Dies ist eine alte Version des Dokuments!
IT-Forensik ist die Anwendung wissenschaftlicher Methoden zur Untersuchung von IT-Systemen, um sicherheitsrelevante Vorfälle systematisch aufzuklären und den Tathergang objektiv zu rekonstruieren.
Das primäre Ziel ist die Identifizierung, Sicherung, Analyse und Aufbereitung digitaler Spuren auf eine Art und Weise, die gerichtsverwertbar ist. Jeder Schritt muss daher die Integrität der Beweismittel wahren.
~~TOC~~
1. Grundlagen: Prinzipien und Spuren
Bevor ein Prozess gestartet wird, müssen die fundamentalen Regeln und die Natur der „Tatwerkzeuge“ und „Spuren“ verstanden werden.
Fundamentale Grundsätze
Jede forensische Untersuchung unterliegt vier unumstößlichen Prinzipien, um die Qualität und rechtliche Anerkennung der Ergebnisse zu sichern:
1. Originalität nicht verändern: Das Original-Beweismittel wird niemals für die Analyse verwendet. Es wird eine bit-genaue Kopie (Image) erstellt, und nur diese wird untersucht.
2. Lückenlose Dokumentation: Jeder Schritt, vom Auffinden bis zum Abschlussbericht, muss detailliert protokolliert werden. Diese Chain of Custody (Beweismittelkette) stellt die Nachvollziehbarkeit sicher.
3. Wiederholbarkeit der Ergebnisse: Ein anderer qualifizierter Gutachter muss mit der Dokumentation und den gleichen Werkzeugen zum selben Ergebnis kommen können.
4. Qualifikation des Forensikers: Die Untersuchung erfordert tiefgehendes Fachwissen über die Methodik, die Werkzeuge und die rechtlichen Rahmenbedingungen.
Eigenschaften digitaler Spuren
Digitale Spuren haben einzigartige Merkmale, die das Vorgehen bestimmen:
Flüchtigkeit (Volatilität): Informationen können schnell verloren gehen (z.B. RAM-Inhalte bei einem Neustart).
Exakte Kopierbarkeit: Spuren können verlustfrei und bit-genau kopiert werden.
Nachweisbare Integrität: Kryptografische Hash-Verfahren (z.B. SHA-256) beweisen mathematisch, dass eine Kopie mit dem Original identisch ist.
Versteckbarkeit: Spuren können in für den Nutzer unsichtbaren Bereichen liegen (z.B. „gelöschte“ Dateien, Slack Space).
Menge und Komplexität: Die riesige Datenmenge erfordert spezialisierte Tools, um relevante Informationen zu finden.
Schwierige Zuordenbarkeit: Eine digitale Spur (z.B. IP-Adresse) lässt sich oft nur schwer einer realen Person zuordnen (Anonymisierungstechniken).
2. Der forensische Prozess: Modelle und Standards
Um die Grundsätze in der Praxis umzusetzen, folgen Forensiker standardisierten Prozessmodellen und internationalen Normen.
Forensische Prozessmodelle
Modelle gliedern eine komplexe Untersuchung in logische, handhabbare Phasen. Fast alle basieren auf dem fundamentalen Dreiklang Sichern → Analysieren → Präsentieren.
Gängige Modelle im Überblick
BSI-Modell (Bundesamt für Sicherheit in der Informationstechnik): Ein 5-Phasen-Modell, das im deutschen Raum als Standard gilt (Vorbereitung, Datensicherung, Analyse, Datenaufbereitung, Abschluss).
SANS-Modell (PICERL): Ein 6-Phasen-Modell aus dem Bereich Incident Response, das forensische Tätigkeiten in einen größeren Kontext der Vorfallsbewältigung einbettet.
Quelle: cynet.com
NIST-Modell (National Institute of Standards and Technology): Ein 4-Phasen-Modell, das sich auf die technischen Kernaktivitäten konzentriert (Collection, Examination, Analysis, Reporting).
