Jede forensische Untersuchung basiert auf einem unumstößlichen Fundament aus Prinzipien und Anforderungen, die die Integrität des gesamten Prozesses sicherstellen.

1. Sicherstellung der Integrität: Das Original-Beweismittel darf niemals verändert werden. Analysen finden ausschließlich auf bit-genauen Kopien (forensischen Images) statt, deren Identität durch kryptografische Hashwerte (z.B. SHA-256) nachgewiesen wird. Beim Zugriff auf Originale sind Write-Blocker zwingend.

2. Lückenlose Dokumentation (Chain of Custody): Jeder Schritt, von der Sicherstellung bis zur Analyse, muss minutiös protokolliert werden. Die Beweismittelkette muss jederzeit die Fragen Wer, was, wann, wo, wie und warum? beantworten können.

3. Nachvollziehbarkeit und Wiederholbarkeit: Ein unabhängiger Sachverständiger muss die Untersuchung anhand der Dokumentation nachvollziehen und zum selben Ergebnis gelangen können.

4. Einsatz von validierten Werkzeugen: Die verwendete Hard- und Software muss für den forensischen Zweck geeignet, getestet und validiert sein.

5. Qualifikation des Personals: Die Untersuchung darf nur von ausreichend qualifizierten Fachpersonen mit technischem und methodischem Wissen durchgeführt werden.

Der Standard ISO/IEC 27037:2012 ist der weltweit anerkannte Leitfaden für den Umgang mit digitalen Beweismitteln. Er definiert die Prozesse für die erste Phase der Forensik und richtet sich an Ersthelfer (First Responder). Sein Ziel ist es, die Integrität der Spuren von der Entdeckung bis zur Analyse zu gewährleisten.

Basierend auf den Grundprinzipien folgen forensische Untersuchungen etablierten Prozessmodellen und Methoden.

Forensische Modelle gliedern eine Untersuchung in logische und wiederholbare Phasen, um einen chaotischen Sicherheitsvorfall in einen geordneten Prozess zu überführen.

Die einfachste Darstellung des forensischen Ablaufs umfasst drei fundamentale Kernphasen, die in fast jedem Modell enthalten sind:

Sichern (Secure / Acquire): Das unveränderte Sichern der Beweismittel und Erstellen einer forensischen Kopie.

Analysieren (Analyze): Die technische Untersuchung der erstellten Kopie.

Präsentieren (Present): Die verständliche Aufbereitung und Vorstellung der Ergebnisse in einem Gutachten.

Es gibt verschiedene detaillierte Modelle, die diesen Kernprozess weiter ausführen. Die wichtigsten sind:

Das BSI-Modell: Vom deutschen Bundesamt für Sicherheit in der Informationstechnik definiert.

Strategische Vorbereitung

Datensicherung

Analyse

Datenaufbereitung

Abschluss (Lessons Learned)

Das SANS-Modell (PICERL): Ein sechsstufiges Modell für die Reaktion auf Vorfälle (Incident Response).

Preparation (Vorbereitung)

Identification (Identifizierung)

Containment (Eindämmung)

Eradication (Beseitigung)

Recovery (Wiederherstellung)

Lessons Learned (Auswertung) ^{Quelle: cynet.com}

Das NIST-Modell: Vom U.S. National Institute of Standards and Technology (SP 800-86).

Collection (Sammlung)

Examination (Untersuchung)

Analysis (Analyse)

Reporting (Berichterstattung)

Die Wahl der Methode hängt vom Zustand des Systems ab.

