Cybercrime (dt. Cyberkriminalität) bezeichnet Straftaten, die unter Ausnutzung der Informations- und Kommunikationstechnik (IKT) begangen werden. Man unterscheidet hierbei zwei Kernbereiche:

Cybercrime im engeren Sinne: Dies sind Straftaten, die sich gegen IT-Systeme oder Daten richten. Beispiele hierfür sind das Hacken von Netzwerken, die Verbreitung von Schadsoftware oder die Sabotage von IT-Infrastruktur.

Cybercrime im weiteren Sinne: Hier wird die Informationstechnik als Tatmittel für traditionelle Delikte genutzt. Dazu zählen Betrugsdelikte im Internet, illegaler Handel auf Darknet-Märkten oder die Verbreitung verbotener Inhalte.

Das Ziel der Täter ist fast immer finanzieller Gewinn, Wirtschaftsspionage, Sabotage oder die Beschaffung sensibler Informationen (BUNDESAMT FÜR SICHERHEIT IN DER INFORMATIONSTECHNIK, o.J.).

Die Methoden von Cyberkriminellen sind vielfältig und entwickeln sich stetig weiter. Die folgenden Ausprägungen stellen die aktuell relevantesten Bedrohungen für Unternehmen und Privatpersonen dar.

Beim Social Engineering wird der Faktor Mensch als Schwachstelle ausgenutzt. Täter manipulieren ihre Opfer psychologisch, um an vertrauliche Informationen (z.B. Passwörter, Finanzdaten) zu gelangen oder sie zu bestimmten Handlungen zu bewegen, wie der Überweisung von Geld oder dem Öffnen eines schädlichen Anhangs.

Die häufigste Form ist das Phishing, bei dem massenhaft gefälschte E-Mails, SMS (als Smishing bezeichnet) oder Webseiten von vermeintlich vertrauenswürdigen Absendern (z.B. Banken, Paketdienste) versendet werden. Ziel ist es, Zugangsdaten abzugreifen oder Malware zu installieren. Eine gezielte Form, das Spear Phishing, richtet sich an ausgewählte Personen oder Unternehmen und ist durch eine hohe Personalisierung deutlich überzeugender und gefährlicher.

Malware ist der Oberbegriff für jegliche Art von schädlicher Software. Zu den wichtigsten Kategorien gehören:

• Ransomware: Diese Schadsoftware verschlüsselt die Daten auf einem infizierten System oder sperrt den gesamten Zugriff darauf. Für die Entschlüsselung wird ein Lösegeld (engl. Ransom) gefordert, meist in Form von Kryptowährungen. Moderne Angriffe (sog. Double Extortion) beinhalten zusätzlich die Drohung, gestohlene Daten zu veröffentlichen, um den Druck auf das Opfer zu erhöhen.
• Trojaner: Getarnt als nützliche Anwendung, führt ein Trojaner im Hintergrund schädliche Funktionen aus. Dazu gehören das Ausspähen von Daten (Spyware), die Übernahme der Systemkontrolle (Backdoor) oder die Einbindung des Rechners in ein Botnetz.
• Viren und Würmer: Während sich ein Computervirus an eine Datei oder ein Programm heftet und dessen Ausführung zur eigenen Verbreitung benötigt, kann sich ein Computerwurm selbstständig über Netzwerke verbreiten, ohne dass ein Nutzer aktiv eingreifen muss.

Das Ziel dieser Angriffe ist es, einen Onlinedienst (z.B. eine Webseite oder einen Server) durch eine massive Flut von Anfragen so zu überlasten, dass er für legitime Nutzer nicht mehr erreichbar ist. Bei einem DDoS-Angriff erfolgt dieser Angriff koordiniert von einer Vielzahl gekaperter Systeme, einem sogenannten Botnetz, was die Abwehr erheblich erschwert. Solche Angriffe werden oft für Erpressungen (Ransom-DDoS) oder zur Sabotage eingesetzt.

Beim Identitätsdiebstahl entwenden Täter personenbezogene Daten (Name, Geburtsdatum, Adresse, Zugangsdaten), um im Namen des Opfers Straftaten zu begehen. Dies reicht vom Bestellen von Waren auf fremde Rechnung über die Eröffnung von Konten bis hin zur Übernahme von Social-Media-Profilen für Betrugs- oder Propagandazwecke.

