Im Rahmen IT-forensischer Untersuchungen werden nicht immer nur Artefakte gefunden, welche in direktem Zusammenhang mit dem eigentlichen Untersuchungsauftrag eines Unternehmens stehen. Was einen Zufallsfund während einer Untersuchung ausmacht und wie IT-Forensiker mit diesen umgehen, erfahren Sie im nachfolgenden Beitrag.
Der Inhalt im Überblick
Privatnutzung
Die häufigsten Zufallsfunde im Rahmen einer IT-forensischen Untersuchung entstehen durch Privatnutzung eines technischen Gerätes. Dies können der Browsersuchverlauf sein, aufgerufene Programme, angeschlossene Medien mit privaten Dateien, wie Bildern, Rechnungen und Videos oder weitere sensible Daten. Dann stellt sich dem IT-Forensiker die Frage, ob die Privatnutzung auf dem Gerät, beispielsweise dem Laptop eines Unternehmens, gestattet oder explizit verboten war. Sofern explizit verboten oder nicht explizit erlaubt, handelt es sich dabei um einen Zufallsfund. Dies kann in einer IT-forensischen Untersuchung einen entscheidenden Unterschied machen, wie im Falle eines Arbeitszeitbetrugs.
Schadsoftware
Ein weiterer Zufallsfund auf einem System kann Schadsoftware sein. Angenommen die Ausgangssituation einer Untersuchung ist der Verdacht auf Arbeitszeitbetrug oder auch Datendiebstahl. Das Gerät wird untersucht und bei der Sichtung der vorhandenen Dateien und Programme wird festgestellt, dass Schadsoftware auf dem System abgelegt bzw. installiert ist. Hierbei kommt es normalerweise zu einer Anpassung des Untersuchungsauftrages sowie Folgeuntersuchungen aufgrund von Unklarheiten bezüglich Herkunft und Auswirkung der Schadsoftware.
Backdoor
Ebenfalls mit einer Anpassung des Untersuchungsauftrags verbunden sind Zufallsfunde in Form von Backdoors. Backdoors bieten einer Person die Möglichkeit, sich immer wieder Zugriff auf ein System zu verschaffen. Dies kann durch eine Schwachstelle, aber auch durch eine vorgenommene Konfiguration geschehen. In jedem Fall hat die Person die Möglichkeit, sich entweder sichtbar oder im Hintergrund auf das System aufzuschalten. Dies kann gewünscht sein, etwa für Wartungen, kann jedoch genauso gut von Angreifern genutzt werden, um persistenten Zugriff auf ein System zu erhalten. Auch hier wird in der Regel mit dem Auftraggeber geklärt, ob es sich dabei um legitime Anpassungen des Systems handelt oder ob diese näher untersucht werden sollte.
Remotezugriffe
Weiterhin können Zufallsfunde auch durch Remotezugriffe auf ein System entstehen. Hierbei ist es vielleicht gar nicht vorgesehen, dass jemand Remotezugriff auf das zu untersuchende System hat, dennoch sind diese in den Log-Files eines Systems ersichtlich. Unabhängig davon sollte auch hier mit dem Auftraggeber geklärt werden, ob und inwieweit die Zugriffe legitim sind oder waren und ob eine Untersuchungsanpassung mit möglichen Folgeuntersuchungen durchgeführt wird.
Anstößige Inhalte
Bereits zu Beginn wurde der Zufallsfund der Privatnutzung dargestellt. Natürlich kann diese Privatnutzung auch anstößige Inhalte enthalten. Dies kann in vielerlei Form auftreten und je nach Art und Form der gefundenen Inhalte kann die Verwirklichung von Straftatbeständen im Raum stehen. Solche Funde, ob als Bild, Video oder auch als Texte, stellen natürlich einen besonderen Fund dar und sollten auch immer mit dem Auftraggeber besprochen werden. Hier ist ebenfalls eine Anpassung des Untersuchungsauftrags beziehungsweise des weiteren Vorgehens nicht ausgeschlossen. In schwerwiegenden Fällen sind in solchen Situationen sogar Strafverfolgungsbehörden miteinzubeziehen.
Nicht jede Untersuchung ist gleich
Durch die Verschwiegenheit der untersuchenden Ermittler einer IT-forensischen Untersuchung werden solche Zufallsfunde natürlich objektiv und den Umständen entsprechend betrachtet. Dennoch müssen auch solche Ergebnisse im Bericht der Untersuchung festgehalten werden und ggf. näher untersucht werden. In besonders schwerwiegenden Fällen müssen natürlich auch Strafverfolgungsbehörden in die Untersuchung mit einbezogen oder die Untersuchung an diese übergeben werden.
Diese Möglichkeiten müssen auch in der IT-Forensik immer bedacht werden und natürlich muss auch der Umgang mit den verschiedensten Situationen und Funden während einer Untersuchung klar sein. Nicht jede Untersuchung ist gleich und führt nur zu den Erkenntnissen, welche sich der Auftraggeber mit einem Untersuchungsauftrag erhofft hat. Zufallsfunde bleiben eine Angelegenheit der Ungewissheit und können, wie in diesem Beitrag gezeigt, in den verschiedensten Formen auftreten.