Die technische Vorgehensweise bei der Sicherung von Datenträgern in der IT-Forensik ist ein gut erforschter Bereich. Trivial ist sie jedoch nicht. Für jeden Einzelfall muss aufs Neue geklärt werden, in welchen Speicherbereichen Informationen enthalten sind und welchen Umfang die zu sichernden Daten haben.
Der Inhalt im Überblick
Sichern, wenn es schon zu spät ist
Die IT-Forensik kommt ins Spiel, wenn Vorfälle wie z.B. Datendiebstähle oder Hackerangriffe aufgeklärt werden sollen. Die Betroffenen sind meist nervös, aufgeregt und möglicherweise in Panik. Wer mag es ihnen verdenken. Aber genau in dieser Phase der Anspannung läuft alles darauf hinaus, schnellstmöglich Erkenntnisse darüber zu gewinnen, wie der Schaden eingegrenzt und möglicherweise auch festgestellt werden kann.
Ziel einer zusätzlichen (forensischen) Sicherung ist u.a., dass das Original unverändert erhalten bleibt. Dadurch ist sichergestellt, dass eine weitere unabhängige Analyse vom selben Standpunkt aus gestartet werden könnte, um Ergebnisse ggf. zu verifizieren.
Bei der Sicherung werden von dem Originalspeichermedium zwei Kopien erstellt. Bis auf wenige Ausnahmen beinhalten diese alle Speicherbereiche von dem ursprünglichen Datenträger. Zwei Kopien deshalb, weil die 1. Kopie (Masterkopie) unverändert aufbewahrt werden muss. Mit der 2. Kopie (Arbeitskopie) wird anschließend die eigentliche Analyse durchgeführt.
Arbeitsspeichersicherung hilfreich oder nicht?
Befindet sich das System im eingeschalteten Zustand, muss vor der Interaktion mit dem zu sichernden Gerät geprüft werden, ob die Sicherung des Arbeitsspeichers notwendig oder hilfreich ist. Denn es handelt sich dabei um einen flüchtigen Speicher, welcher beim Herunterfahren eines Systems verloren geht.
Der Arbeitsspeicher hält Informationen zu aktuell laufenden Prozessen und Netzwerkverbindungen vor. Bei einer Analyse auf Schadsoftware sind die im Arbeitsspeicher auffindbaren Informationen maßgeblich für deren Erfolg verantwortlich.
Die Festplattensicherung
Ist das System beim Eintreffen der IT-Forensiker bereits ausgeschaltet, belässt man es vorerst dabei und klärt zunächst weitere Details. Passieren kann in diesem Zustand ja nicht mehr viel. Dann stellen sich einem vorab Fragen wie: Ist eine Festplattenverschlüsselung vorhanden? Lässt sich die Festplatte ausbauen oder ist diese verklebt / verlötet? Allgemein gibt es zwei Strategien, die sich bei der Sicherung von Systemen bewährt haben.
Live-Akquise
Ist das System eingeschaltet, kann eine Live-Akquise durchgeführt werden. Dabei muss ein Tool auf dem zu sichernden System installiert werden, welches die Inhalte der Festplatte auf eine neue Festplatte bit für bit kopiert. Achtung: Hierbei sind je nach Software administrative Rechte notwendig. Zudem werden alte Spuren verändert und neue generiert, da das Ausführen von Programm Spuren auf dem System hinterlässt.
Aber eine Live-Akquise ist nun mal dann notwendig, wenn sich die Festplatte nicht aus dem System ausbauen lässt. Ist diese mit dem Gehäuse verlötet oder verklebt, ist die Erstellung der Kopie nur über die eigene Hardware möglich. Zudem ist diese Art der Sicherung zwingend, wenn eine Festplattenverschlüsselung vorliegt, welche an die Hardware gebunden ist.
Ebenfalls ist nur an eine Sicherung per Live-Akquise zu denken, wenn die zu sichernden Systeme nicht heruntergefahren werden können. Das ist bspw. bei Produktivsystemen der Fall, die keine Ausfallzeiten haben dürfen.
Wird das Gerät mit den zuvor genannten Spezifikationen im ausgeschalteten Zustand vorgefunden, muss es gestartet werden. Neben der hierauf bezogenen Dokumentation ist zudem von hoher Wichtigkeit, dass das Vier-Augen-Prinzip gewahrt wird. Durch einen Zeugen lassen sich die durch das Hochfahren entstandenen Spuren zusätzlich verifizieren.
Dead-Akquise
Bei der Dead-Akquise ist das zu analysierende System ausgeschaltet. Die Festpatte lässt sich zudem ausbauen. Aus der IT-forensischen Sicht ist diese Arbeitsweise die sauberste. Durch die Verwendung eines Writeblockers kann ausgeschlossen werden, dass Inhalte der zu sichernden Festplatte verändert werden. Mit den erstellten Kopien wird anschließend die Analyse durchgeführt.
Dabei übernimmt ebenfalls eine Software den Kopiervorgang und schreibt bitweise die Informationen des Originals auf eine neue Festplatte. Der Writeblocker ist in der Regel ein eigenständiges Gerät, das zudem in der Lage ist, die Kopien zu erstellen.
Die Größe spielt eine Rolle
Das Sichern großer Festplatten ist sehr zeitaufwendig. Um Zeit zu sparen, ist unter gewissen Umständen das Erstellen eines Custom Images möglich. Dabei handelt es sich um eine Live-Akquise, bei der nur ausgewählte Speicherbereiche gesichert werden. Die Speicherbereiche werden über das Dateisystem ausgewählt. Die Auswahl sollte mit Bedacht getroffen werden. Sollten wichtige Spuren vergessen werden und wird das System nach der Sicherung weiterverwendet, besteht das Risiko, das wichtige Spuren überschrieben werden. Die Entscheidung, welche Speicherbereiche gesichert werden müssen, sollte in Zusammenarbeit mit den Systemadministratoren getroffen werden. Diese wissen in aller Regel, wo welche relevanten Informationen gespeichert sind. Im Falle einer geeigneten Dokumentation der Systemkonfiguration lässt sich hier viel Zeit einsparen.
Der Start in die Analyse
Die Sicherung als erster Schritt einer IT-forensischen Analyse ist elementar. Dabei empfiehlt es sich, eine Kosten-Nutzen-Abschätzung durchzuführen, um die richtigen Informationen zu sichern und nicht zu viel Zeit zu verlieren. Die Abwägung, welche Daten mit welcher Strategie gesichert werden, wird in Zusammenarbeit mit Systembesitzern und IT-Forensikern durchgeführt. Dabei zeigt sich in der Praxis immer wieder, dass eine gute Dokumentation der Systemkonfiguration ungemein hilfreich ist.