ISO/IEC 27037: Der Standard für die Beweismittelsicherung
Dieser internationale Standard ist das weltweit anerkannte Fundament für den korrekten Umgang mit digitalen Beweismitteln in der ersten Phase einer Untersuchung. Er stellt sicher, dass Spuren von der Entdeckung bis zur Analyse ihre Integrität behalten.
| Phase nach ISO/IEC 27037 | Hauptziel | Wichtige Tätigkeiten |
|---|---|---|
| Identifizierung (Identification) | Potenzielle Beweismittel erkennen und priorisieren. | Klassifizierung von Spurenträgern, Bewertung der Flüchtigkeit. |
| Sammlung (Collection) | Physisches Einsammeln und Verpacken der Spurenträger. | Sichere, antistatische Verpackung, Versiegelung, Fotodokumentation. |
| Sicherung (Acquisition) | Erstellung einer bit-genauen 1:1-Kopie. | Einsatz von Write-Blockern, Erstellung eines Images, Verifizierung durch Hashwerte. |
| Aufbewahrung (Preservation) | Schutz der Beweismittel und Dokumentation des Verbleibs. | Sichere Lagerung, lückenlose Fortführung der Chain of Custody. |
Untersuchungszeitpunkte: Live vs. Post-Mortem
Die Art der Spuren bestimmt, wann die Untersuchung stattfinden muss.
| Merkmal | Live-Analyse | Post-Mortem-Analyse |
|---|---|---|
| Systemzustand | In Betrieb | Ausgeschaltet |
| Fokus | Flüchtige Daten (RAM, Netzwerkprozesse) | Persistente Daten (Festplatte, SSD) |
| Hauptziel | Schnelles Lagebild bei aktivem Angriff | Tiefgehende, wiederholbare Analyse |
| Risiko | Hohe Gefahr der Spurenveränderung | Geringe Gefahr (Analyse auf Kopie) |
Dokumentation: Das A und O der Forensik
Jede Untersuchung produziert zwei Arten von Dokumenten:
Prozessbegleitende Dokumentation (Untersuchungsprotokoll): Ein technisches Echtzeit-Protokoll für Experten, das jeden Klick und jedes Ergebnis festhält. Es ist das Rückgrat der Chain of Custody.
Abschließende Dokumentation (Forensischer Bericht): Ein verständliches Gutachten für Nicht-Techniker (Gericht, Management), das die Ergebnisse und Schlussfolgerungen objektiv darlegt.
3. Anwendungsfelder: Cybercrime und Malware
Die IT-Forensik wird meist im Kontext von Cyberkriminalität aktiv. Das Verständnis der Angriffsvektoren ist entscheidend für die Untersuchung.
Was ist Cybercrime?
Cybercrime sind Straftaten, die IT-Systeme entweder als Ziel (Hacking, DDoS) oder als Tatmittel (Online-Betrug, Datenhandel) nutzen. Die Motive sind meist finanzieller Gewinn, Spionage oder Sabotage.
Gängige Ausprägungen von Cybercrime
Social Engineering & Phishing: Manipulation von Menschen zur Preisgabe von Informationen.
Schadsoftware (Malware): Einsatz von Ransomware, Trojanern, Viren oder Würmern.
Denial-of-Service (DoS): Überlastung von Diensten, um deren Verfügbarkeit zu stören.
Identitätsdiebstahl: Missbrauch persönlicher Daten für kriminelle Zwecke.
Rechtlicher Rahmen in Deutschland
Cybercrime wird strafrechtlich verfolgt. Zentrale Tatbestände finden sich im Strafgesetzbuch (StGB), z.B.:
§ 202a: Ausspähen von Daten
§ 263a: Computerbetrug
§ 303b: Computersabotage
Analysefokus: 12 typische Malware-Arten
Hier eine Übersicht der häufigsten Malware-Typen, die Forensiker bei Untersuchungen finden.
