31. Juli 2008 - Ermöglichen Sie den Experten eine saubere Spurensuche

Computer-Forensik

Nicht nur die Einbrüche in Datensysteme werden immer professioneller. Auch die digitale Spurensuche der Forensiker hat erstaunliche Möglichkeiten, um die Datendiebe zu überführen. Doch nur wenn sich die Computeranwender richtig verhalten und der Datenschutz bei den Ermittlungen gewahrt wird, kann die elektronische Beweisführung wirklich gelingen.

computer-forensik.jpeg
Die Datenrettung ist das technische Rückgrat der forensischen Ermittlung (Quelle: Kroll Ontrack).

Während die Gesamtzahl der bekannt gewordenen Fälle von Computerkriminalität in 2006 im Vergleich zum Vorjahr um 4,9 % zurückgegangen ist, nehmen die Straftaten im Bereich der Fälschung beweiserheblicher Daten (+143,1 %) und der Datenausspähung (+26,4 %) deutlich zu (Quelle: Polizeiliche Kriminalstatistik 2006).

Der Datenmissbrauch dient in erster Linie der Wirtschaftskriminalität

Ein Großteil dieser Straftaten steht im Zusammenhang mit Wirtschaftskriminalität und beinhaltet:

  • Veruntreuung digitaler Daten
  • bewusste Manipulation von Datenbeständen
  • Fälschung digitaler Beweismittel
  • Datensabotage
  • Spionage, Konkurrenzausspähung

Nur ein Profi kann Diebstahl beweisen

Ob in Ihrem Unternehmen oder Ihrer Behörde Datendiebe am Werk waren oder sind, können Sie ohne professionelle Unterstützung durch Computer-Forensiker, Spezialisten für digitale Ermittlungsarbeit, kaum beweisen.

Achten Sie auf verdächtige Anzeichen

Dennoch sollten Sie auf typische Anzeichen achten, die den Einsatz von Forensikern sinnvoll machen könnten. Spuren von Datenmissbrauch gerichtsverwertbar zu lokalisieren, zu konservieren und zu analysieren, könnte notwendig werden, wenn

  • Mitbewerber in kurzer Zeit die gleichen Produkte anbieten, obwohl deren Entwicklung zeitintensiv war
  • Kunden oder Partner interne Details kennen, die nicht offiziell kommuniziert wurden
  • der nach außen gehende Datenverkehr aus dem Netzwerk ungewöhnlich stark zugenommen hat
  • die Sicherheitssysteme scheinbar grundlos fehleranfällig werden
Tipps für den Ernstfall
  • Bewahren Sie Ruhe und sorgen Sie für einen unveränderten Zustand des Tatorts, z.B. durch Verschließen des betreffenden Büroraums.
  • Ändern Sie insbesondere nicht den Zustand des Computers, der Computer-Peripherie oder der Dateien.
  • Schalten Sie den Computer nicht aus oder ein.
  • Ändern Sie nicht das vorhandene IT-Sicherheitssystem, z.B. durch Einspielen von Patches.
  • Beenden Sie keine „verdächtigen“ Prozesse oder Protokollierungen.
  • Informieren Sie die verantwortlichen Stellen im Unternehmen.
  • Dokumentieren Sie interne Maßnahmen, die vor dem Eintreffen der Forensiker stattfinden.
  • Sorgen Sie für die strikte Einhaltung des Datenschutzes.

Es muss nicht immer der Hacker sein

Nicht immer muss ein Hackerangriff von außen die Ursache einer Datenausspähung sein. Oftmals sind es interne Mitarbeiter, die unabsichtlich oder bewusst vertrauliche digitale Informationen herausgeben.

Denken Sie nur einmal daran, dass ein Mitarbeiter versuchen könnte, personalrechtlich relevante Dateien umzudatieren oder anderweitig abzuändern, um daraus einen Vorteil zu ziehen.

Zentrale Fragen der Forensiker

Besteht ein solcher Verdacht, können Computer-Forensiker versuchen, Spuren einer Datenmanipulation festzustellen. Dabei klären sie Fragen wie

  • Wer konnte auf die betroffenen Daten zugreifen?
  • Wann wurden die Daten von wem und wie zuletzt genutzt?
  • Wurden Daten kopiert oder ins Internet übertragen?
  • Wie konnte der unerlaubte Zugriff erfolgen, also welche Schwachstellen gibt es in der Datensicherheit?

So arbeiten die Forensiker

Die digitalen Ermittlungen zur Beweisführung von Datendiebstahl und -missbrauch erfordern Spezialkenntnisse und -werkzeuge, aber auch ein standardisiertes Vorgehen, um die möglichen Spuren eines Systemeinbruchs auffinden und gerichtlich verwerten zu können.