Cybercrime ist kein Kavaliersdelikt, sondern wird in Deutschland strafrechtlich verfolgt. Relevante Tatbestände finden sich insbesondere im Strafgesetzbuch (StGB):

• § 202a StGB: Ausspähen von Daten
• § 202b StGB: Abfangen von Daten
• § 263a StGB: Computerbetrug
• § 303a StGB: Datenveränderung
• § 303b StGB: Computersabotage

Die Strafverfolgung wird durch die Anonymität und die internationale Vernetzung der Täter erschwert.

Der CCC leistet wichtige Aufklärungsarbeit über Sicherheitslücken und kritisiert oft eine „Sicherheit durch Unwissenheit“ (Security through Obscurity). Aus Sicht des Clubs ist die beste Verteidigung gegen Cybercrime ein aufgeklärter, mündiger Nutzer sowie offene und transparente Systeme. Der CCC warnt zugleich vor einer unverhältnismäßigen Ausweitung staatlicher Überwachungsbefugnisse unter dem Vorwand der Cybercrime-Bekämpfung, da diese die Privatsphäre und die IT-Sicherheit der Allgemeinheit gefährden können (CHAOS COMPUTER CLUB, o.J.).

Als Malware (malicious software) wird jede Software bezeichnet, die entwickelt wurde, um Computersysteme gezielt zu schädigen. Angreifer nutzen sie, um Daten zu stehlen, Systeme zu sabotieren oder finanziellen Gewinn zu erzielen.

Ein grundlegendes Verständnis der verschiedenen Malware-Arten ist für eine effektive Abwehr unerlässlich.

Ein Computervirus heftet sich an legitime Dateien oder Programme. Er benötigt eine menschliche Aktion (z.B. das Ausführen einer infizierten Datei), um sich zu aktivieren und auf andere Dateien und Systeme zu verbreiten.

• Verhaltensbasierte Antiviren-Software: Erkennt Viren nicht nur anhand von Signaturen, sondern auch durch verdächtige Aktionen.
• Skript-Blocker im Browser: Verhindern die automatische Ausführung von schädlichem Code auf Webseiten.

Im Gegensatz zu Viren verbreiten sich Würmer selbstständig über Netzwerke, indem sie Sicherheitslücken in Betriebssystemen oder Software ausnutzen. Sie benötigen keine Interaktion des Benutzers.

• Zeitnahes Einspielen von Sicherheitspatches: Schließt die Einfallstore, die Würmer zur Verbreitung nutzen.
• Firewalls (insb. Netzwerksegmentierung): Verhindern die unkontrollierte Ausbreitung eines Wurms im internen Netzwerk.

Ransomware verschlüsselt die Daten eines Opfers oder sperrt den Zugriff auf das gesamte System. Die Täter fordern ein Lösegeld (Ransom) für die Wiederherstellung. Moderne Varianten (Double/Triple Extortion) drohen zusätzlich mit der Veröffentlichung gestohlener Daten oder DDoS-Angriffen.

• 3-2-1-Backup-Strategie: Mindestens drei Kopien auf zwei verschiedenen Medien, davon eine extern (offline oder in der Cloud).
• Unveränderliche (Immutable) Backups: Verhindern, dass die Ransomware auch die Sicherungskopien verschlüsselt.

Ein Bot ist eine Malware, die einen Rechner infiziert und ihn der Fernsteuerung durch einen Angreifer unterwirft. Mehrere dieser Bots bilden ein Botnetz, das oft für koordinierte Angriffe wie DDoS-Kampagnen oder den massenhaften Versand von Spam/Phishing genutzt wird.

• Analyse des ausgehenden Netzwerkverkehrs: Auffällige Kommunikationsmuster zu bekannten Command-and-Control-Servern (C2) können eine Infektion verraten.
• Sichere Konfiguration von IoT-Geräten: Viele Bots zielen auf ungesicherte Router, Kameras oder andere smarte Geräte ab.

Trojaner tarnen sich als nützliche oder legitime Software. Nach der Ausführung durch den Benutzer installieren sie im Hintergrund eine schädliche Nutzlast (Payload). Diese kann eine Backdoor öffnen, weitere Malware nachladen oder Daten ausspähen.

• Software nur aus vertrauenswürdigen Quellen beziehen: Vermeiden Sie Downloads von inoffiziellen Seiten.
• Anwendungs-Whitelisting: Erlaubt nur die Ausführung vorab genehmigter Programme.

Keylogger protokollieren sämtliche Tastatureingaben eines Benutzers. Das primäre Ziel ist das Abgreifen von Zugangsdaten, Kreditkarteninformationen und anderen sensiblen Daten, die manuell eingegeben werden.

