Blog Post

Grundlagen der digitalen Forensik: Erfolgreiche Beweissicherung

Digitale Beweissicherung

In der digitalen Forensik wird das SAP-Modell als Standardverfahren für den Umgang mit datenbezogenen Straftaten angesehen. Im ersten Schritt – „Sichern“ (Secure) – werden Beweise gesichert. Im zweiten Schritt – „Analyse“ (Analyze) – folgt die Analyse der gesicherten und verarbeiteten Daten. Im letzten Schritt – „Präsentieren“ (Present) – werden die Ergebnisse präsentiert, Zusammenhänge ermittelt und Schlussfolgerungen gezogen.

Die digitale Beweissicherung lässt sich in viele verschiedene Teilbereiche aufgliedern:

  • Forensische Datensicherung
  • Betriebssystem-Forensik
  • Hardware-Forensik
  • Mobilgeräte-Forensik
  • Anwendungs-Forensik
  • Netzwerk-Forensik
  • Cloud-Forensik
  • Web-Forensik
  • Multimedia-Forensik
  • Software-Forensik (Code-Analyse)
  • Wearables-Forensik
  • Car-/EV-Forensik

Forensische Datensicherung

Im Zusammenhang mit der digitalen Beweissicherung umfasst dieser Bereich die Erstellung von Kopien aller relevanten Speichermedien. Darüber hinaus besteht die Aufgabe des Experten für forensische Datensicherung darin, Bereiche mit versteckten Daten zu finden und gelöschte Daten wiederherzustellen. Downloads aus dem Datenspeicher (Datenlecks) sind zu dokumentieren.

Betriebssystem-Forensik

Dieser Bereich beinhaltet die Sicherung von Beweisen aus den Betriebssystemen der untersuchten Geräte durch Erfassung von System-, Nutzer- und Anwendungsdaten:

  • System: Version, Hardware, Installationsdatum, Konfiguration, Log-Dateien usw.
  • Nutzer: Welcher Nutzer wurde wann angelegt, Logins, Rechte usw.
  • Anwendungen: Welche Anwendungen wurden wann installiert, deinstallierte Anwendungen usw.

Hardware-Forensik

Die Hardware-Forensik befasst sich mit von den Geräten generierten Daten und ist bei der digitalen Forensik von Interesse, da:

  • Geräte durch das Internet of Things (IoT) und Smart Homes eine immer wichtigere Rolle bei der elektronischen Beweissicherung spielen.
  • Daneben können auch Daten von einfachen Geräten wie Druckern, Faxgeräten oder Netzwerkspeichern (Network Attached Storage – NAS) wichtig sein.

Mobilgeräte-Forensik

Auch mobile Geräte wie Smartphones, Tablets, Navigationssysteme oder eBook-Reader können der digitalen Forensik Informationen zum untersuchten Sachverhalt liefern. Auf diesen Geräten sind unter anderem folgende Daten gespeichert:

  • Standortdaten: Ortungssysteme (Geotracking), Funkzellen usw.
  • Kommunikationsdaten: E-Mails, SMS, MMS, Chats, Anrufe usw.
  • Sonstige Nutzungsdaten: Apps, Browserverlauf mit Cookies und Suchbegriffen, verwendete Netzwerke, Kontaktdaten (Adressen, Telefonnummern), Kalender, digitale Notizen usw.

Anwendungs-Forensik

Werden für die Untersuchung relevante Anwendungen identifiziert, erfolgt im Rahmen der digitalen Forensik eine eingehendere Untersuchung der entsprechenden mit dem Sachverhalt in Zusammenhang stehenden Daten. Bei proprietären Datenformaten ist es unter Umständen nicht möglich, alle Daten richtig zu interpretieren. In jedem Fall werden jedoch:

  • die von der Anwendung generierten Daten gesichert;
  • Belege dafür gesammelt, wie die Anwendung genutzt wurde;
  • Informationen zu Installationszeitpunkt, Version, Patches und installierten Updates dokumentiert.

Netzwerk-Forensik

Die Kommunikation zwischen Menschen, Anwendungen und Systemen läuft über Netzwerke. Die entsprechenden Kommunikationsdaten werden als Beweise im Teilbereich Netzwerk-Forensik der digitalen Forensik gesichert. Zu den wichtigen Aspekten in diesem Bereich zählen:

  • Quell- und Zielnetzwerk;
  • Netzwerkdienste;
  • Spuren von verwendeten Protokollen wie HTTP und DNS;
  • Zeitsequenzen aus Log-Dateien.

Cloud-Forensik

Im Bereich der Cloud-Forensik müssen Experten der digitalen Forensik ermitteln, auf welchem System die Cloud basiert und wer Zugriff darauf hat. Es müssen Schnittstellen dokumentiert sowie Anwendungs-, Nutzer- und Systemdaten gesammelt werden.

Web-Forensik

Ein weiteres Spezialgebiet der digitalen Forensik ist die Web-Forensik. Der Schwerpunkt liegt hier auf Web-Anwendungen, also Anwendungen, auf die über den Browser zugegriffen werden kann. Folgende Daten sind für die digitale Beweissicherung von wesentlicher Bedeutung:

  • Browserspuren und Browsereinstellungen;
  • von der Anwendung generierte Daten auf dem Webserver und in der Datenbank;
  • auf das Endgerät exportierte Daten.

