defense.at Onlinemagazin
  1. deftipps.com > 
  2. IT Security > 
  3. IT-Forensik in der Praxis

IT-Forensik in der Praxis

IT-Forensik zur nachträglichen Sicherung von digitalen Beweisen

Spätestens mit der flächendeckenden Verbreitung von Smartphones, wird der Alltag vieler Menschen von digitalen Medien begleitet. Es werden in Echtzeit Erlebnisse gepostet und Bilder online gestellt. Das Smartphone dokumentiert im Hintergrund "fleißig" Standortdaten und Suchen im Internet. In Firmen ist die Verwendung von PC, Laptop und Onlinespeicher ohnehin etabliert. Kaum ein Unternehmen wird sich hauptsächlich auf manuell erstellte Papiere verlassen. Daher liegen in Rechtsstreitigkeiten benötigte Dokumente in aller Regel digital vor. Ebenso nutzen auch Straftäter das Internet, um sich zu verabreden oder Informationen einzuholen. Daher ist eine neue Form der Beweissicherung in Straf- und Zivilrechtsverfahren erforderlich. Diese ist Gegenstand der IT-Forensik.

Was ist IT-Forensik?

Die Forensik beschäftigt sich allgemein mit der Beweisführung für gerichtliche und kriminalistische Zwecke und soll der Rechtspflege dienen. Darunter fallen beispielsweise die Zuordnung von Fingerabdruckspuren oder DNA-Spuren zu einer Person. Im Idealfall lassen sich daraus Rückschlüsse über die Anwesenheit einer Person an einem bestimmten Ort ziehen. Bezogen auf die Informationstechnik ist das Ziel, einer Person eine bestimmte Handlung anhand eines digitalen Geräts beweissicher nachweisen zu können. Beispielsweise das Herunterladen urheberrechtlich geschützten Materials oder die Bedrohung in einem Chat. Die IT-Forensik behandelt die Methoden, mit denen die Sicherung und Aufbereitung der Daten zu erfolgen hat, damit diese als Beweismittel vor Gericht Bestand haben. Synonym wird der Begriff Digitale Forensik verwendet. Für Teilgebiete kann eine Einordnung nach Geräteart vorgenommen werden. Gebräuchlich sind die Formulierungen PC-Forensik, Mobilfunkforensik, Cloud-Forensik und Car-Forensik. Letztere beschäftigt sich beispielsweise mit von Bordcomputern in Pkw aufgezeichneten Daten. Ein Spezialgebiet ist die Live-Forensik. Diese behandelt die Sicherung flüchtiger Daten, etwa aus Arbeitsspeichern.

IT-Forensik - Unterschied zu IT Security, Pentesting und Datenrettung

Es gibt Schnittmengen zu den drei aufgeführten Bereichen, sie haben aber grundsätzlich eine andere Zielrichtung. Die IT Security beschäftigt sich mit der Absicherung digitaler Geräte und von Netzwerken. Dennoch sollte der IT-Forensiker Kenntnisse in diesem Bereich haben. Nach dem Systemeinbruch durch einen Hacker muss er wissen, wie dessen Vorgehen gewesen sein und wo er Spuren hinterlassen haben könnte.

Pentesting (kurz für Penetration Testing) ist das Absuchen eines Systems auf Sicherheitslücken. Der Penetration-Tester verhält sich dabei wie ein Hacker, versucht sich Zugang zu einem Netzwerk und zu sensiblen Daten zu verschaffen. Nur macht er dies im Auftrag des Besitzers vom Netzwerk, um diesen anschließend zu beraten, wie er das System besser absichern kann. Ein IT-Forensiker benötigt manchmal Methoden eines Penetration-Testers. Bekommt er verschlüsselte Daten zur Untersuchung vorgelegt, muss er sich das Passwort verschaffen. Dies kann er durch Wörterbuch-Attacken oder einen Brute-Force-Angriff versuchen.

Die Datenrettung hat das Ziel, Daten wiederherzustellen, die absichtlich, versehentlich oder durch einen Hardware-Defekt verloren gegangen sind. Dies kann durch die Wiederherstellung von gelöschten Dateien von einem Datenträger geschehen. Dort werden normalerweise zunächst nicht die Dateien selbst, sondern deren Einträge im Dateisystem gelöscht. Die Inhalte können, so sie noch nicht überschrieben wurden, einfach vom Datenträger kopiert werden. Wenn die Ursache hingegen ein Defekt ist, versucht der Datenretter durch Austausch von Komponenten die Daten wieder lesbar zu machen. Mit derartigen Methoden muss sich auch der IT-Forensiker auskennen. Oftmals werden beweiserhebliche Daten von Straftätern gelöscht oder von diesen versucht, die Datenträger zu beschädigen, um ein Auslesen zu verhindern. Im Gegensatz zur Datenrettung ist dabei besonders wichtig, den vormaligen Speicherort und den Grund der Löschung zu bestimmen. Vor Gericht wird eine wiederhergestellte Datei nur eine Beweiskraft haben, wenn der IT-Forensiker erklären kann, woher sie stammt. Wenn dies zweifelhaft bleibt, darf das Gericht sie nicht anerkennen.

Aufgaben der IT-Forensik

Im ersten Schritt hat der IT-Forensiker den ihm zur Verfügung stehenden Datenbestand zu sichern. Dies muss so geschehen, dass eine Veränderung ausgeschlossen werden kann. Daher versucht der IT-Forensiker zunächst schreibgeschützt ein Abbild (Eins-zu-Eins-Kopie) von ihm vorgelegten Datenträgern zu fertigen. Um den Zustand zu dokumentieren, lässt er einen Hashwert ("digitaler Fingerabdruck") berechnen und dokumentiert ihn. Wird der Datenbestand nur um ein Bit verändert, hat er einen komplett anderen Hashwert und die Beweiskraft ist in der Regel nicht mehr gegeben.

Im zweiten Schritt wird der Datenbestand aufbereitet. Dateisysteme und gelöschte Dateien werden wiederhergestellt. Zu jeder Datei müssen möglichst die Metadaten aufgeführt werden. Dies sind beispielsweise die Zeitstempel der Erstellung und letzten Änderung, sowie der Speicherpfad. Von den einzelnen Dateien werden erneut Hashwerte gebildet, um zu dokumentieren, dass sie während der Untersuchung nicht verändert wurden. In dieser Phase werden auch Datenbanken, zum Beispiel von Chatprogrammen, aufbereitet, so dass die Inhalte auswertbar sind.

Danach beginnt die eigentliche Untersuchung. Der IT-Forensiker sucht nach den relevanten Inhalten und ermittelt die Umstände der Entstehung. Beispielsweise muss bei der Feststellung einer verbotenen Datei herausgefunden werden, wie sie an den Speicherort gekommen ist. Für das Gericht ist es ein erheblicher Unterschied, ob der Anwender gezielt danach gesucht hat, sie versehentlich oder unbemerkt heruntergeladen hat.

Seine Feststellungen dokumentiert der IT-Forensiker in einem Bericht. Dieser gliedert sich üblicherweise in einen technischen und einen nicht-technischen Teil. Zum einen muss das Ergebnis der Untersuchung für alle Parteien in einem Gerichtsverfahren verständlich sein. Andererseits müssen alle technischen Einzelheiten enthalten sein. Zudem ist es essentiell, dass dokumentiert wird, welche Untersuchungsschritte mit welcher Software vorgenommen wurden. Hierbei muss es möglich sein, durch Wiederholung der Schritte an der unveränderten Datensicherung, zum gleichen Ergebnis zu kommen. Wird das Ergebnis vor Gericht durch eine beteiligte Partei angezweifelt, so kann ein Gegengutachter die Untersuchung wiederholen und etwaige Ungereimtheiten aufdecken.

Anwendungsfälle der IT-Forensik

Zumeist wird die IT-Forensik in Strafverfahren benötigt. Nach schweren Straftaten wird das Kommunikationsverhalten der Täter und Beteiligten ausgewertet. Geodaten können wertvolle Hinweise über Aufenthaltsorte liefern. Bei Wirtschaftsstraftaten spielen Inhalte aus Abrechnungssystemen und E-Mails eine große Rolle. Selbst bei schweren Verkehrsunfällen kann es erforderlich sein, festzustellen, ob ein Beteiligter zum Beispiel durch ein Smartphone abgelenkt war.

Auch in Zivilverfahren ist die IT-Forensik wichtig. Schadensersatzansprüche bei Urheberrechtsverstößen, wie dem illegalen Download von Filmen oder Musik, basieren zumeist auf entsprechenden Auswertungen. Auch bei Streitigkeiten über Patente und Markenrechte, können die Beweise digital vorliegen. Im privaten Umfeld können Chatverläufe oder E-Mails Beweise für falsche Behauptungen oder Beleidigungen liefern.
Im Firmenumfeld wird die IT-Forensik benötigt, um beispielsweise Angestellten Fehlverhalten oder Konkurrenten Spionagehandlungen nachzuweisen.

IT-Forensik durch Sachverständige oder Detektei

In Strafverfahren beauftragen Staatsanwaltschaften und Gerichte in den meisten Fällen IT-Forensiker von Polizeidienststellen. Bei nahezu allen Behörden, die mit Ermittlungen betraut sind, wie Bundeskriminalamt, Landeskriminalämtern, lokalen Kriminalpolizeidienststellen sowie Zoll und Steuerfahndung, sind entsprechende Stellen angesiedelt.
Als Firma oder Privatperson kann man diese Dienststellen nicht direkt beauftragen. Dies ist gegebenenfalls über einen Beweisantrag des Rechtsanwalts möglich.

Daher können diese sich nur an private Anbieter wenden. Es gibt Sachverständigenbüros, die sich mit der IT-Forensik beschäftigen. Einige von ihnen werden auch regelmäßig durch Ermittlungsbehörden beauftragt.
Zudem bieten einige Detekteien eine Spezialisierung an und haben eigene IT-Forensiker. Auch Wirtschaftsprüfungsgesellschaften verfügen häufig über eine Forensik-Abteilung.
Der Begriff "IT-Forensiker" ist nicht geschützt. Jedoch ist die Zusatzangabe "Sachverständiger" mit einer entsprechenden öffentlichen Bestellung oder Anerkennung in der entsprechenden Sachverständigenvereinigung verbunden. Im Zweifel entscheidet das Gericht, ob es einen Sachverständigen anerkennt.

Wie wird man IT-Forensiker?

Grundlage ist üblicherweise ein informationstechnisches Studium oder eine entsprechende Ausbildung. Ermittlungsbehörden bilden IT-Forensiker zumeist intern aus. Dabei kann es sich um Kriminalbeamte oder angestellte Informatiker handeln. Darüber hinaus gibt es Studiengänge, die eine Spezialisierung auf diesem Gebiet bieten. In Deutschland sind dies unter anderem die Hochschulen Albstadt-Sigmaringen, Mittweida und die WINGS-Hochschule in Wismar.

Wie kann man sich als Anwender "forensisch" verhalten?

Wenn der Privatanwender oder Verantwortliche einer Firma in eine Situation kommt, die Gegenstand forensischer Untersuchungen wird, kann er sich im Vorfeld vorteilhaft verhalten. Dies zum Beispiel, indem er Feststellungen dokumentiert, Fotos macht und unabhängige Zeugen hinzuruft. Datenträger sollten möglichst wenig verändert und deren Aufenthaltsort dokumentiert werden, so dass Veränderungen bis zur Übergabe an den Forensiker ausgeschlossen sind. Je nach Wissenstand des Betroffenen, kann dieser Sicherungen von Logdateien und anderen flüchtigen Inhalten vornehmen. Als Maßstab sollte gelten, dass Behauptungen und Umstände vor Gericht stets belegbar sein müssen. Im deutschen Rechtssystem machen schon geringe Zweifel die Beweiskraft einer Spur zunichte.

Quellen:

www.detektiv-privatdetektei.de/cyberkriminalitaet-it-sicherheit-und-it-forensik/
www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Dienstleistungen/IT-Forensik/forensik_node.html
www.security-insider.de/was-ist-it-forensik-a-774063/