• Passwort-Manager: Füllen Anmeldeinformationen automatisch aus, ohne dass diese physisch getippt werden müssen.
• Nutzung von virtuellen Tastaturen: Insbesondere für die Eingabe kritischer Passwörter (z.B. beim Online-Banking).

Ein Rootkit nistet sich tief im Betriebssystem ein, um seine Präsenz und die anderer Malware zu verschleiern. Es kann Antiviren-Software manipulieren oder deaktivieren und ist daher extrem schwer zu entdecken und zu entfernen.

• Regelmäßige System-Integritätsprüfungen: Tools wie Tripwire können unautorisierte Änderungen an Systemdateien aufdecken.
• Secure Boot (UEFI): Stellt sicher, dass beim Systemstart nur signierte und vertrauenswürdige Software geladen wird.

Spyware sammelt ohne Wissen des Nutzers Informationen über dessen Aktivitäten und leitet diese an Dritte weiter. Dies umfasst Browser-Verläufe, Anmeldedaten oder sogar Aufnahmen über Mikrofon und Kamera.

• Berechtigungsmanagement: Überprüfen Sie, welche Berechtigungen Apps (insbesondere auf Mobilgeräten) anfordern.
• Anti-Spyware-Tools: Spezialisierte Software, die gezielt nach Überwachungssoftware sucht.

Diese Malware-Art operiert direkt im Arbeitsspeicher (RAM) des Computers und schreibt keine Dateien auf die Festplatte. Sie nutzt legitime Bordmittel des Betriebssystems (z.B. PowerShell, WMI) für ihre Aktivitäten (Living off the Land), was die Erkennung durch signaturbasierte Scanner erschwert.

• Endpoint Detection and Response (EDR): Überwacht das Verhalten von Prozessen im Arbeitsspeicher und erkennt anomale Aktivitäten.
• Striktes PowerShell-Logging und -Monitoring: Protokolliert die Ausführung von Skripten, um verdächtige Befehle zu identifizieren.

Krypto-Jacking-Malware nutzt die Rechenleistung des infizierten Geräts, um im Hintergrund Kryptowährungen zu schürfen (Mining). Dies führt zu einer hohen Systemauslastung, verlangsamter Leistung und erhöhten Stromkosten.

• Browser-Erweiterungen: Spezielle Add-ons können Krypto-Miner-Skripte auf Webseiten blockieren.
• Ressourcen-Monitoring: Unerklärlich hohe und dauerhafte CPU-Auslastung kann ein Indikator sein.

Das einzige Ziel von Wiper-Malware ist die Zerstörung. Sie löscht oder überschreibt unwiderruflich Daten, Partitionstabellen oder den Master Boot Record (MBR), um Systeme unbrauchbar zu machen. Anders als bei Ransomware gibt es keine Möglichkeit zur Wiederherstellung durch eine Lösegeldzahlung.

• Offline-Backups: Die einzige zuverlässige Methode zur Wiederherstellung nach einem Wiper-Angriff.
• Strikte Netzwerksegmentierung: Verhindert, dass sich ein Wiper lateral im Netzwerk ausbreitet und alle Systeme zerstört.

Adware blendet unerwünschte Werbung ein, oft in Form von Pop-ups oder Bannern. Während legitime Adware zur Finanzierung von Software dient, kann bösartige Adware den Nutzer auf schädliche Webseiten leiten oder Spyware-Funktionen enthalten.

• Ad-Blocker: Blockieren das Laden von Werbeinhalten im Browser.
• Sorgfalt bei Software-Installationen: Achten Sie auf gebündelte Software (“Bloatware”) und lehnen Sie die Installation unerwünschter Zusatzprogramme ab.

Unabhängig vom Malware-Typ bildet eine solide Basis an Sicherheitsmaßnahmen die wichtigste Verteidigungslinie:

• Regelmäßige Updates & Patch-Management: Halten Sie Betriebssysteme und Software stets auf dem neuesten Stand.
• Sicherheitssoftware: Nutzen Sie eine Kombination aus Antiviren-Software (AV) und einer Firewall.
• Starke Authentifizierung: Setzen Sie wo immer möglich Multi-Faktor-Authentifizierung (MFA) durch.
• Principle of Least Privilege (PoLP): Vergeben Sie nur die Berechtigungen, die für eine Aufgabe zwingend notwendig sind.
• Zero-Trust-Architektur: Vertrauen Sie keinem Gerät oder Nutzer pauschal, auch nicht im internen Netzwerk. Jede Anfrage muss verifiziert werden.
• Mitarbeiterschulung: Ein aufgeklärter Benutzer ist die erste und beste Verteidigung gegen Social-Engineering- und Phishing-Versuche.

