In IT-forensischen Untersuchungen ist es oftmals wichtig, zu den gefundenen Spuren eine passende zeitliche Einordnung rekonstruieren zu können. Welche Bedeutung Zeitstempel in der IT-Forensik haben, erklärt der folgende Beitrag.
Der Inhalt im Überblick
Was sind Zeitstempel?
Als Zeitstempel (engl. timestamps) werden Einträge bezeichnet, die ein Datum und eine Uhrzeit enthalten (bspw. 13.07.2018; 19:48:12). Digitalkameras speichern solche bei Aufnahmen z.B. im Zusammenhang mit dem Dateinamen. Doch auch Computer speichern Zeitstempel, etwa wenn eine Datei erstellt, verändert, geöffnet, kopiert oder gelöscht wird. Die Betriebssysteme protokollieren aber nicht nur Zeitstempel von Dokumenten wie PDF-Dateien oder der Microsoft Office Suite (Word, Excel, PowerPoint, Outlook, OneDrive), sondern auch von Programmöffnungen, USB-Nutzungen, der Browser-Nutzung und von Account-Nutzungen.
Die Zeitstempel sind wichtig, um feststellen zu können, was mit einer Datei auf einem Computer geschehen ist. Sie spielen eine große Rolle, wenn es darum geht, Straftaten zu durchleuchten und aufzuklären.
MAC(B)-Zeitstempel
Das Dateisystem NTFS, welches von Windows verwendet wird, repräsentiert im Master File Table (MFT) zu jeder Datei Attribute, welche Metadaten enthalten und der Datei auf dem Datenträger den Speicherplatz zuordnet. Die Metadaten umfassen u.a. auch den MAC(B)-Zeitstempel. Dieser enthält wiederum vier weitere Zeitstempel. Die Buchstaben repräsentieren dabei jeweils folgende Ereignisse:
- Der Buchstabe M repräsentiert den Zeitstempel, wann die letzte Modifikation bzw. der letzte Schreibzugriff vorgenommen wurde („Modified (Written) Time“)
- Der Buchstabe A repräsentiert den Zeitstempel, wann die Datei oder der Eintrag gelesen bzw. anderweitig darauf zugegriffen wurde („Last Accessed Date“)
- Der Buchstabe C repräsentiert den Zeitstempel, wann die Metadaten zuletzt verändert wurden („MFT Entry Modified (MFT Record Change)“)
- Der Buchstabe B repräsentiert den Zeitstempel, wann eine Datei oder ein Eintrag erstellt wurde („Birth (Creation) Time“)
Durch diese vier Zeitstempel können nicht nur Veränderungen an den Dateien an sich, sondern auch Kopiervorgänge festgestellt werden. Denn dabei werden nicht alle Zeitstempel neu geschrieben. Welche davon genau bei einem solchen Vorgang betroffen sind, lässt sich pauschal nicht sagen, da sich dies in den jeweiligen Versionen von Windows unterscheidet.
Zeitstempel als Ansatz der IT-forensische Analyse
Eine IT-forensische Analyse nur auf Grundlage der Zeitstempel aus der MFT aufzubauen, ist nicht möglich, da diese falsch sein können. Durch Anti-Forensik-Tools können Einträge etwa böswillig manipuliert werden, um die Spuren eines Angreifers zu verwischen. Deshalb ist eine Verifikation der Zeitstempel unabdingbar. Dafür werden weitere Zeitstempel herangezogen, die auf einem digitalen System zu finden sind, z.B. in Log-Dateien des Windows-Betriebssystems oder Software wie TeamViewer. Zudem können diese Aufschluss über weitere Tätigkeiten des Benutzers geben.
Zeitstempel geben also im Zusammenhang mit der Tatzeit und Aktionen aus einem bestimmten Zeitraum dem IT-Forensiker einen guten Überblick über die Geschehnisse.
Zusammenfassen von Zeitstempeln zu einer Timeline
Eine Timeline ist eine Sammlung von Artefakten, welche aus einem Zeitstempel, der Beschreibung des Zeitstempels (z.B. Modified Time) und einem Dateinamen besteht. Diese werden chronologisch zu bestimmten Zeitspannen oder für bestimmte Zeitintervalle erfasst und dargestellt. Sie stellt also eine Menge von Zeitstempeln dar, welche anschließend in einer forensischen Analyse wiedergefunden werden. Das Zusammenfügen verschiedener Artefakte mit den Zeitstempeln kann bei der Analyse einer Straftat helfen, zu ermitteln, „Wer“, „Was“, „Wann“, „Wie“ getan hat. Durch eine Timeline werden Zeitstempel und die dazugehörigen Events organisiert und so eine bessere Verständlichkeit ermöglicht.
Das Erstellen einer Timeline-Analyse auf Grundlage der MAC(B)-Zeitstempel zu Beginn einer forensischen Untersuchung kann sehr nützlich sein. So kann schnell erkannt werden, welche Dateien weitere Spuren zur Aufklärung des Sachverhaltes beinhalten. Um eine vollständige und genaue Beschreibung zu erhalten, müssen auch Informationen aus den Artefakten selber in eine umfassendere Timeline mit einbezogen werden. Die Dateien, welche auf dem Dateisystem vorhanden sind und bereits mit dem MAC(B)-Zeitstempel betrachtet wurden, können möglicherweise Protokolldateien sein, welche weitere Informationen enthalten. Wenn beispielweise das Verändern einer Log-Datei von TeamViewer anhand der Metadaten festgestellt wurde, können aus der Datei weitere Informationen zu möglichen Verbindungen extrahiert werden.
Aus dem Arbeitsalltag eines Forensikers
Besonders hilfreich sind Zeitstempel dann, wenn ein IT-Forensiker gezielt in seinen Tools danach filtern kann. Wenn ein Tatzeitraum eingegrenzt werden konnte, lassen sich die Spuren auf solche reduzieren, die im relevanten Zeitraum stattgefunden haben. Abzulesen ist dies anhand der vorhandenen Zeitstempel. Möchte ein Forensiker also bspw. wissen, ob eine Datei im März 2020 geöffnet wurde, kann er dies anhand des A-Zeitstempels („Last Accessed Date“) erkennen. Somit sind Zeitstempel, vorausgesetzt sie sind vorhanden und korrekt, ein wichtiges Indiz für stattgefundene Benutzer-Aktivitäten und haben eine hohe Bedeutung bei IT-forensischen Untersuchungen.
Jedoch kann eine IT-forensische Analyse nicht nur auf den Metadaten aus der MFT aufgebaut werden. Viele weitere Artefakte können verwendet werden, um einen Tathergang zu rekonstruieren. Diese haben wir bereits in der Blog-Reihe Daten verraten beleuchtet.
