Zum Inhalt springen Zur Navigation springen
Digitale Spurensuche: IT-Forensische Analyse von USB-Geräten

Digitale Spurensuche: IT-Forensische Analyse von USB-Geräten

In der heutigen digitalen Welt sind USB-Geräte weit verbreitete Werkzeuge für den Datenaustausch und Datenspeicherung. Doch ihre einfache Handhabung und Mobilität machen sie auch zu potenziellen Werkzeugen für kriminelle Aktivitäten. Hier kommt die IT-Forensik ins Spiel, insbesondere die USB-Analyse, um digitale Spuren zu sichern und zu analysieren. Dieser Beitrag bietet einen Einblick in die Welt der IT-forensischen USB-Analyse.

Bedeutung der USB-Analyse in der IT-Forensik

USB-Geräte können eine Vielzahl von Informationen enthalten, die für forensische Untersuchungen von unschätzbarem Wert sind. Dazu gehören:

  • Dateien und Dokumente:
    Oftmals die direktesten Beweise, die Hinweise auf kriminelle Aktivitäten liefern können.
  • Metadaten:
    Informationen über die Dateien, wie Erstellungs- und Änderungsdaten, die Aufschluss darüber geben können, wo, wann und wie Dateien bearbeitet wurden.
  • Artefakte des Betriebssystems:
    Spuren, die aufzeigen, welche Dateien wann auf den USB-Stick kopiert oder davon gelöscht wurden.
  • Benutzerspuren:
    Hinweise darauf, welche Computer das USB-Gerät benutzt haben und welche Benutzer darauf zugegriffen haben.

Vorgehensweise bei der USB-Analyse

Sicherstellung des USB-Sticks

Die Sicherstellung und Handhabung des USB-Gerätes muss so erfolgen, dass die Integrität der darauf befindlichen Daten gewahrt bleibt. Dazu gehört, das USB-Gerät nicht direkt in einen Computer zu stecken, sondern ihn mittels spezieller forensischer Hardware auszulesen.

Forensische Kopie erstellen

Um das Original nicht zu verändern und die Beweiskette intakt zu halten, wird eine bitweise Kopie des Gerätes erstellt. Diese Kopie dient als Arbeitsgrundlage für alle weiteren Analysen.

Analyse der Datenstruktur

Die Struktur des USB-Gerätes wird untersucht, um versteckte oder gelöschte Dateien zu finden. Dabei kommen spezielle Software-Tools zum Einsatz, die in der Lage sind, tiefgreifende Analysen durchzuführen und versteckte Daten sichtbar zu machen.

Dateianalyse

Jede auffällige Datei wird detailliert analysiert. Dazu gehört das Überprüfen von Metadaten und das Suchen nach Anzeichen von Manipulationen oder Schadsoftware.

Rekonstruktion von Aktivitäten

Durch die Analyse der Artefakte des Betriebssystems und der Benutzerspuren kann rekonstruiert werden, wann welche Aktionen auf dem Gerät stattgefunden haben. Dies kann helfen, eine Timeline der Aktivitäten zu erstellen.

Tools

Es gibt eine Vielzahl von Tools, die bei der USB-Analyse verwendet werden können. Eine Beispiele sind: Autopsy, Axiom oder USB Detective. Vor allem USB Detective bietet selbst in der freien Version gute Möglichkeiten in die Analyse einzusteigen. Um eine tiefgreifende Analyse durchführen zu können, werden in der Regel aber lizenzpflichtige Tools benötigt.