Die digitale Forensik folgt strengen Prinzipien, um die Integrität von Beweismitteln zu gewährleisten und deren Gerichtsverwertbarkeit sicherzustellen.

Das oberste Gebot: Das Original-Beweismittel darf unter keinen Umständen verändert werden. Analysen finden ausschließlich auf forensischen 1:1-Kopien (Images) statt.

Jeder einzelne Schritt des forensischen Prozesses – von der Sicherstellung über die Analyse bis zur Auswertung – muss detailliert, nachvollziehbar und zeitlich protokolliert werden (Chain of Custody).

Die angewandten Methoden und genutzten Werkzeuge müssen so beschaffen sein, dass ein anderer Forensiker mit denselben Ausgangsbedingungen zum exakt selben Ergebnis gelangen kann.

Der durchführende IT-Forensiker muss über das notwendige Fachwissen und die erforderliche Erfahrung verfügen, um die Untersuchung korrekt und methodisch einwandfrei durchzuführen.

IT-forensische Fragestellungen sind die konkreten Aufträge, die eine Untersuchung leiten. Sie dienen dazu, Hypothesen zu falsifizieren. Eine IT-forensische Untersuchung wird durch gezielte Fragen geleitet. Diese lassen sich in der Regel den „sieben goldenen W der Kriminalistik“ zuordnen, angepasst an die digitale Welt.

• Welche Aktionen wurden auf dem System ausgeführt?
• Welche Programme wurden gestartet, welche Dateien geöffnet, kopiert oder gelöscht?
• Wurde Schadsoftware (Malware) ausgeführt und wenn ja, welche?
• Welche Kommunikationsverbindungen (Netzwerk, E-Mail, Messenger) wurden hergestellt?
• Wurden Daten manipuliert oder exfiltriert (gestohlen)?

• Welcher Benutzeraccount wurde für die Handlungen verwendet?
• Lässt sich die Aktion einer bestimmten Person zuordnen?
• Von welcher IP-Adresse oder welchem System ging der Angriff aus?
• Welche Spuren hinterließ der Akteur, die auf seine Identität oder seine Werkzeuge hindeuten?

• Zu welchem exakten Zeitpunkt fand der Vorfall statt? (Erster Zugriff, Ausführung der Malware, Datenabfluss)
• Lässt sich eine chronologische Zeitachse (Timeline) aller relevanten Ereignisse erstellen?
• Wann wurden Dateien zuletzt geöffnet, verändert oder erstellt?

• Welche Systeme im Netzwerk sind betroffen?
• Wo (auf welchem Datenträger oder in welchem Verzeichnis) befinden sich die relevanten Beweismittel?
• Aus welcher geografischen Region oder welchem Netzwerksegment stammt der Angriff?

• Welche Sicherheitslücke oder welcher Angriffsvektor wurde ausgenutzt (z.B. Phishing, Zero-Day-Exploit)?
• Welche Werkzeuge (Software, Skripte) hat der Täter verwendet?
• Wie konnte der Angreifer administrative Rechte erlangen (Privilege Escalation)?
• Welche Maßnahmen wurden zur Verschleierung der Tat ergriffen (Anti-Forensik)?

• Wurden spezifische Exploit-Kits oder Malware-Familien eingesetzt?
• Wurden gestohlene Zugangsdaten verwendet?
• Lässt sich die verwendete Infrastruktur (z.B. Command-and-Control-Server) identifizieren?

• War das Ziel Datendiebstahl, Sabotage, Spionage oder finanzielle Erpressung?
• Handelte es sich um einen gezielten Angriff oder einen opportunistischen Zufallstreffer?
• Welchen Wert hatten die kompromittierten Daten oder Systeme?

Digitale Spuren unterscheiden sich grundlegend von physischen Beweismitteln. Ihre einzigartigen Merkmale bestimmen das Vorgehen in der IT-Forensik.

Digitale Informationen sind extrem flüchtig. Ihr Bestand ist oft an eine stabile Stromversorgung gebunden und sie können durch einfache Operationen (z.B. einen Neustart) unwiederbringlich zerstört werden.

• Beispiel: Der Inhalt des Arbeitsspeichers (RAM) geht beim Ausschalten verloren, während Daten auf einer Festplatte (HDD/SSD) bestehen bleiben.

Eine digitale Spur kann bit-identisch und verlustfrei kopiert werden. Dies ermöglicht es Forensikern, auf einer exakten Kopie (forensisches Image) zu arbeiten, während das Original als unberührtes Beweismittel asserviert wird.

Durch die Anwendung von kryptografischen Hash-Verfahren (z.B. SHA-256) kann die Unversehrtheit (Integrität) einer digitalen Spur jederzeit mathematisch bewiesen werden. Jede noch so kleine Veränderung an der Kopie würde zu einem völlig anderen Hashwert führen.

Digitale Spuren können leicht versteckt werden (z.B. durch Steganographie) oder befinden sich in Bereichen, die für den normalen Nutzer unsichtbar sind (z.B. unallocated space, slack space). Selbst „gelöschte“ Dateien sind oft noch physisch auf dem Datenträger vorhanden und können wiederhergestellt werden.

Die schiere Menge an Daten auf modernen Systemen (Terabytes) stellt eine große Herausforderung dar. Die relevanten Spuren sind oft wie die sprichwörtliche „Nadel im Heuhaufen“. Spezialisierte Werkzeuge sind notwendig, um diese Datenmengen effizient zu durchsuchen und zu korrelieren.

Eine digitale Spur (z.B. eine IP-Adresse oder ein Benutzername) lässt sich oft nur mit hohem Aufwand einer realen Person zuordnen. Techniken wie die Nutzung von VPNs, Proxies oder dem Tor-Netzwerk erschweren die Identifizierung des Urhebers zusätzlich.

In der IT-Forensik werden Daten nach ihrer Beständigkeit und ihrem Speicherort klassifiziert. Die wichtigsten Datenarten sind jene, die den größten Einblick in die Aktivitäten auf einem System geben.

Dies sind physische und festspeicherte Informationen über die Hardware-Komponenten eines Systems.

Gewinnbare Informationen: Seriennummern, Hersteller, Modellbezeichnungen (z.B. von Festplatten, RAM), MAC-Adressen von Netzwerkkarten. Diese Daten sind essenziell zur exakten Identifizierung und Asservierung von Beweismitteln.

Dies ist der bit-genaue Inhalt eines Speichermediums, unabhängig vom Dateisystem. Hier finden sich auch „gelöschte“ Daten und Dateifragmente.

Gewinnbare Informationen: Wiederherstellung gelöschter Dateien, Auffinden von versteckten Informationen in ungenutzten Speicherbereichen (unallocated space), Rekonstruktion von Dateifragmenten.

Diese Daten beschreiben die Einstellungen des Betriebssystems und der installierten Software.

Gewinnbare Informationen: Systemname, Netzwerkkonfiguration (IP-Adressen), installierte Programme, Sicherheitseinstellungen (Firewall-Regeln), automatisch startende Programme, verbundene USB-Geräte (aus der Registry).

Dies sind Aufzeichnungen über Netzwerkaktivitäten, die von Systemen und Netzwerkgeräten erstellt werden.

Gewinnbare Informationen: Chronologische Aufzeichnung von Netzwerkverbindungen (wer hat wann mit wem kommuniziert?), übertragene Datenmengen, verwendete Ports und Protokolle (z.B. HTTP, FTP), blockierte Verbindungsversuche (Firewall-Logs).

Dies sind Informationen über laufende oder kürzlich beendete Programme (Prozesse) im Arbeitsspeicher. Sie sind hochflüchtig.

Gewinnbare Informationen: Aktive Schadsoftware (Malware), geöffnete Netzwerk-Ports durch Programme, welchem Benutzer ein Prozess gehört, welche Dateien ein Programm gerade verwendet.

Diese Daten beschreiben die Interaktion eines Benutzers mit dem System während einer bestimmten Anmeldeperiode.

Gewinnbare Informationen: An- und Abmeldezeiten eines Benutzers, durchgeführte Aktionen während der Sitzung (z.B. Programmstarts, fehlgeschlagene Anmeldeversuche), von welchem entfernten System sich ein Benutzer angemeldet hat (Remote Desktop).

Dies sind die Dateien und Informationen, die von einem Benutzer direkt erstellt oder verwaltet werden.

Gewinnbare Informationen: Dokumente, Bilder, E-Mails, Browser-Verläufe, Cookies, Passwörter, Chat-Protokolle. Sie geben direkten Einblick in die Handlungen und Absichten des Benutzers.

