IT-Forensik (engl. forensics oder forensic science) ist ein Spezialgebiet im Bereich der IT Security.

Die Computer-Forensik gehört zum Fachbereich der Forensik, also zur Untersuchung von kriminellen Handlungen.

Inhalt

Kriminelle Aktionen beziehen immer öfter Computer und Handys ein, um Betrug, Diebstahl, Verleumdung oder Erpressung herbeizuführen. Die dadurch entstandenen illegalen Handlungen hinterlassen digitale Spuren auf den Datenträgern und im flüchtigen Speicher. Diese können forensisch analysiert werden, um die typischen W-Fragen (was, wann, wo, womit und wer) zu beantworten. Mit den Beweisen können disziplinarische Maßnahmen eingeleitet oder Anklage bei Gericht erhoben werden.

Weitere Bezeichnungen für IT-Forensik: Computerforensik, Cyberforensik und Digitale Forensik

Die Stufen der Forensik sind die Identifikation eines Sicherheitsvorfalls, die auch oft durch das Incident Handling Team ausgeführt wird, Datensicherung der Medien und Analyse der forensischen Kopien.

Computerforensik vs. Security Incident Handling

Die Computerforensik unterscheidet sich vom Security Incident Handling (Sicherheits-Vorfallbehandung) dadurch, dass Incident Handling im Vorfeld entscheidet, ob überhaupt ein Sicherheitsvorfall eingetreten ist. Incident Handler sind die ersten Personen am vermuteten Tatschauplatz. Sie prüfen die Sachverhalte, untersuchen die Computersysteme und bestimmen ob der Vorfall nicht auch durch übliche Nutzung aufgetreten sein könnte. Die Teilung von Forensik und Security Incident Handling wird vor allem bei Großunternehmen praktiziert. Forensiker übernehmen oft auch das Security Incident Handling.

Eine Entscheidung, die in dieser Phase getroffen werden muss, ist, ob ein System zum Schutz (auch für andere Systeme) abgeschaltet werden muss. Die Alternative ist, es weiter zu betreiben, um weitere Erkenntnisse aus dem lebenden System zu gewinnen. Dies Frage ist im Idealfall schon zuvor vom Management in einem schriftlichen Dokument beantwortet worden. Ist ein Sicherheitsvorfall eingetreten, verhindert die stattfindende Diskussion darüber sonst oft ein effizientes und schnelles reagieren auf den Vorfall.

Der IT-Forensiker kommt meist später zum Einsatz, wenn schon handfeste Beweise für kriminelle Handlung vorliegen.

Eine einwandfreie forensische Methode

Jede Interaktion mit einem Objekt verändert dieses und Spuren bleiben zurück. So auch im digitalen Bereich. Das Ziel der Computerforensik ist, so wenig Spuren wie möglich bei der Sicherung/Analyse zu zerstören und auch so wenig Spuren wie möglich bei der Analyse zu erzeugen. Keine Spuren zu hinterlassen, ist oft nicht möglich, gerade dann, wenn das Computersystem noch aktiv ist. Dann wird jede Interaktion mit dem Computer diesen verändern.

Flüchtigkeit der Daten und Beweise

Beweise können im Arbeitsspeicher, in freigegebenen Bereichen auf der Festplatte (= Sektoren), wenn eine Datei gelöscht wurde, in gespeicherten Daten oder auf Backup-Medien existieren. Die Halbwertszeit der Daten bedeutet, dass je länger die Zeit vergeht, desto mehr Daten/Beweise von dem flüchtigen Bereich verloren gehen. Dies leuchtet ein, denn Daten im Arbeitsspeicher gehen schneller verloren als Daten, die auf einer Festplatte gespeichert sind. Ebenso werden Daten in gelöschten Dateien vom Betriebssystem vermehrt überschrieben, je weiter zurück der Zeitpunkt der Löschung liegt. Das Betriebssystem schafft Platz für neue Dateien, indem freigegebene Bereiche auf der Festplatte wieder verwendet werden. Daten im Backup bleiben vermutlich länger erhalten als Daten auf einem Speichermedium.

Nun gilt es in der IT-Forensik, zuerst die flüchtigeren Beweise zu sichern, danach die weniger flüchtigen, um die Chance für die Spuren auf ein Maximum zu erhöhen.