Zu den Ermittlungsarbeiten der Forensiker gehören insbesondere

  • die Spurensicherung, also die Speicherung der zu untersuchenden Datenbestände als Arbeitskopie (der Grundsatz lautet „Nie die Originalmedien untersuchen“)
  • die Erzeugung und Verwahrung eines gerichtsverwertbaren Images als bitgenaue Kopie
  • die Wiederherstellung gelöschter Daten (Datenrettung)
  • die Prüfung von externen Speichermedien
  • die Auswertung von Log- und Systemdateien
  • die Aufstellung einer Timeline (zeitlicher Ablauf des Systemeinbruchs)
  • die Analyse möglicher Malware hinsichtlich ihrer Funktion und Herkunft
  • die Auswertung der Angriffsmuster
  • die Suche nach und Bewertung von Schwachstellen der IT-Sicherheit und/oder -Organisation
  • der Aufbau von „Fallen“, um Angreifer zu überführen (Honeypots)
  • die Dokumentation aller ergriffenen Maßnahmen
  • die Erstellung von Berichten und Gutachten

Der Datenschutz muss gewahrt bleiben

Um den digitalen Tatort möglichst genau untersuchen zu können, werden meist große Datenbestände in die forensischen Analysen einbezogen. Darunter befinden sich in der Regel personenbezogene, zu schützende Daten.

Deshalb sollten Sie genau darauf achten, dass auch in diesem besonderen Fall die geltenden Datenschutzvorgaben uneingeschränkt eingehalten werden. Dazu sollten die Datenbestände sinnvoll zeitlich, inhaltlich und nach den betreffenden Personen eingegrenzt und gefiltert werden.

Praxisbeispiele aus der Computer-Forensik
  1. Der leitende Angestellte eines Konstruktionsbüros wollte sich selbstständig machen. Dabei nahm er nicht nur einzelne Mitarbeiter und Kundenprojekte mit, sondern auch vertrauliche Entwicklungsunterlagen. Durch Computer-Forensik konnte im Auftrag des Rechtsanwalts der ehemaligen Firma festgestellt werden, welche vorherigen Absprachen per E-Mail zwischen den betreffenden Mitarbeitern und Kunden getroffen wurden. Zudem war es möglich, nachzuweisen, dass bestimmte Unterlagen durch die entsprechenden Mitarbeiter auf USB-Speicherstifte kopiert wurden.
  2. Im Rahmen eines Insolvenzverfahrens sollte geprüft werden, ob die ehemalige Geschäftsleitung durch einen bestimmten Investor beeinflusst wurde. Nach Einwilligung der betroffenen Personen wurden die E-Mails auf Hinweise untersucht. Die Forensiker mussten zahlreiche Sicherungsbänder durchsuchen und konnten trotz inkrementeller Datensicherung auch ältere E-Mails zurückspielen. Der Verdacht gegen den ehemaligen Vorstandsvorsitzenden ließ sich erhärten.
    (Quelle: Kroll Ontrack)

Begleiten Sie die Untersuchungen

Informieren Sie die Forensiker, falls die E-Mail- und Internetverwendung wegen erlaubter Privatnutzung nur eingeschränkt untersucht werden darf. Beziehen Sie den Betriebsrat vor einer forensischen Datenanalyse ein und begleiten Sie als DSB den gesamten Prozess der Computer-Forensik.

Veranlassen Sie die umfassende Dokumentation der Vorgänge

Sorgen Sie zudem für eine lückenlose, interne Dokumentation und bedenken Sie, dass mit der Arbeitskopie der relevanten Datenbestände auch personenbezogene Daten das Unternehmen oder die Behörde verlassen können.

Die Datenkopien müssen nach der Verwertung unter Beachtung der gesetzlichen Auflagen in den Bestand des Unternehmens oder der Behörde zurückgeführt werden.

Vermeiden Sie das Verwischen der Spuren

Selbst das bloße Öffnen einer Datei, die u.U. unbefugt kopiert wurde, kann die digitalen Datenspuren (Meta-Daten) verändern. Wenn also der Verdacht besteht, dass von einem bestimmten Arbeitsplatz aus ein Systemeinbruch begangen wurde, so müssen Sie diesen Computer und die komplette Peripherie vor weiteren Zugriffen bewahren.

Verändern Sie dazu keine Systemeinstellungen und belassen Sie angeschlossene Laufwerke und Speichermedien in dem ursprünglich vorgefundenen Zustand.

Computer-Forensik hilft, unnötige Ermittlungen zu vermeiden

Nur durch Belassen des Originalzustands können Sie sicher sein, dass die Computer-Forensik gerichtsverwertbare digitale Beweise finden und analysieren kann. Dabei kann eine Untersuchung durchaus auch Verdachtsmomente entkräften und so eine unnötige offizielle Ermittlung vermeiden.

Dipl.-Phys. Oliver Schonschek
Oliver Schonschek ist freier IT-Fachjournalist und Autor für verschiedene WEKA-Werke.

 

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln