Auf digitaler Spurensuche mithilfe von IT-Forensik

Nichts berühren! Nichts verändern, bevor die Spurensicherung ihr Werk erledigt hat! Was als oberste Maxime an einem klassischen Tatort gilt, kann auch in die digitale Welt übertragen werden. Firmenanwender, die merken, dass sie gehackt oder sonst wie das Opfer einer Cyberstraftat geworden sind, sollten erst einmal nichts tun und wenn möglich IT-Forensik-Profis zu Rate ziehen.

Doch, was ist überhaupt IT-Forensik, die auch unter den Bezeichnungen Digitale Forensik und Computer-Forensik bekannt ist? Ganz generell handelt es sich dabei um einen Teilbereich der klassischen Forensik, die sich mit der Suche nach digitalen Spuren beschäftigt, welche bei einem Angriff oder einer anderen Straftat hinterlassen wurden. Neben der reinen Spurensuche ist auch die Beweissicherung und die Rekonstruktion der Abläufe in IT-Geräten Teil der digitalen Forensik. Sie erstreckt sich dabei auf alle Geräte, die Daten verarbeiten und speichern, also nicht nur auf PC, Server und Laptops, sondern auch auf Mobiltelefone und Smartphones, ja sogar auf Navigationssysteme und Satelliten-Empfangsgeräte. Deshalb greift wohl auch die Verwendung des Begriffs Computer-Forensik zunehmend zu kurz, da diese zu sehr an einzelne PC denken lässt.

Zudem kann die IT-Forensik als Teil des Notfall- und IT-Service- sowie Risikomanagements verstanden werden und umfasst dann auch Methoden zur Vorfallsbearbeitung, besser bekannt unter dem englischen Begriff "Incident Response" Experten verwenden denn auch gern die Abkürzung DFIR (Digital Forensics and Incident Response). Das Konzept ist schließlich auch die Grundlage für die IT-Forensik-Definition, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem "Leitfaden IT-Forensik" verwenden. Sie lautet: "IT-Forensik ist die streng methodisch vorgenommene Datenanalyse auf Datenträgern und in Computernetzen zur Aufklärung von Vorfällen unter Einbeziehung der Möglichkeiten der strategischen Vorbereitung insbesondere aus der Sicht des Anlagenbetreibers eines IT-Systems".

Ein weiterer Aspekt, respektive ein wesentliches Element der digitalen Forensik ist zudem die Gerichtsfestigkeit der gesammelten und dokumentierten digitalen Beweismittel. Gerade vor diesem Hintergrund ist die Kopplung von IT-Forensik und Incident Response auch für Tobias Ellenberger logisch und in der Praxis sehr sinnvoll. Er ist Chief Operating Officer von Oneconsult, einem in Thalwil beheimateten IT-Security-Spezialisten, der sich unter anderem auf Penetration-Testing Incident Response und IT-Forensik spezialisiert hat. Denn laut Ellenberger ist bei einem Vorfall zu Beginn in der sogenannten "Chaos-Phase" oft nicht entscheidbar, ob es zu einer Anklage kommen wird. "Es kann sich oft erst später bei der Untersuchung eines Angriffs herausstellen, was genau geschehen ist. Dass beispielsweise ein Konkurrent geistiges Eigentum entwendet hat, und man sich dann erst entscheidet, gerichtlich gegen den Mitbewerber vorzugehen", berichtet er. "In diesem Fall ist es wichtig, dass alle gesammelten Beweise vor Gericht verwertbar sind", so Ellenberger.

Und damit sind wir schon mittendrin in der für die IT-Forensik typische Vorgehensweise. Wie in der Kriminologie in der echten Welt, gilt es auch im digitalen Umfeld, die Spuren des Angriffs so zu sichern, dass eine Manipulation ausgeschlossen werden kann. Denn auch im digitalen Umfeld gilt der bereits von dem französischen Arzt Edmund Locard schon zu Beginn des 20. Jahrhundert formulierten Prinzip: "Jeder und alles am Tatort nimmt etwas mit und lässt etwas zurück".

Benötigt wird daher eine lückenlose Dokumentation. Das kann zunächst selbst in der digitalen Forensik sehr physisch und analog sein. "Wir orientieren uns bei der Vorgehensweise an bewährte Routinen der Polizei. Wenn wir an einen mutmaßlichen Tatort gelangen, fotografieren wir beispielsweise auch, wo welcher PC oder welches sonstige Gerät stand", berichtet Ellenberger. Danach muss jede weitere Aktion dokumentiert werden. "Das geschieht zum Teil noch sehr analog", meint er. So gibt es bei Oneconsult spezielle Formulare, die von Hand ausgefüllt und signiert werden müssen. Dabei wird festgehalten, was von wem zu welcher Zeit genau gemacht wurde.