Analyse von lebenden Systemen, Live-Box Analyse (live box analysis)

Unter der Analyse von lebenden Systemen versteht man, dass die Computer – die es zu analysieren gilt – noch nicht ausgeschaltet wurden. Die Spuren von verdächtigen Aktionen sind vermutlich noch im Arbeitsspeicher vorhanden, wenn die Zeit nicht zu lange zurück liegt.

Analyse von toten Systemen, Dead-Box Analyse (dead box analysis)

Oft kommt es auch vor, dass ein System nur mehr in einem abgeschalteten Zustand vorhanden ist. Dann spricht man von einer Dead-Box Analyse. Die flüchtigen Daten aus dem Arbeitsspeicher sind für die forensische Analyse verloren.

Was tun, wenn ein Verdacht auf eine kriminelle Handlung besteht?

Ziehen Sie möglichst früh einen IT-Forensiker hinzu.

Sehr oft ist es entscheidend, dass die Expertise und eine forensische Datensicherung so früh wie möglich stattfinden. Je länger zugewartet wird, desto mehr Spuren gehen verloren und desto schwieriger ist es, Sachverhalte zu beweisen.

Einflussfaktoren auf die IT-Forensik

Ein Beispiel: Ein Zugriff auf einen fremden Computer kann unter Umständen nach drei Monaten oder länger noch belegt werden. Hier beeinflussen verschiedene Faktoren die Computerforensik:

• Wie viel Speicherplatz ist am Datenspeicher belegt? Je höher die Zahl der freien Bereiche, desto später muss ein Betriebssystem bereits gelöschte Bereiche wieder verwenden.
• Wie lange liegt der Vorfall zurück? Je länger desto ungünstiger.
• Welche Funktion hatte der Computer? Z.B. sind bei einem reinen Webserver weniger Sicherheitsupdates zu installieren als bei einem Desktop-Computer. Dadurch werden weniger Daten am Server aktualisiert und bleiben Spuren am System eher erhalten.

Teilbereiche der IT-Forensik

Filesystem Analysis (Disk-Forensik)

Bei der Filesystem-Analyse liegt ein forensisches Abbild der Datenträger vor bzw. wird das Image vom Forensiker erstellt. Dieses gilt es, zu analysieren. Hier wird speziell auf die Besonderheiten im Dateisystem eingegangen. Zum Beispiel hat NTFS (Windows) die Metadaten der Dateien anders organisiert als z.B. ext4 (Linux) oder HFS+ (Mac OS). Ebenso gelten z.B. systemspezifische Unterschiede, um auf bereits gelöschte Dateien und Ordner zuzugreifen.

In der Geschichte der IT-Forensik ist die Disk-Forensik das Vorgehen, das schon in frühester Computerzeit angewandt wurde. Beim regulären Herunterfahren eines Computers werden zig Dateien angefasst, Einstellungen gespeichert und temporäre Daten gelöscht. Um dem vorzubeugen, war es lange State-of-the-Art, den Stecker zu ziehen. Das System wird so hart vom Stromnetz genommen (hard power off).

Memory Analysis (Speicheranalyse)

In der Vergangenheit hat man erkannt, dass viel Information verloren geht, wenn nur der Datenträger – und nicht der Arbeitsspeicher – forensisch analysiert wird. Mittlerweile gibt es eine immer größer werdende Zahl von Malware, die sich gar nicht auf dem System permanent einnistet, sondern nur im Speicher aktiv ist.

Damit ein Schadcode seine Wirkung entfaltet, muss er im Arbeitsspeicher geladen und aktiv sein. Somit hinterlässt er zwingend Spuren und das ist die Chance, den Schädling zu entdecken.

Gegenüber der Disk-Forensik ist die Speicheranalyse relativ jung. Als Start dieser forensischen Entwicklung kann man die Veranstaltung des Digital Forensic Research Workshops über Analyse eines Arbeitsspeichers in 2005 ansehen.

Bei Windows gibt es weitere Möglichkeiten, auch bei einem ausgeschalteten Computer auf den Arbeitsspeicher oder Teile davon zuzugreifen. Zum einen ist dies die Auslagerungsdatei (ausgelagerte Prozesse aus dem Arbeitsspeicher) und zum anderen die Datei für die Bereitschaft/Energiesparmodus (hibernate), die auch ein Abbild des Speichers enthält.

Handy-Forensik

Smartphones sind mittlerweile hoch leistungsfähige Computer, mit denen man auch telefonieren kann. Diese Minicomputer werden immer mehr für kriminelle Aktionen verwendet. Es besteht daher immer häufiger die Notwendigkeit, Smartphones forensisch zu analysieren. iOS und Android sind hier die häufigsten Betriebssysteme.

