Bundesamt für Sicherheit in der Informationstechnik

M 6.126 Einführung in die Computer-Forensik

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Revisor

Bei einer computer- oder auch digital-forensischen Ermittlung geht es darum, strafbare bzw. anderweitig rechtswidrige oder sozialschädliche Handlungen nachzuweisen und aufzuklären, indem digitale Spuren gesammelt und ausgewertet werden. Die Ziele einer solchen Ermittlung nach einem Systemeinbruch oder einem anderen Sicherheitsvorfall sind in der Regel,

  • die Methode oder die Schwachstelle zu identifizieren, die zum Systemeinbruch geführt haben könnte,
  • den entstandenen Schaden nach einem Systemeinbruch zu ermitteln,
  • den Angreifer zu identifizieren und
  • die Beweise für weitere juristische Aktionen zu sichern.

Hierfür müssen die für die Analyse des Vorfalls relevanten Daten von den betroffenen IT-Systemen gesammelt werden. Dabei muss sichergestellt sein, dass so viele Informationen wie möglich von einem kompromittierten System gesammelt werden können, ohne dabei den aktuellen Zustand bzw. Status dieses Systems zu verändern. Für die effektive Ermittlung ist es sinnvoll, im Vorfeld einen Leitfaden für einen Ermittlungsprozess zu erstellen, der alle durchzuführenden Schritte beschreibt.

Nach dem sogenannten Secure-Analyse-Present (S-A-P) Modell kann ein Ermittlungsprozess in drei große Phasen eingeteilt werden. In der Secure-Phase werden alle Daten sorgfältig erfasst. Hierbei ist darauf zu achten, dass der Untersuchungsbereich sorgfältig abgesichert wird. Zu diesem Zeitpunkt ist oft noch nicht klar, ob der Täter von innen kommt. Möchten die Mitglieder des Expertenteams hier möglichen Manipulationen vorbeugen, sind entsprechende Vorkehrungen zu treffen, damit Innentäter nicht ihre Spuren verwischen können. In dieser Phase wird durch geeignete Methoden der Grundstein gelegt, dass die gesammelten Informationen in einer eventuell späteren juristischen Würdigung ihre Beweiskraft nicht verlieren. Auch wenn in dieser sehr frühen Ermittlungsphase oft noch nicht richtig klar ist, ob eine juristische Klärung angestrebt wird, sollte trotzdem das Beweismaterial gerichtsfest sein. Aus diesem Grund müssen alle Tätigkeiten sorgfältig dokumentiert und protokolliert werden. Die gesammelten Daten müssen auch frühzeitig vor versehentlicher oder gar beabsichtigter Manipulation geschützt werden. Von entsprechenden Hash-Verfahren und dem Vier-Augen-Prinzip ist daher ausgiebig Gebrauch zu machen.

In der Analyse-Phase werden die Spuren sorgfältig analysiert und die Ergebnisse objektiv bewertet. Die Schlüsse müssen kritisch hinterfragt werden, um Lücken in der Argumentationskette selbstständig und sicher zu identifizieren.

Während die Secure- und Analyse-Phasen hinsichtlich Detaillierungsgrad und Methode oft unabhängig von der konkreten Fragestellung des Sicherheitsvorfalls sind, sind die Tätigkeiten in der Present-Phase davon abhängig, wer in welcher Form von den Ermittlungsergebnissen überzeugt werden muss.

Schlussendlich muss das Ergebnis Personen überzeugen, die während der gesamten Ermittlung nicht anwesend waren und vielleicht auch nicht den technischen Sachverstand aufbringen, alle Details zu verstehen. Dies bedeutet, dass alle Erkenntnisse schlüssig und auch für technische Laien nachvollziehbar dokumentiert und dann überzeugend zielgruppenorientiert präsentiert werden müssen. Die Ergebnisse einer forensischen Untersuchung müssen typischerweise Entscheidungsträgern innerhalb der eigenen Institution, aber durchaus auch externen Entscheidungsträgern und Strafverfolgungsbehörden präsentiert werden.

Unabhängig von der konkreten Fragestellung und dem zu untersuchenden IT-System (Server, Workstation, PDA, Router, Notebook, etc.) lassen sich grundsätzlich einige empfindliche Datentypen identifizieren, die für die Ermittlung von Interesse sind:

  • Flüchtige Daten: Informationen, die beim geordneten Herunterfahren oder Ausschalten des IT-Systems verloren gehen könnten (Inhalt von Cache und Hauptspeicher, Status der Netzverbindungen, laufende Prozesse, angemeldete Benutzer etc.)
  • Fragile Daten: Informationen, die zwar auf der Festplatte des IT-Systems gespeichert sind, deren Zustand sich aber beim unsachgemäßen Zugriff ändern kann.
  • Temporär zugängliche Daten: Informationen, die sich auf der Festplatte befinden, aber nur zu bestimmten Zeitpunkten zugänglich sind, z. B. während der Laufzeit einer Anwendung oder Nutzung einer bestimmten Anwendungsfunktionalität.