Multimedia-Forensik

Und schließlich ist noch die Multimedia-Forensik als wichtiger Teilbereich der digitalen Forensik zu nennen:

  • Bild-, Audio- und Videodateien werden gesichert und auf Echtheit geprüft.
  • Es wird ermittelt, ob verschiedene Medien für verdeckte Kommunikation genutzt wurden oder vertrauliche Informationen enthalten.
  • Es wird geprüft, welche Metadaten – z. B. Geräteinformationen, Zeitpunkt und Ort der Erstellung – in den Medien enthalten sind.

Welche Daten können als Beweise in der digitalen Forensik herangezogen werden?

Zum einen kann die digitale Forensik bei der Aufklärung schwerer Straftaten helfen. So können Forensiker anhand der auf einem Smartphone gespeicherten GPS-Daten ermitteln, wo sich eine Person zum Zeitpunkt der Straftat aufhielt. Zum anderen kann die digitale Forensik auch bei der Untersuchung datenbezogener Straftaten zum Einsatz kommen. In beiden Bereichen lassen sich zusätzliche Beweise sichern.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterscheidet acht verschiedene Datenarten, die als Beweise herangezogen werden können:

  • Hardwaredaten: Daten, die nicht oder nur eingeschränkt durch Komponenten des Betriebssystems und Anwendungen verändert werden können, wie Seriennummer, Opcode, RTC-Zeit und Virtualisierungsdaten.
  • Rohdateninhalte: Noch nicht näher klassifizierte Datenströme, z. B. Netzwerkpakete oder das Abbild eines Datenträgers. Rohdaten können Daten aus den Datenarten drei bis acht enthalten.
  • Details über Daten: Metadaten wie die Signatur einer Bilddatei oder die Sequenznummer eines Netzwerkpakets.
  • Konfigurationsdaten: Durch das Betriebssystem bzw. Anwendungen veränderbare Daten, die das Systemverhalten verändern.
  • Kommunikationsprotokolldaten: Daten, die das Kommunikationsverhalten von Systemen untereinander kontrollieren. Dies beinhaltet neben den Netzwerkkonfigurationsdaten auch die Inter-Prozess-Kommunikation.
  • Prozessdaten: Alle Daten über einen laufenden Prozess, wie z. B. der Prozessstatus, der Prozesseigentümer, die Priorität, die Speichernutzung, die Startzeit oder die zugehörige Anwendung.
  • Sitzungsdaten: Daten, die durch ein System während einer Sitzung gesammelt werden, die von einer Person, einer Anwendung oder dem Betriebssystem initiiert wurde (z. B. Daten zu geöffneten Webseiten und Dokumenten).
  • Anwenderdaten: Vom Nutzer konsumierte oder bearbeitete Inhalte, vorwiegend Multimedia-Daten wie Bilder, Videos, Texte, Audiodaten.

Digitalforensiker können Vorarbeiten leisten, um zu gewährleisten, dass die Sicherung dieser Beweisdaten im Notfall rasch und reibungslos vonstatten geht.

Das Fundament für eine schnelle Beweissicherung in der digitalen Forensik

Bei der Vorbereitung auf eine Untersuchung müssen die Teams einen Reaktions- und Aktionsplan ausarbeiten, der festlegt, wie das Unternehmen bei Eintritt eines bedeutenden Vorfalls vorgehen soll. Wenn jeder seine Aufgaben und Zuständigkeiten kennt, wird der Prozess schneller vonstatten gehen, werden weniger Fehler gemacht und besteht ein geringeres Risiko, dass Schritte vergessen werden.

Teil eines solchen Plans ist, dass die Teams sich mit den IT-Strukturen des Unternehmens vertraut machen. Wie leicht lassen sich Daten sammeln, sichern und verarbeiten? Eine homogene Systemlandschaft lässt sich oft leichter verwalten. Bei fünf Servern mit denselben Einstellungen und Betriebssystemen ist ein und dieselbe Vorgehensweise in der digitalen Forensik möglich. Einen größeren Zeitaufwand erfordert es hingegen, wenn ein Unternehmen über fünf verschiedene Server verfügt, die zum Teil auch noch veraltet sind.

Mithilfe verschiedener Programme können zudem tägliche Backups erstellt und Daten täglich aufbereitet werden. Eine Firewall bietet gleichzeitig Schutz und dokumentiert den Netzwerkverkehr. Mit einem Angriffserkennungssystem (Intrusion Detection System – IDS) können Unregelmäßigkeiten innerhalb eines Netzwerks erkannt werden, während ein Intrusion Prevention System (IPS) versucht, Eindringversuche abzuwehren. Will man die Web-Forensik erleichtern, lassen sich mit einer Web Application Firewall (WAF) Beweise sammeln. Für jeden der vorstehend beschriebenen Teilbereiche der digitalen Forensik gibt es ein Produkt, das die digitale Beweissicherung ermöglicht. Das SANS Institute verfügt über eine Workstation mit Open-Source-Tools für die digitale Forensik.

Daten als Beweismaterial in Strafverfahren

Die Sicherung von Beweisen ist der erste Schritt in der digitalen Forensik. Es werden verschiedenen Bereichen unterschieden, die je nach Fall untersucht werden müssen.

Um den Prozess der Datensicherung zu vereinfachen, sollten Sie die IT-Strukturen Ihres Unternehmens entsprechend vorbereiten, anerkannte, robuste und gerichtsfeste Tools für die digitale Forensik verwenden und einen Reaktionsplan ausarbeiten. Diese Vorarbeiten tragen auch dazu bei, datenbezogene Straftaten schneller zu erkennen und auf lange Sicht zu verhindern.

The views expressed herein are those of the author(s) and not necessarily the views of FTI Consulting, its management, its subsidiaries, its affiliates, or its other professionals.