In der IT-Forensik wird grundlegend zwischen zwei Zeitpunkten der Untersuchung unterschieden, die davon abhängen, ob das zu analysierende System in Betrieb ist oder nicht. Die Wahl des richtigen Zeitpunkts ist entscheidend, da bestimmte digitale Spuren nur in einem bestimmten Systemzustand existieren.

Die Live-Analyse findet an einem laufenden IT-System statt.

Ihr Hauptziel ist die Sicherung flüchtiger Daten (volatile data), die bei einem Neustart oder dem Ausschalten des Systems unwiederbringlich verloren gehen würden. Diese Methode ist unerlässlich, um ein aktuelles Lagebild bei einem aktiven Sicherheitsvorfall zu erhalten.

• Arbeitsspeicher (RAM): Enthält laufende Prozesse, Passwörter, Krypto-Schlüssel und geöffnete, unverschlüsselte Dateien.
• Netzwerkverbindungen: Aktive Verbindungen zu anderen Systemen (z.B. einem Command-and-Control-Server des Angreifers).
• Laufende Prozesse: Welche Programme und Dienste sind aktuell aktiv?
• Angemeldete Benutzer: Wer ist zurzeit am System angemeldet?

Wichtig: Jede Interaktion bei einer Live-Analyse birgt das Risiko, den Zustand des Systems und damit Spuren zu verändern. Sie erfordert daher spezialisierte Werkzeuge und ein äußerst sorgfältiges Vorgehen.

Die Post-Mortem-Analyse (lat. „nach dem Tode“) findet an einem ausgeschalteten System statt.

Hierbei wird der Datenträger (HDD, SSD) des Systems ausgebaut und eine bit-genaue 1:1-Kopie (forensisches Image) erstellt. Alle weiteren Analysen finden ausschließlich auf dieser Kopie statt, um das Original-Beweismittel unangetastet zu lassen. Diese Methode erlaubt eine tiefgehende und wiederholbare Untersuchung.

• Dateisystem: Wiederherstellung gelöschter Dateien, Analyse von Zeitstempeln (Erstellt, Geändert, Letzter Zugriff).
• Logdateien: System- und Anwendungsprotokolle, die Aktionen aufzeichnen.
• Registry (Windows): Enthält Konfigurationseinstellungen, installierte Programme und Spuren von Benutzeraktivitäten.
• Browser-Verläufe: Besuchte Webseiten, Cookies und zwischengespeicherte Daten.

Eine forensisch saubere Vorgehensweise ist unerlässlich, um sicherzustellen, dass digitale Beweismittel vor Gericht standhalten. Die Anforderungen an dieses Vorgehen sind streng und standardisiert. Das übergeordnete Ziel jeder Anforderung ist die Gerichtsverwertbarkeit der gewonnenen Erkenntnisse. Jede Abweichung von diesen Grundsätzen kann die gesamte Untersuchung wertlos machen.

Die Original-Beweismittel dürfen niemals verändert werden.

• Vorgehen: Analysen werden ausschließlich auf bit-genauen Kopien (forensischen Images) durchgeführt. Beim Zugriff auf Original-Datenträger kommen Write-Blocker (Hardware oder Software) zum Einsatz, die jegliche Schreibzugriffe unterbinden. Die Integrität der Kopie wird durch kryptografische Hashwerte (z.B. SHA-256) nachgewiesen.

Jeder Schritt muss minutiös, nachvollziehbar und manipulationssicher protokolliert werden.

• Vorgehen: Die Dokumentation (die Chain of Custody oder Asservatenkette) beantwortet jederzeit die Fragen: Wer hat was, wann, wo, wie und warum mit einem Beweismittel getan? Dies schließt die Sicherstellung, den Transport, die Lagerung und die Analyse mit ein.

Ein unabhängiger, sachverständiger Dritter muss in der Lage sein, die durchgeführten Schritte anhand der Dokumentation nachzuvollziehen und zum selben Ergebnis zu gelangen.

• Vorgehen: Die Methodik und die verwendeten Werkzeuge müssen klar benannt werden. Automatisierte Prozesse und standardisierte Vorgehensweisen (SOPs) helfen, dieses Ziel zu erreichen.

Die eingesetzte Hard- und Software muss für den forensischen Zweck geeignet und validiert sein.

• Vorgehen: Forensiker müssen die Funktionsweise ihrer Tools genau kennen und idealerweise auf Werkzeuge zurückgreifen, die in der Fachwelt etabliert und getestet sind. Eigene Skripte müssen ebenfalls sorgfältig dokumentiert und validiert werden.