Jede Untersuchung wird durch gezielte Fragen geleitet (die „sieben goldenen W der Kriminalistik“):

Was ist passiert? (Rekonstruktion des Tathergangs)

Wer war der Täter? (Identifikation und Attribution)

Wann geschah es? (Zeitliche Analyse / Timeline)

Wo fand der Angriff statt? (Lokalisierung der betroffenen Systeme)

Wie wurde die Tat ausgeführt? (Methode und Werkzeuge)

Womit wurde die Tat verübt? (Identifikation der Mittel)

Warum geschah es? (Motiv und Ziel)

Digitale Spuren sind die „Fingerabdrücke“ und Beweisstücke der digitalen Welt. Ihre einzigartigen Eigenschaften bestimmen das Vorgehen der Forensik.

Flüchtigkeit (Volatilität): Informationen können leicht verändert oder zerstört werden (z.B. RAM-Inhalt bei Neustart).

Exakte Kopierbarkeit: Spuren können bit-identisch und verlustfrei kopiert werden.

Nachweisbare Integrität: Kryptografische Hashes (z.B. SHA-256) beweisen die Unversehrtheit einer Spur.

Versteckbarkeit & Wiederherstellbarkeit: Spuren können versteckt (Steganographie) oder aus „gelöschten“ Bereichen wiederhergestellt werden.

Enorme Menge & Komplexität: Die Spurensuche gleicht der Suche nach der „Nadel im Heuhaufen“.

Schwierige Zuordenbarkeit: Die Attribution einer digitalen Spur zu einer realen Person ist oft eine große Herausforderung (VPN, Tor etc.).

Um die Spurensuche zu strukturieren, werden Daten in Arten klassifiziert. Jede Art liefert spezifische Informationen:

Hardwaredaten: Physische Kennungen von Komponenten (Seriennummern, MAC-Adressen). Wichtig zur Identifizierung von Beweismitteln.

Rohdateninhalte (Raw Data): Der bit-genaue Inhalt eines Speichers. Ermöglicht die Wiederherstellung gelöschter Dateien.

Konfigurationsdaten: Einstellungen des Betriebssystems und der Software. Zeigt, wie ein System eingerichtet war und genutzt wurde (z.B. verbundene USB-Geräte).

Kommunikationsprotokolle: Logdateien über Netzwerkaktivitäten. Zeichnet nach, wer wann mit wem kommuniziert hat.

Prozessdaten: Informationen über laufende Programme im Arbeitsspeicher (RAM). Deck-t aktive Malware oder unautorisierte Prozesse auf.

Sitzungsdaten (Session Data): Informationen über Benutzeranmeldungen und -aktivitäten. Zeigt, wann sich ein Benutzer an- und abgemeldet hat.

Anwenderdaten: Vom Benutzer erstellte Dateien. Gibt direkten Einblick in die Handlungen des Nutzers (E-Mails, Dokumente, Browser-Verlauf).

IT-Forensik wird meist im Kontext von Cyberkriminalität eingesetzt.

Cybercrime bezeichnet Straftaten, die unter Ausnutzung von IT-Systemen begangen werden. Man unterscheidet:

Cybercrime im engeren Sinne: Angriffe, die sich gegen IT-Systeme richten (Hacking, Malware).

Cybercrime im weiteren Sinne: Nutzung von IT als Tatmittel für andere Delikte (Online-Betrug, illegaler Handel).

Social Engineering & Phishing: Manipulation von Menschen, um an Informationen zu gelangen.

Schadsoftware (Malware): Software, die entwickelt wurde, um Schaden anzurichten.

Denial-of-Service (DoS/DDoS): Überlastung von Diensten, um sie unerreichbar zu machen.

Identitätsdiebstahl: Missbrauch persönlicher Daten, um im Namen des Opfers zu handeln.

Eine der häufigsten Ursachen für forensische Untersuchungen ist ein Malware-Befall.

1. Viren: Heften sich an Dateien und benötigen eine Nutzeraktion zur Verbreitung.

Schutz: Verhaltensbasierte Antiviren-Software, Skript-Blocker.

2. Würmer: Verbreiten sich selbstständig über Netzwerke durch Sicherheitslücken.

Schutz: Zeitnahe Patches, Firewalls.

