Anti-Forensiker vs. Forensiker

Es gelingt den Angreifern nicht nur zunehmend ein kleines Profil zu wahren und lange unerkannt zu bleiben. Sie greifen etwa auch Forensik-Software an, um die Daten dort zu manipulieren, oder sie entwickeln Verfahren und Methoden, die eine forensische Untersuchung entweder behindern, verunmöglichen oder deren Resultate bewusst fälschen.

Solche Anti-Forensik-Maßnahmen haben es beispielsweise darauf abgesehen, die benutzte Forensik-Software zu überfordern. Die Tools sind ja so angelegt, dass sie Untersuchungen sehr genau ausführen, um auch alle Spuren zu sichern. Füttert man eine solche Software mit einer Zip-Datei, die entpackt Terabytes an Files produziert, oder gleich mehrere solche Files, kann das Forensik-Tool Tage wenn nicht Wochen mit der Auswertung beschäftigt sein. Dies verhindert zwar die Untersuchung nicht, kann sie aber maßgeblich verzögern. Da auch IT-Forensiker unter Zeitdruck stehen, kann dies verheerend sein.

Daneben haben auch Forensik-Tools Schwachstellen und Softwarefehler, die ausgenutzt werden können, um falsche Spuren zu legen, die dann den Anwender verwirren können.

Einige der zur Anti-Forensik verwendeten Verfahren nutzen schließlich Werkzeuge, die Teil des Betriebssystems des betroffenen Geräts sind und deshalb vom Angreifer verändert werden können. Ellenberger rät daher IT-Forensikern dazu, eigene geprüfte und mittels Hash-Verfahren verifizierte Tools mitzuführen, statt sich auf die vorhandenen Werkzeuge auf einem möglicherweise infizierten Computer zu verlassen.

Daneben bereitet die zunehmende Komplexität der IT-Umgebungen den IT-Forensikern Kopfzerbrechen. "Wenn Angriffe über weit verzweigte, mehrdimensionale Infrastrukturelemente ausgeführt werden, welche sich darüber hinaus auch noch in unterschiedlichen Ländern befinden, wird es für den IT-Forensiker anspruchsvoller", gibt Kissmann von Accenture zu bedenken. Dabei spiele auch der Faktor Zeit eine wichtige Rolle. "Zieht sich die Analyse zu lange hin, kann es sein, dass wichtige Datensätze bereits überschrieben wurden", führt er weiter aus und weist gleichzeitig darauf hin, dass professionelle Angreifer diese Limits natürlich kennen würden.

Auch Ellenberger führt als zunehmendes Problem für die digitale Beweisführung die komplexeren IT-Landschaften ins Feld. Firmen betrieben heute verschiedene Netze einschließlich diverser Cloud-Installationen. Hinzu kämen die zahlreichen mobilen Geräte der Mitarbeiter, vom Laptop über das Tablet bis hin zum Smartphone oder gar zur Smartwatch. "Früher reichte es, ein einzelnes System nach Spuren abzusuchen. Heute können sich diese überall befinden", gibt er zu bedenken. In Zeiten von Cloud-Diensten wie Azure und AWS sei es fast ein Ding der Unmöglichkeit, genau festzuhalten, wo sich eine bestimmte Datei zu einem gewissen Zeitpunkt befunden habe.

Ein spezieller Show-Stopper sind auch IoT-Geräte (Internet of Things), die in zunehmender Anzahl auch in Firmennetzen zu finden sind. Ellenberger weist in diesem Zusammenhang darauf hin, dass diese Devices oft gar keine oder eine zeitlich sehr beschränkte Log-Funktionalität aufweisen. "Werden solche Geräte, die keine Logs schreiben, für einen Angriff verwendet, hat man als IT-Forensiker schlechte Karten", sagt er.

Die zunehmende Komplexität verunmögliche aber IT-Forensik-Untersuchungen nicht. Sie wird nur zu einer größeren Herausforderung für den digitalen Fahnder. "Hier braucht es den Menschen mit Know-how und gesundem Menschenverstand, der weiß, wo er suchen soll", folgert Ellenberger.