Häufige Fragen sind hierbei z.B.: Wurde eine SMS vom Gerät aus gesendet? Was sind die SMS, die gelöscht wurden? Welche Nachrichten wurden mit Apps versandt? Hatte sich das Handy in ein bestimmtes Netz eingewählt.

Registry-Forensik

Die Windows Registry ist eine Art von Datenbank, in der verschiedenste Konfigurationen und Einstellungen in diversen Einträgen in Schlüsseln (engl. keys) gespeichert werden.

Die Hauptschlüssel sind: HKEY_CLASSES_ROOT, HKEY_CURRENT_USER, HKEY_LOCAL_MACHINE, HKEY_USERS und HKEY_CURRENT_CONFIG. Diese Schlüssel sind im Dateisystem in unterschiedlichen Dateien gespeichert. Dies ändert sich mit der Version von Windows, die im Einsatz ist. Zum Beispiel  unter Windows 10 befinden sich die Dateien der Registry unter %systemroot%\System32\config\ bzw. %systemdrive%\Users\%username%\NTUSER.DAT .

Bestehen Fragen zu Aktionen von einem Benutzer, gibt besonders die Registry-Datei NTUSER.DAT in dem jeweiligen User-Verzeichnis Aufschluss, welche Aktivitäten der User am Computer gesetzt hat.

Als konkretes Beispiel sei hier der Registry-Schlüssel UserAssist erwähnt. Unterhalb dieses Schlüssels speichert Windows ab, welche Programme über den Explorer, Favoriten oder das Startmenü geöffnet wurden und welche weiteren Aktionen der Anwender gesetzt hat. Diese Einträge werden von Windows benutzt, um u.a. die Listen für die zuletzt benutzten Programme erstellen zu können.

Es werden das Datum der letzten Verwendung und die Anzahl der Programmaufrufe insgesamt protokolliert.

Diese Einträge werden standardmäßig verschlüsselt gespeichert und sind deshalb nicht direkt lesbar. Für die Verschlüsselung benutzt Windows die „Caesar-Verschlüsselung“. Dabei handelt es sich um eine einfache Text-Rotation, wo jeder Buchstabe einfach um eine bestimmte Anzahl Stellen nach links verschoben wird. Windows verschiebt die Buchstaben um 13 Stellen, dies bezeichnet man auch als ROT13-„Verschlüsselung“.

Netzwerk-Forensik

Ist ein Angreifer im Netzwerk unterwegs, hinterlässt er auch auf Netzwerkebene Spuren, die forensisch analysiert werden können. Gibt es in dem Netzwerk neben Firewall, Intrusion-Detection-System, Intrusion-Prevention-System auch Geräte, mit denen eine Leistungsüberwachung und Diagnose durchgeführt werden kann (Stichwort: Network Performance Monitoring and Diagnostics, NPMD), können die so aufgezeichneten Informationen ausgewertet werden. Hier sind die Bandbreite und der Leistungsumfang von Geräten, die dies anbieten, enorm und reichen von Open Source Software bis zur teuren Security Information Event Management Solution (SIEM).

Forensische Sicherung von Speichermedien

Für eine forensische Datensicherung/Festplattenkopie ist es wichtig, das gesamte Speichermedium inkl. der nicht belegten Bereiche zu kopieren. Grund: In nicht belegten Bereichen des Speichermediums finden sich oft noch gelöschte Dateien, die rekonstruiert werden können. Diese sind meist hoch interessant für die Schlussfolgerung.

Ein forensisches Backup genügt folgenden Bedingungen:

• Keine Änderung der Daten auf dem Speichermedium (nur lesbar einbinden)
• Es gibt eine Prüfsumme, die die Unversehrtheit und die exakte Kopie bestätigt

Prüfsumme, Hashwert

Eine Prüfsumme, wie MD5, SHA1, SHA256, ist eine mathematische Einwegfunktion und wird auch als Hashwert bezeichnet. Die Prüfsumme kann von einer Datei, einer Festplatte oder einem Speichermedium errechnet werden.

Durch diese Einwegfunktionen kann sicher gestellt werden, dass Dateien mit der gleichen Prüfsumme identisch sind. Ändert sich auch nur ein Zeichen in der Datei, ist die Prüfsumme unterschiedlich. Damit können z.B. Manipulationen an einer Datei erkannt oder die Unversehrtheit bestätigt werden.

