Auf digitaler Spurensuche
Anti-Forensiker vs. Forensiker
Es gelingt den Angreifern nicht nur zunehmend ein kleines Profil zu wahren und lange unerkannt zu bleiben. Sie greifen etwa auch Forensik-Software an, um die Daten dort zu manipulieren, oder sie entwickeln Verfahren und Methoden, die eine forensische Untersuchung entweder behindern, verunmöglichen oder deren Resultate bewusst fälschen.
Solche Anti-Forensik-Massnahmen haben es beispielsweise darauf abgesehen, die benutzte Forensik-Software zu überfordern. Die Tools sind ja so angelegt, dass sie Untersuchungen sehr genau ausführen, um auch alle Spuren zu sichern. Füttert man eine solche Software mit einer Zip-Datei, die entpackt Terabytes an Files produziert, oder gleich mehrere solche Files, kann das Forensik-Tool Tage wenn nicht Wochen mit der Auswertung beschäftigt sein. Dies verhindert zwar die Untersuchung nicht, kann sie aber massgeblich verzögern. Da auch IT-Forensiker unter Zeitdruck stehen, kann dies verheerend sein.
Daneben haben auch Forensik-Tools Schwachstellen und Softwarefehler, die ausgenutzt werden können, um falsche Spuren zu legen, die dann den Anwender verwirren können.
Einige der zur Anti-Forensik verwendeten Verfahren nutzen schliesslich Werkzeuge, die Teil des Betriebssystems des betroffenen Geräts sind und deshalb vom Angreifer verändert werden können. Ellenberger rät daher IT-Forensikern dazu, eigene geprüfte und mittels Hash-Verfahren verifizierte Tools mitzuführen, statt sich auf die vorhandenen Werkzeuge auf einem möglicherweise infizierten Computer zu verlassen.