IT-Forensik beschäftigt sich mit der Datenanalyse von verschiedensten IT-Systemen. Durch eine IT-forensische Untersuchung des Systems werden gerichtsverwertbare Gutachten verfasst, welche Beweise beinhalten, die zur Aufklärung einer Straftat genutzt werden können. Hier liegt ein Schwerpunkt auf der Genauigkeit des Gutachtens. Dieser Blogartikel soll aufklären wie sich das Aufgabenfeld eines/r IT-Forensiker/in gestaltet.
Der Inhalt im Überblick
Definition: Was versteht man unter IT-Forensik?
Wie die Zusammensetzung der zwei Wörter schon verrät, handelt es sich um den Bereich der Informationstechnologie in Verbindung mit der Forensik, welche das Analysieren, Rekonstruieren und Aufarbeiten von (meist) kriminellen Handlungen zusammenfasst. Es hat sich noch keine einheitliche Begriffsbestimmung dazu durchgesetzt, was sich auch bemerkbar macht, wenn in die Runde gefragt wird, was IT-Forensik eigentlich genau bedeutet.
Anwendungsbereich der IT-Forensik
Der Anwendungsbereich der IT-Forensik ist nicht abgesteckt, da in Zeiten der Digitalisierung alles, was Daten enthält, forensisch untersucht werden kann. Das gesamte Spektrum des forensischen Untersuchungsraumes ist kaum zu bestimmen, da der digitale Markt immer weiter wächst.
Folgende Auflistung zeigt nur einen Bruchteil von Bereichen bzw. Geräten auf, die forensisch untersucht werden können:
- Arbeitsspeicher (RAM)
- Speichermedien wie Festplatten oder USB-Sticks
- Smart-Home-Geräte bzw. Smartphones (Apple, Android, Alexa, Google Home)
- Infotainment Systeme in Autos
- Personal Computer (PCs)
- Server
Nahezu jeder Mensch, der sich im Internet oder auch nur in einem IT-System bewegt, hinterlässt digitale Spuren, egal in welcher Form.
Entwicklung der IT-Forensik im Laufe der Jahre
Die kommerzielle Nutzung von IT-Systemen begann schon Mitte bis Ende der 1970er Jahre und wuchs bis heute immer weiter. Mit dem Aufschwung des Internets in den 1990er Jahren wurde dann der Informationsaustausch zwischen IT-Systemen weltweit vereinfacht. Davon nahmen auch klassische forensische Ermittler Notiz, dass im Laufe der Zeit das Internet immer bedeutender wurde. Eine eindeutige Geburtsstunde der IT-Forensik kann nicht festgelegt werden, aber spätestens in den frühen 2000ern war klar, dass das Internet schnell die Mehrheit des technischen Informationsaustausches weltweit beherrschen würde.
Als Vorreiter hat die USA schon 1984 damit begonnen, über die Strafverfolgungsbehörde FBI Programme entwickeln zu lassen, die IT-Systeme forensisch analysieren konnten. Das Feld der IT-Forensik ist historisch gewachsen und heute kann gesagt werden, dass zur Aufklärung von Cyberkriminalität die IT-Forensik unabdingbar ist. Dies hat zum einen damit zu tun, dass Angreifer meistens einen Weg finden Schutzmechanismen wie Firewalls oder ähnliche Systeme zu umgehen, aber auch die Technik entwickelt sich stetig weiter und oft fehlt die notwendige Pflege dieser Systeme im Unternehmen.
Was sind die Aufgaben von IT-Forensiker/innen?
Zu Beginn sei gesagt, dass das Aufgabenfeld der IT-Forensik sehr abwechslungsreich ist. Im Großen und Ganzen gilt es, zu analysieren, zu rekonstruieren und dann aufzuarbeiten. Doch kein Fall ist wie der andere. Die Technik, die einem in der IT-Forensik begegnet, kann immer von unterschiedlicher Natur sein.
Bei einer IT-forensischen Untersuchung geht es im Grunde darum, einen Sachverhalt aufzuklären, der dafür gesorgt hat, dass das vorliegende IT-System nicht mehr ordnungsgemäß funktioniert oder aus Sicherheitsgründen nicht mehr genutzt werden kann.
