Auf digitaler Spurensuche
Live ist «King»
Schwieriger als eine Post-Mortem-Analyse wie das «File Carving» sind sogenannte Online- oder Live-Analysen. Bei dieser «Königsdisziplin» in der IT-Forensik wird das laufende System untersucht. Etwa bei der Untersuchung eines Malware-Angriffs muss der Computer eingeschaltet bleiben, um überhaupt Spuren zu sichern, da diese sich oft im flüchtigen Memory befinden und beim Ausschalten schlicht und einfach verschwinden würden.
Das grosse Problem bei der Live-Analyse ist, dass bei einer Untersuchung unweigerlich Datenspuren des Forensikers entstehen. «Schon beim Einloggen wird das System verändert», gibt Ellenberger zu bedenken. Hier muss also noch genauer die «Chain of Custody» respektiert werden. Die Fahnder müssen somit peinlich genau jeden einzelnen Schritt dokumentieren und beispielsweise aufzeigen, dass er zu dieser exakten Uhrzeit sich mit diesem Login und Passwort auf dem System angemeldet hat.
Ressourcen zur IT-Forensik
Wer sich enger und tiefer mit dem Thema IT-Forensik auseinandersetzen möchte, für den gibt es in deutscher Sprache folgende empfehlenswerte Ressourcen:
- Das deutsche Bundesamt für Sicherheit in der Informationstechnik hat einen «Leitfaden IT-Forensik» herausgegeben. Das umfangreiche PDF-Dokument erörtert auf über 350 Seiten ziemlich umfassend alle Aspekte der digitalen Forensik.
- Alexander Geschonneck, der als Partner bei der Wirtschaftprüfungsgesellschaft KPMG den Bereich Compliance & Forensic leitet, hat wohl das Standardwerk zum Thema verfasst. Das Buch «Computer-Forensik – Computerstraftaten erkennen, ermitteln, aufklären» ist bereits in der 6. Auflage im Dpunkt-Verlag erschienen (ISBN 978-3-86490-133-2). Das fast 400-seitige Werk beleuchtet in sehr praktischer Form alle Aspekte der Digitalen Forensik und ist auch in elektronischer Form als Epub- und PDF-Datei erhältlich.
- Auf den beiden Webseiten «www.computer-forensik.org» und «geschonneck.com» von Buchautor Alexander Geschonneck findet sich weiteres Material, so eine ausführliche Tool-Liste sowie eine Incident-Checkliste, das Muster eines Beweiszettels und Testimages zum Üben.
In diesem Zusammenhang rät der Oneconsult-COO als präventive Massnahme zu einem Zeitabgleich. Denn die Uhren gehen in komplexen IT-Umgebungen oft «anders». So kann sich die Systemzeit eines Servers in der Schweiz um ein paar Sekunden von jener des benutzten Laptops in entfernten Landen unterscheiden, da diese z.B. unterschiedliche Zeitserver verwenden, welche sich nicht synchronisieren. «Es kann manchmal recht aufwändig sein, diese unterschiedlichen Zeiten zu erfassen und zu korrelieren», meint er.
Eine Live-Analyse ist im Allgemeinen nicht nur ratsam, um aktuelle Spuren zu sichern. Sie kann sich auch dazu anbieten, einem Täter auf die Schliche zu kommen. Wird das System nämlich ausgeschaltet, merkt der Angreifer in der Regel, dass seine Attacke aufgefallen ist. Lässt man ihn dagegen weiter gewähren, kann man ein Täterprofil erstellen. So lässt sich beispielsweise feststellen, ob jemand einfach alle Daten, die ihm in die Hände fallen, sammelt, um diese im Darknet zu verkaufen, oder ob er es auf spezifische Informationen wie etwa Rezepturen und Pläne abgesehen hat. Dann könnte es sich nämlich um Wirtschaftsspionage handeln, und es steckt vielleicht ein Mitbewerber hinter dem Angriff. Gerade im zweitgenannten Fall ist es sogar dann vielleicht möglich, dem Täter wie im echten Krimi mit Hilfe eines Lockvogels eine Falle zu stellen.