Die Untersuchung darf nur von ausreichend qualifizierten Fachpersonen durchgeführt werden.

• Vorgehen: Der IT-Forensiker muss nicht nur technisches Wissen über Betriebssysteme, Dateisysteme und Netzwerke besitzen, sondern auch die rechtlichen und methodischen Anforderungen an eine forensische Untersuchung kennen und einhalten.

Forensische Modelle sind standardisierte Vorgehensweisen, die den Ablauf einer IT-forensischen Untersuchung in logische, wiederholbare Phasen gliedern. Sie dienen als Rahmenwerk, um sicherzustellen, dass digitale Beweismittel systematisch, vollständig und nachvollziehbar gesichert, analysiert und aufbereitet werden. Das übergeordnete Ziel ist stets die Gerichtsverwertbarkeit der Ergebnisse.

Das SAP Modell beschreibt die drei fundamentalen Kernphasen, die in praktisch jedem forensischen Modell enthalten sind:

• Secure (Sichern / Asservieren): Das Sichern der Beweismittel, ohne sie zu verändern.
• Analyse (Analysieren): Die Untersuchung der erstellten Kopie.
• Present (Präsentieren): Die Aufbereitung und Vorstellung der Ergebnisse in einem Gutachten.

Der Hauptzweck dieser Modelle ist es, Qualität, Integrität und Reproduzierbarkeit in einer Untersuchung zu garantieren. Ohne ein strukturiertes Modell besteht die Gefahr, dass Spuren übersehen, Beweismittel kontaminiert oder Schritte nicht nachvollziehbar dokumentiert werden. Sie stellen sicher, dass grundlegende Prinzipien wie die Chain of Custody (lückenlose Beweismittelkette) eingehalten werden.

Es gibt verschiedene Modelle, die sich in ihrer Detaillierung, aber nicht in ihren grundlegenden Zielen unterscheiden. Die Wichtigsten sind:

Das vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) definierte Modell ist besonders im deutschsprachigen Raum verbreitet. Es gliedert sich in fünf Phasen:

1. Strategische Vorbereitung: Planung und Bereitstellung von Ressourcen, bevor ein Vorfall geschieht.
2. Datensicherung: Identifizierung und bit-genaue Kopie relevanter Datenquellen (Imaging).
3. Analyse: Untersuchung der gesicherten Datenkopie auf Spuren.
4. Datenaufbereitung: Zusammenfassung und Dokumentation der Analyseergebnisse in einem verständlichen Bericht.
5. Abschluss: Lessons Learned und Verbesserung der Vorbereitung.

Das SANS Institute verwendet ein sechsstufiges Modell für die Reaktion auf Vorfälle (Incident Response), dessen Kern forensische Schritte umfasst:

1. Preparation (Vorbereitung): Vorbereitung des Teams und der Werkzeuge.
2. Identification (Identifizierung): Erkennen und Bewerten eines Sicherheitsvorfalls.
3. Containment (Eindämmung): Begrenzung des Schadens und Isolierung der betroffenen Systeme.
4. Eradication (Beseitigung): Entfernung der Ursache des Vorfalls (z.B. Malware).
5. Recovery (Wiederherstellung): Sichere Wiederinbetriebnahme der Systeme.
6. Lessons Learned (Auswertung): Analyse des Vorfalls, um zukünftige Vorfälle zu verhindern.

Die eigentliche forensische Untersuchung findet hier hauptsächlich in den Phasen Identifizierung und Eindämmung statt. ^{Quelle: https://www.cynet.com/incident-response/incident-response-sans-the-6-steps-in-depth/}

Das U.S. National Institute of Standards and Technology (NIST) schlägt in seiner Publikation SP 800-86 ein vierphasiges Modell vor:

1. Collection (Sammlung): Identifizierung, Kennzeichnung, Aufzeichnung und Sammlung der Daten aus allen relevanten Quellen unter Wahrung ihrer Integrität.
2. Examination (Untersuchung): Einsatz von automatisierten und manuellen Methoden zur Bewertung und Extrahierung relevanter Daten.
3. Analysis (Analyse): Interpretation der Untersuchungsergebnisse und Ziehen von Schlussfolgerungen.
4. Reporting (Berichterstattung): Erstellung des Abschlussberichts mit allen Funden.

Alle diese Modelle verfolgen das gleiche Ziel: einen chaotischen Sicherheitsvorfall in einen geordneten und wissenschaftlich fundierten Untersuchungsprozess zu überführen.