Herkunft relevanter Informationen bei der IT-forensischen USB-Analyse

Die Tools zur IT-forensischen USB-Analyse extrahieren relevante Informationen aus verschiedenen Bereichen des USB-Gerätes sowie des Systems, das das Gerät verwendet hat. Diese Informationen stammen aus verschiedenen Quellen und werden durch spezialisierte forensische Methoden und Software-Tools gesammelt. Die Hauptquellen und Methoden sind im Detail:

Dateisystemmetadaten

Jedes Dateisystem (z.B. FAT32, NTFS, exFAT) speichert Metadaten zu den darauf befindlichen Dateien und Verzeichnissen. Diese Metadaten enthalten Informationen wie:

  • Erstellungsdatum und -zeit: Wann eine Datei erstellt wurde.
  • Änderungsdatum und -zeit: Wann eine Datei zuletzt geändert wurde.
  • Zugriffsdatum und -zeit: Wann eine Datei zuletzt gelesen wurde.
  • Dateigröße: Wie groß die Datei ist.
  • Dateiattribute: Informationen darüber, ob eine Datei als versteckt, schreibgeschützt oder systemkritisch markiert ist.
  • Geodaten: Fotos und Videos können zudem noch den Standort enthalten, an dem die Datei erstellt wurde.

Master File Table ($MFT)

Bei USB-Geräten, die das NTFS-Dateisystem verwenden, ist die Master File Table (MFT) eine zentrale Quelle für forensische Informationen. Die MFT speichert:

  • Dateinamen und Pfade
  • Zeitstempel (Zeitpunkte der Dateierstellung oder -veränderung)
  • Dateigröße
  • Wenn vorhanden, Downloadlinks

Log-Dateien

Einige Dateisysteme führen Logs, die Änderungen am Dateisystem protokollieren. Diese können Hinweise darauf geben, welche Dateien kürzlich erstellt, geändert oder gelöscht wurden. Außerdem lässt sich durch die Analyse der Logs feststellen, welcher Nutzer zum Zeitpunkt des Zugriffs angemeldet war. Besonders relevant für die USB-Analyse sind Event Logs und Setupapi Logs.

Unbenutzter Speicherplatz

Bereiche des USB-Sticks, die als frei markiert sind, können immer noch Datenfragmente enthalten. Forensische Tools scannen diesen unbenutzten Speicherplatz, um gelöschte Dateien oder Dateifragmente wiederherzustellen.

Registry Einträge (Windows)

Die Betriebssysteme, die den USB-Stick verwendet haben, hinterlassen oft Spuren, die für die forensische Analyse nützlich sind. Windows speichert Informationen über angeschlossene USB-Geräte in der Registry. Diese Einträge können Details wie Gerätename, Seriennummern, Verbindungszeiten und Benutzerkonten enthalten.

Um diese Informationen zu erlangen, müssen folgende Quellen untersucht werden:

  • SYSTEM HIVE
  • SOFTWARE HIVE
  • NTUSER.DAT
  • UsrClass.dat

Shell Items

Windows-Shell-Elemente sind eine sehr wichtige Informationsquelle für die digitale Forensik. Eine Vielzahl von Artefakten teilen sich eine gemeinsame Datenstruktur, die als Shell-Element bezeichnet wird. Die beliebteste und bekannteste dieser Strukturen ist die Shortcut-Datei (LNK). Andere interessante Artefakte sind die Jumplists der Windows-Taskleiste und Artefakte zum Öffnen von Ordnern (Shell Bags). Diese Artefakte können vor allem aufzeigen, ob Dateizugriffe oder Veränderungen stattgefunden haben.

Temporäre Daten

Wenn ein USB-Gerät angeschlossen ist, werden temporäre Daten im Arbeitsspeicher des Computers gespeichert. Diese flüchtigen Daten können mit speziellen Tools ausgelesen werden, um Informationen über aktuelle Aktivitäten zu extrahieren. Das funktioniert allerdings nur, wenn der Rechner, an dem das Gerät angeschlossen war nicht heruntergefahren wurde oder vorher ein Image erstellt wurde.

Am Ende setzt sich alles zusammen

Die IT-forensische USB-Analyse ist ein komplexer und zeitaufwendiger Prozess, der eine Vielzahl von Datenquellen nutzt, um ein vollständiges Bild der Aktivitäten auf und im Zusammenhang mit einem USB-Stick zu erstellen. Durch die Kombination von Hardware- und Software-Tools sowie fundierten forensischen Methoden können Ermittler wertvolle Beweise sichern und analysieren, die für die Aufklärung von Verbrechen unerlässlich sind.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2025B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2025.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.