1. Viren: Hängen sich an Dateien und benötigen Nutzerinteraktion zur Verbreitung.
2. Würmer: Verbreiten sich selbstständig über Netzwerk-Sicherheitslücken.
3. Ransomware: Verschlüsselt Daten und fordert Lösegeld.
4. Bots/Botnetze: Kapern Rechner für koordinierte Angriffe (z.B. DDoS).
5. Trojaner: Tarnen sich als nützliche Software, führen aber Schadcode aus.
6. Keylogger: Protokollieren Tastatureingaben, um Passwörter auszuspähen.
7. Rootkits: Verstecken sich tief im System, um Malware zu tarnen.
8. Spyware: Späht Nutzerverhalten und sensible Daten aus.
9. Dateilose Malware: Operiert nur im Arbeitsspeicher (RAM), um Virenscanner zu umgehen.
10. Krypto-Jacking: Missbraucht Systemressourcen zum Schürfen von Kryptowährung.
11. Wiper-Malware: Zerstört Daten unwiderruflich, ohne Lösegeldforderung.
12. Adware: Blendet unerwünschte Werbung ein, oft mit Spyware-Funktionen.
4. Praxis: Analyseobjekte und Schutzmaßnahmen
Forensische Datenarten
Forensiker suchen in spezifischen Datenkategorien nach Spuren:
Hardwaredaten: Eindeutige Identifikatoren von Geräten (Seriennummern, MAC-Adressen).
Rohdateninhalte: Bit-genauer Inhalt eines Speichers, inkl. „gelöschter“ Bereiche.
Konfigurationsdaten: Einstellungen von OS und Software (z.B. aus der Registry).
Kommunikationsprotokolle: Logdateien von Firewalls, Servern und Routern.
Prozessdaten: Flüchtige Informationen über laufende Programme im RAM.
Sitzungsdaten: An- und Abmeldezeiten, Nutzeraktivitäten während einer Session.
Anwenderdaten: Vom Nutzer erstellte Dateien (Dokumente, E-Mails, Browserverlauf).
Allgemeine Schutzmaßnahmen (Cyber-Hygiene)
Die beste Forensik ist die, die man nicht braucht. Eine solide Basis an Sicherheitsmaßnahmen ist die wichtigste Verteidigungslinie:
Regelmäßige Updates & Patch-Management: Sicherheitslücken zeitnah schließen.
Sicherheitssoftware: Eine Kombination aus Antiviren-Software (AV) und Firewall nutzen.
Starke Authentifizierung: Multi-Faktor-Authentifizierung (MFA) wo immer möglich durchsetzen.
Principle of Least Privilege (PoLP): Nutzern und Systemen nur die absolut nötigen Rechte geben.
Zero-Trust-Architektur: Keinem Gerät oder Nutzer pauschal vertrauen – jede Anfrage verifizieren.
Backups: Regelmäßige und getestete Datensicherungen (3-2-1-Regel).
Mitarbeiterschulung: Aufgeklärte Benutzer sind die beste Verteidigung gegen Social Engineering.
BSI-Quellen für die forensische Praxis
Das BSI stellt zentrale Leitfäden und Standards bereit, die als Referenz für die IT-Forensik in Deutschland dienen.
| Publikation | Relevanz für die IT-Forensik |
|---|---|
| Leitfaden IT-Forensik | Das Grundlagenwerk. Definiert den standardisierten Prozess für forensische Untersuchungen. |
| BSI-Standard 200-3 | Liefert den organisatorischen Rahmen für das Notfallmanagement, in das die Forensik eingebettet ist. |
| IT-Grundschutz (DER.2.1) | Beschreibt die operative Behandlung von Sicherheitsvorfällen und die Notwendigkeit der Spurensicherung. |
| Lage der IT-Sicherheit | Jährlicher Bericht über aktuelle Angriffsvektoren und Bedrohungen, wichtig für die Hypothesenbildung. |
| TR-03125 (TR-ESOR) | Definiert die Anforderungen für die beweiswerterhaltende Langzeitspeicherung digitaler Beweismittel. |