Die folgenden W-Fragen sollten versucht werden zu beantworten:
- Was ist passiert? (Welche Art von Manipulation oder Schaden hat stattgefunden)
- Wo ist es passiert? (Welches System ist kompromittiert)
- Wann ist es passiert? (Zeitlichen Rahmen bestimmen)
- Wie ist es passiert? (Über welchen Weg hat der Angriff stattgefunden)
- Wer hat es getan? (Angreifer(gruppe) bestenfalls identifizieren)
- Was kann unternommen werden, damit es in Zukunft nicht mehr passiert? (Präventive IT-Forensik)
Unterschiedliche Aufgaben bei Unternehmen oder Behörden
Die Aufgabenbereiche eines/r IT-Forensiker/in unterscheiden sich, wenn es darum geht, ob man in einem Unternehmen oder in einer staatlichen Strafverfolgungsbehörde beschäftigt ist. Zwar werden in beiden Bereichen werden meist Datenträger analysiert. Die Ergebnisse, die bei den Analysen gesichtet werden, unterscheiden sich jedoch meist im Inhalt:
- In einem privaten Unternehmen dreht sich diese meistens um Themen wie Datendiebstahl, Verschlüsselung oder auch um unerlaubte Zugriffe auf ein System. Hierbei beschränken sich die Taten eher auf im digitalen Bereich begangene Straftaten.
- Wobei es bei einer Strafverfolgungsbehörde eher darum geht Medien auf Datenträgern zu finden, die eine in der Realität ausgeübte Tat beweisen sollen. Beispiele hierfür wären Kinderpornographie, gewaltverherrlichende Medien oder auch Morddrohungen, die über das Internet versendet wurden.
Was bedeutet das konkret für eine Analyse?
Es werden in einer Analyse verschiedene Artefakte gesichtet und bewertet, die Beweise oder auch Anhaltspunkte sein können, um einen Sachverhalt aufzuklären.
Folgende Artefakte sind Windows bezogen, können aber auch unter anderen Bezeichnungen in anderen Betriebssystemen vorkommen:
- Eventlogs (Informationen zu erfolgreichen/fehlgeschlagenen Anmeldungen auf dem System, Installationen von Diensten, Remote Verbindungen auf das System)
- Master File Table: Dient als eine Art Verzeichnis zu installierten Programmen und Dateien auf dem System
- Gelöschte Dateien im „unallocated Space“ wieder finden
- Interaktionen mit Ordnern oder Dateien nachweisen können
- Ausgeführte Befehle über die Kommandozeile oder Powershell
Dies sind nur wenige Beispiele für Punkte, die in einer IT-forensischen Analyse eines Systems nicht fehlen dürfen bzw. sollten, da hier einige der wichtigsten Informationen gespeichert sind.
IT-forensische Untersuchung und Incident Response (IR)
Neben der klassischen IT-Forensik ist auch der Incident Response (IR) von großer Bedeutung im Bereich der Cyberkriminalität. Vor Beginn einer IT-forensischen Untersuchung wird meist eine Kopie des Systems erstellt und diese dann in einem Labor untersucht. Bei einem IR wird die Analyse im Normalfall direkt vor Ort auf dem betroffenem System durchgeführt.
Optimalerweise schafft man es vor Ort direkt den Angreifer vom Netzwerk zu trennen, um so sicherzustellen, dass weitere Schäden wie Datenlöschung oder Verschlüsselung verhindert werden können.
In vielen Fällen waren die Angreifer aber schon erfolgreich und haben das System verschlüsselt. Sie nutzen dies als Mittel zur Erpressung von Lösegeld, indem der Schlüssel zur Wiedergewinnung der Daten beispielsweise gegen Bitcoin eingetauscht wird.
Im schlimmsten Fall jedoch, wenn das System im Gesamten nicht mehr sicher ist, muss dieses eventuell auch neu aufgesetzt werden. Das wird jedoch erst in Angriff genommen, wenn ausgeschlossen werden kann, dass keinerlei Schadhaftes mehr im Netzwerk vorhanden ist.
Warum ist IT-Forensik wichtig für Unternehmen?
Durch IT-forensische Untersuchungen können Erkenntnisse gesammelt werden, die dazu dienen, Sicherheitslücken im Nachhinein zu schließen. Es gibt viele Maßnahmen, die nach einem Vorfall unternommen werden können, um das System so zu konfigurieren, damit sich ein solcher nicht wiederholt.
Aber auch ein Unternehmen technisch und organisatorisch auf den nächsten Vorfall vorzubereiten, gehört zur präventiven Forensik und sollte als Unternehmen in Betracht gezogen werden. Durch die Anpassung der Präventionsmaßnahmen an die Unternehmensstruktur, kann im Fall eines Sicherheitseinbruchs schnell und konkret reagiert werden.
