möglichkeiten. Natürlich gibt es einige Big Player da draußen, deren Tools einen riesigen Funktionsumfang und dauerhaften Support zur Verfügung stellen. Das lassen sie sich aber auch entsprechend bezahlen.

Daneben gibt es Tools, die schmaler, aber dadurch manchmal auch schneller und gezielter in der Ausführung sind, um bspw. die Daten eines anderen Tools zu verifizieren. Hierunter fallen häufig Tools ohne grafische Oberfläche. Also solche, die über die Kommandozeile laufen. Es empfiehlt sich bei der ersten (Vor-Ort-) Untersuchung also häufig, eine gute Grundausstattung an Werkzeug dabei zu haben. Ein paar mächtigere Tools für den Gesamtüberblick und einige für eine schnelle Verifizierung oder auch Quick Wins.

Welche Ansprüche stellt ein IT-Forensiker an seine Tools?

Es wurde bereits angerissen, dass gewisse Ansprüche an die Auswahl der Tools gestellt werden müssen. Dies sind unter anderem folgende:

  • Transparenz
  • Zuverlässigkeit / Verifizierbarkeit
  • Geschwindigkeit
  • Filteroptionen / Weiterverarbeitung der Ergebnisse
  • Portable Versionen

Es ist nicht nur wichtig, die Tools bedienen zu können, sondern auch deren Funktionsweise verstanden zu haben. Gerade beim gerichtsfesten Arbeiten müssen die Auswahl und die Benutzung der Tools transparent, nachvollziehbar und verifizierbar sein. Die Ergebnisse müssen reproduzierbar sein, ein Dritter mit gleichem Know-How muss bei Untersuchung derselben Spurenlage mit den gleichen Tools zum selben Ergebnis kommen.

Der Einsatz eines mächtigen Tools mit einem großen Funktionsumfang braucht auch seine Zeit. Quick Wins, wie der Name schon sagt, setzen aber voraus, dass die Daten schnell verarbeitet werden. Diese Prozesse der Verarbeitung laufen daher meistens automatisiert ab und werfen Ergebnisse aus. Diese werden von den IT-Forensikern im Nachgang mit manueller und zeitintensiverer Arbeit verifiziert.

Auch dazu muss man verstehen, wie die Tools funktioniert und wie die Daten akquiriert und aufbereitet werden, um sie für den jeweils vorliegenden Fall brauchbar machen zu können. Zum anderen sollten das Tool einem die Ergebnisse so zur Verfügung stehen, dass sie entweder direkt oder mit wenig Aufwand weiterverarbeitet werden können. Ein typisches Beispiel dafür sind Filter, die man setzen möchte. Also sollte darauf geachtet werden, dass man sich die Ergebnisse in einem geeigneten Format ausgeben lassen kann.

Häufig ist es möglich, von den Tools auch eine Portable Version, auch Standalone-Software oder (USB-)Stick-Ware genannt, dabei zu haben. Dies ist Software, die ohne weitere Anpassungen oder Einrichtung (Installationen) auf verschiedenen Systemen läuft. Das kann sinnvoll sein, wenn auf einem zu sichernden System eine Software ausgeführt werden muss, ohne diese vorher installieren zu können. Denn jede Tätigkeit auf einem System hinterlässt Spuren. Daher führt man auf dem zu analysierenden System nur direkt aus, wenn es unbedingt notwendig ist, damit so wenig neue Spuren wie möglich hinterlassen werden.

Ich packe meine Koffer und nehme mit

Wie sieht also die Werkzeugkiste eines IT-Forensikers aus?

Hierbei ignorieren wir mal die Hardware, die mitgeführt wird und fokussieren uns lediglich auf Softwarelösungen für die Sicherung, Spurengewinnung und die eigentliche forensische Analyse. Hierbei werden ein paar Beispiele genannt, die Liste ist natürlich nicht abschließend.

Tools zur Sicherung

Gemeint ist hierbei eine Software, die es einem IT-Forensiker ermöglicht, ein (Live-)Systemabbild des zu analysierenden Systems zu erzeugen. Dieser sogenannte Imager muss die Möglichkeit besitzen, auch nur gewisse Parts beim Erzeugen eines Datenträgerabbildes zu sichern, vorwiegend, um Zeit zu sparen. Sinnvoll ist es auch, die häufig verwendeten Tools in verschiedenen Versionen mit sich zu führen, da häufig nicht alle Versionen mit jedem System kompatibel sind. Darüber hinaus empfiehlt es sich, die Tools mehrfach mit sich zu führen. Zum Beispiel auf den IT-forensischen Analyserechnern selbst und zusätzlich auf externen Datenträgern. Zudem sollte regelmäßig überprüft werden, ob einem noch die aktuelle Version des Tools vorliegt. Manche lassen sich sogar direkt über die Kommandozeile aktualisieren. Dies sollte jeweils vor dem Einsatz eines Tools getan werden.

Tools zur Spurenakquirierung

Wenn den IT-Forensikern nun das Systemabbild vorliegt, sollen aus diesem häufig spezielle Artefakte herausgezogen werden. Dafür werden Tools benötigt, die speziell das auslesen, was fallspezifisch benötigt wird.

Tools zur Analyse und Auswertung

Wenn die einzelnen Artefakte erfolgreich extrahiert wurden, ist es häufig hilfreich, die Ergebnisse möglichst gut aufbereitet darzustellen. Sei es in einer Tabelle mit Filteroptionen oder auch direkt in einer automatisiert erstellten Timeline der Ereignisse.

Tools zur Verifizierung

Dies meint zum einen die Verifizierung des erzeugten IT-forensischen Images anhand von bspw. Hashwerten und zum anderen die Verifizierung der Analyseergebnisse. Hierbei empfiehlt sich häufig eine „manuelle Kontrolle“ der ausgelesenen Artefakte. Dabei werden weitere Tools verwendet, um zu verifizieren, dass diese auf dieselben Ergebnisse kommen wie das zuerst verwendete Tool. Dieser Schritt dient aber auch der Nachprüfung, falls das zuerst gewählte Tool keine Ergebnisse gefunden hat.

Dieser kurze Abriss von unterschiedlichen Tools stellt die typischen einzelnen Schritte des IT-forensischen Prozesses dar. Darüber hinaus gibt es aber auch Tools, die mehrere der genannten Aufgaben erfüllen können. Dementsprechend lange dauert aber in der Regel auch die gesamte Verarbeitung der Daten bis sie wie gewünscht vorliegen.

Ein nie abgeschlossener Prozess

Neben der Aus- und Weiterbildung zum IT-Forensiker und der ständigen Erweiterung des Wissens gehört also auch der Umgang und das Verständnis verschiedenster Tools. Das, was vor 5 Jahren effizient und ausreichend war, ist heute häufig nicht mehr State of the Art. Es muss sich also regelmäßig mit neuen Produkten auseinandergesetzt werden. Da sich die Fälle im Bereich der digitalen Forensik immer verändern und kein Fall wie der andere ist, wachsen auch die Ansprüche an die Tools zur Aufklärung dieser. Demnach ist ein breit gefächertes Repertoire empfehlenswert. Gerade für den Fall, dass man mit den Standardtools nicht weiterkommt.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.