3. Ransomware: Verschlüsselt Daten und fordert Lösegeld.

Schutz: Regelmäßige Offline-Backups (3-2-1-Regel).

4. Bots / Botnetze: Übernehmen Rechner für koordinierte Angriffe (z.B. DDoS).

Schutz: Analyse des Netzwerkverkehrs, sichere IoT-Konfiguration.

5. Trojaner: Tarnen sich als nützliche Software, führen aber Schadfunktionen aus.

Schutz: Software nur aus vertrauenswürdigen Quellen, Anwendungs-Whitelisting.

6. Keylogger: Protokollieren Tastatureingaben, um Passwörter abzugreifen.

Schutz: Passwort-Manager, virtuelle Tastaturen.

7. Rootkits: Nisten sich tief im System ein, um sich zu verstecken.

Schutz: System-Integritätsprüfungen, Secure Boot.

8. Spyware: Späht Nutzeraktivitäten und Daten aus.

Schutz: Striktes Berechtigungsmanagement, Anti-Spyware-Tools.

9. Dateilose Malware: Operiert nur im Arbeitsspeicher (RAM) und nutzt System-Tools.

Schutz: Endpoint Detection and Response (EDR), PowerShell-Monitoring.

10. Krypto-Jacking: Nutzt fremde Systemressourcen zum Schürfen von Kryptowährungen.

Schutz: Browser-Erweiterungen gegen Miner, Ressourcen-Monitoring.

11. Wiper-Malware: Zerstört Daten unwiderruflich.

Schutz: Offline-Backups, Netzwerksegmentierung.

12. Adware: Blendet unerwünschte Werbung ein, die zu bösartigen Seiten führen kann.

Schutz: Ad-Blocker, Sorgfalt bei Installationen.

Regelmäßige Updates & Patch-Management

Sicherheitssoftware (AV, Firewall)

Starke Authentifizierung (MFA)

Prinzip der geringsten Rechte (PoLP)

Zero-Trust-Architektur

Mitarbeiterschulungen

Cybercrime wird in Deutschland strafrechtlich verfolgt. Relevante Paragrafen finden sich u.a. im Strafgesetzbuch (StGB):

§ 202a: Ausspähen von Daten

§ 263a: Computerbetrug

§ 303b: Computersabotage

Der Chaos Computer Club (CCC) leistet wichtige Aufklärungsarbeit, betont die Bedeutung mündiger Nutzer und warnt zugleich vor einer unverhältnismäßigen Ausweitung staatlicher Überwachung unter dem Vorwand der Cybercrime-Bekämpfung.

Die Dokumentation ist kein Nebenschauplatz, sondern ein Kernprodukt der forensischen Arbeit.

Das lückenlose Echtzeit-Protokoll aller Maßnahmen. Es ist hochtechnisch und sichert die Chain of Custody. Inhalte sind u.a. Zeitstempel, beteiligte Personen, verwendete Tools, Hashwerte und jegliche unvorhergesehene Ereignisse.

Analogie: Es ist das detaillierte Logbuch eines Kapitäns, das jede Kursänderung und jedes Ereignis auf See festhält.

Das zusammenfassende Gutachten für eine oft nicht-technische Zielgruppe (Gericht, Management). Es muss objektiv, faktenbasiert und verständlich sein.

Eine typische Gliederung umfasst:

Management Summary: Die Kernaussagen in Kürze.

Auftrag und Fragestellung: Was sollte untersucht werden?

Zusammenfassung der Ergebnisse: Die Antworten auf die Fragen.

Detaillierte Darstellung: Beschreibung der Vorgehensweise und Funde.

Schlussfolgerung: Was die Fakten belegen.

Anhang: Technische Details, Glossar etc.

Analogie: Es ist der abschließende Polizeibericht, der die Ermittlungsergebnisse für die Staatsanwaltschaft zusammenfasst – nicht die Notizen jedes einzelnen Beamten.