MD5- und SHA1-Prüfsummen werden mittlerweile immer weniger verwendet, da es erfolgreiche Angriffe der Kryptoanlayse auf MD5 und SHA1 gibt. D.h. es sind Kollisionen herbeiführbar: Unter Umständen haben zwei konstruierte Texte dieselbe Prüfsumme.

Zeitleiste (Timeline)

Eine Zeitleiste ist sehr hilfreich, um Vorfällen und Dateizugriffe zeitlich einzuordnen. In dem Windows-Dateisystem NTFS hat eine Datei vier Zeitstempel, in ext2, ext3, ext4 existieren nur drei Zeitstempel.

Die Zeitstempel sind:

Es kann nun eine Liste der Dateien erzeugt werden, die nach den letzten Zugriffen (MAC[B]) von diesen Zeitstempeln sortiert werden.

Wichtig ist hervorzuheben, dass nicht alle Zugriffe sondern nur die letzten Zugriffe gespeichert werden, da ja nur vier/drei Zeitstempel möglich sind. Wenn die Zeitstempel von „Datei geändert“, „Datei gelesen“ und „Metadaten geändert“ unterschiedlich sind, kann eine Datei in einer Zeitleiste maximal dreimal aufscheinen.

Besonderheiten von Windows in der forensischen Zeitleiste

NTFS besitzt zusätzlich eine „born time“ im Gegensatz zu ext3 und ext4, somit sind es insgesamt acht Zeitstempel, vier in der Verwaltungsinformation $STDINFO und vier in $FILENAME. Die Zeitleiste wird üblicherweise aus den $STDINFO-Informationen erstellt.

Seit Windows 7 gibt es eine Einschränkung beim lesenden Zugriff. Immer wenn eine Datei nur gelesen wird, wird aus Performance-Gründen der Zeitstempel lesender Zugriff nicht mehr neu gesetzt.

Abgrenzung zu anderen Bereichen der Forensik

Im Gegensatz zur IT-Forensik gibt es den Sammelbegriff Forensik, in dem wissenschaftliche und technische Bereiche zusammengefasst werden.

Ein häufiger Begriff abseits der Computerforensik ist die Forensische Psychiatrie. Diese umfasst die Untersuchung und Behandlung psychisch kranker Menschen, die kriminell wurden. Sie steht im Gegensatz zur IT-Security, in der kriminelle Handlungen auf digitalen Speichern untersucht werden.

Die Forensische Psychiatrie wird bestimmt durch die grundlegende Aufgabe, das psychisch Abnorme, das charakteristisch Psychopathologische am Gegenstand des rechtlich zu ahndenden sozialen Verhaltens dem Juristen, aber auch der Öffentlichkeit zu verdeutlichen und in seinen Auswirkungen auf Einstellungen, Denkmuster und Handlungen zu beschreiben. Der psychisch gestörte, zumindest psychisch auffällige Straftäter steht also im Zentrum der Forensischen Psychiatrie.

Kröber/Dölling/Leygraf/Sass, Handbuch der Forensischen Psychiatrie, Bd. 2, Springer Verlag

Und:

Die rechtliche Behandlung des psychisch kranken und abnormen Menschen, vor allem im Strafrecht, aber auch im Bürgerlichen Recht, im Eherecht und bei der Unterbringung psychiatrisch Kranker, ist Thema der forensischen (gerichtlichen) Psychiatrie.

Gerd Huber, Psychiatrie, Schattauer Verlagsgesellschaft

Die Forensik ist ein Bereich der Justizanstalt in der psychisch kranke Kriminelle untergebracht und medizinisch versorgt werden.

Wieder ein komplett anderer Bereich ist die Wirtschaftsforensik. Hier geht es um die Untersuchung von kriminellen Aktionen rund um betriebswirtschaftliche Vorgänge. Wirtschaftskriminalität ist leider weit verbreitet. So zum Beispiel, wenn Topmanager Gelder aus der Firmenkasse abzweigen oder Management und Mitarbeiter die Abgaswerte von KFZ-Motoren manipulieren. Die Zusammenarbeit mit Wirtschaftsprüfern ist in diesem Bereich wichtig.

Weitere Informationen

• IT-Forensik – Was ist passiert und wer hat’s getan?
• Computerbetrug | Schadsoftware aufspüren
• Forensics Wiki, a Creative Commons-licensed wiki
• MD5 conversion and reverse lookup