Der internationale Standard ISO/IEC 27037:2012 ist ein Leitfaden für den Umgang mit digitalen Beweismitteln. Er legt standardisierte und methodisch saubere Prozesse fest, um sicherzustellen, dass digitale Spuren von ihrer Entdeckung bis zur Übergabe an ein Analyselabor ihre Integrität und damit ihre Beweiskraft behalten.

Der Standard ist somit das weltweit anerkannte Fundament für die erste Phase der IT-Forensik und richtet sich an Ersthelfer (First Responder) und Spezialisten für die Beweismittelsammlung.

Der Standard definiert einen durchgehenden Prozess, der die Chain of Custody (Beweismittelkette) für digitale Spuren etabliert. Die Hauptphasen sind:

ISO/IEC 27037 schafft eine international einheitliche Vorgehensweise. Durch die Befolgung dieses Standards kann ein IT-Forensiker sicherstellen, dass die von ihm gesicherten Beweismittel auch in anderen Ländern und Rechtssystemen als vertrauenswürdig und gerichtsverwertbar eingestuft werden. Er ist die Grundlage für jede professionelle forensische Untersuchung.

In der IT-Forensik ist die Dokumentation kein optionaler Schritt, sondern ein integraler Bestandteil des Prozesses. Sie sichert die Nachvollziehbarkeit und Gerichtsverwertbarkeit der gesamten Untersuchung und gliedert sich in zwei wesentliche Teile.

Die prozessbegleitende Dokumentation ist das lückenlose Echtzeit-Protokoll aller durchgeführten Maßnahmen. Sie beginnt mit der Beauftragung und endet mit dem Abschluss der technischen Analyse. Sie ist das Rückgrat der Chain of Custody (Beweismittelkette).

Dieses Dokument ist hochtechnisch und dient primär dazu, dass ein anderer Sachverständiger die Untersuchung exakt nachvollziehen und die Ergebnisse reproduzieren kann.

• Zeitstempel: Jeder Schritt wird mit Datum und exakter Uhrzeit (synchronisierte Zeit!) protokolliert.
• Personen: Wer hat welche Maßnahme durchgeführt?
• Handlungen: Detaillierte Beschreibung jeder Aktion (z.B. „Hardware Write-Blocker an SATA-Port von Asservat 01 angeschlossen“).
• Werkzeuge: Eingesetzte Hard- und Software mit genauen Versionsnummern.
• Hashwerte: Dokumentation aller berechneten Hashwerte (Original vs. Image).
• Fotodokumentation: Fotos von Asservaten, Anschlüssen, dem Untersuchungsaufbau und relevanten Bildschirminhalten.
• Unerwartete Ereignisse: Jegliche Probleme, Fehler oder Abweichungen vom Standardvorgehen müssen vermerkt und begründet werden.

Analogie: Es ist das detaillierte Logbuch eines Kapitäns, das jede Kursänderung und jedes Ereignis auf See festhält.

Die abschließende Dokumentation ist das zusammenfassende Gutachten, das die Ergebnisse der Untersuchung präsentiert. Im Gegensatz zum Untersuchungsprotokoll richtet es sich an eine oft nicht-technische Zielgruppe wie Richter, Staatsanwälte, die Geschäftsführung oder Personalabteilungen.

Der Bericht muss objektiv, faktenbasiert und frei von Spekulationen sein. Er übersetzt die technischen Funde in eine verständliche Sprache und beantwortet die ursprünglichen forensischen Fragestellungen.

• Management Summary: Eine kurze, prägnante Zusammenfassung der wichtigsten Ergebnisse für Entscheidungsträger.
• Auftrag und Fragestellung: Worin bestand der Untersuchungsauftrag?
• Zusammenfassung der Ergebnisse: Die Antworten auf die gestellten Fragen in übersichtlicher Form.
• Detaillierte Darstellung: Beschreibung der Vorgehensweise und der relevanten Funde in verständlicher Form.
• Schlussfolgerung: Die aus den Fakten abgeleiteten Schlussfolgerungen. Wichtig: Es werden nur Feststellungen getroffen, die durch die digitalen Spuren belegt sind.
• Anhang: Enthält bei Bedarf technische Details, eine Liste der Beweismittel, Hash-Listen oder ein Glossar.

Analogie: Es ist der abschließende Polizeibericht, der die Ermittlungsergebnisse für die Staatsanwaltschaft zusammenfasst und nicht die Notizen jedes einzelnen Beamten während der Ermittlung.