Die Kenntnis um die Halbwertzeit dieser Daten ist wichtig, da damit die Reihenfolge der Datensammlung in der Secure-Phase bestimmt wird.

Daraus ergeben sich zwei grundlegende Ermittlungsmethoden in der Computer-Forensik, nämlich Live Response und Post Mortem Analyse:

Die Analyse eines noch aktiven, nicht ausgeschalteten Systems bietet die Möglichkeit, die meisten relevanten flüchtigen Daten zu sammeln und wird Live Response genannt. Dieser Ansatz ist sinnvoll, wenn wertvolle flüchtige Daten verloren gehen könnten oder auch das System aus Verfügbarkeits- oder Abhängigkeitsgründen nicht ausgeschaltet werden kann. Eine Live Response Analyse ist auch dann hilfreich, wenn die Gefahr besteht, dass auf den Datenträger nicht mehr zugegriffen werden kann, wenn das System ausgeschaltet wurde. Einer der wesentlichen Vorzüge einer Live Response Analyse liegt darin, dass sich oft nur durch diesen Analyseansatz herausfinden lässt, ob das System auch wirklich angegriffen wurde und ob und wie ein eventuell schadhafter Code aktiv ist. Oft hat man nur zur Laufzeit eines Systems überhaupt eine Chance, Auffälligkeiten zu erkennen, die auf ein Rootkit oder andere schadhafte Software hindeuten. Der Vorteil ist, dass der Prozessspeicher inklusive der gerade auf dem System ablaufenden Ereignisse strukturiert gesichert werden kann.

Eines der Hauptprobleme bei der Live Response Analyse ist allerdings, dass die Reihenfolge der Sicherung der flüchtigen Daten nicht immer zweifelsfrei festgelegt werden kann, da jede Tätigkeit am verdächtigen System auch das verdächtige System selbst verändert. So tauchen beispielsweise bei der Sicherung der Liste der gerade auf dem verdächtigen IT-System laufenden Prozesse auch die für den Sicherungsvorgang verwendeten Befehle auf. Bei unsachgemäßem Tooleinsatz besteht auch die Gefahr, dass weitere Daten zerstört werden bzw. relevante Informationen durch auf dem System installierte Rootkits verschleiert werden können.

Der zweite Untersuchungsansatz wird oft Post Mortem Analyse genannt, da er sich mit der Auswertung von Datenträgern bzw. Datenträgerkopien von bereits ausgeschalteten Systemen beschäftigt. Hierbei wird die Analyse an einer forensischen Kopie des Datenträgers eines kompromittierten Systems durchgeführt. Eine forensische Kopie ist eine bitweise 1:1-Kopie, die als Image-Datei vorliegt. Eine Untersuchung des originalen Datenträgers ohne weitere Sicherungsmechanismen sollte vermieden werden, da die Gefahr der Spurenzerstörung besteht.

Eine Post Mortem Analyse wird durchgeführt, wenn der flüchtige Speicher für den zu klärenden Vorfall nicht relevant ist oder dieser Vorfall schon sehr lange zurückliegt. Die Vorteile der Post Mortem Analyse an einer forensischen Datenträgerkopie ist darin zu sehen, dass flüchtige Daten nicht aus Versehen zerstört werden können und der gesamte Analyseprozess bzw. der Tooleinsatz planbar ist, da die Informationen nicht verloren gehen können. Allerdings liegen hier auch die Nachteile: Es lassen sich nur wenige Aussagen über die Laufzeit treffen und wesentliche Spuren können verborgen bleiben.

Sind für das Verständnis und die Aufklärung des Sicherheitsvorfalls die flüchtigen Daten von Interesse, sollten vor dem Abschalten des verdächtigen Systems die flüchtigen Daten behutsam gesichert werden. Ist dies sorgfältig und fachmännisch geschehen, kann das System vom Stromnetz entfernt werden. Ein normaler System-Shutdown ist dabei möglichst zu vermeiden, da dabei sehr viele fragile Daten unwiederbringlich zerstört werden.

Damit alle Mitarbeiter des Expertenteams für die Behandlung von Sicherheitsvorfällen nachvollziehbar und besonnen die notwendigen Analysen durchführen können, sollten in einem Leitfaden die verschiedenen Untersuchungsschritte beschrieben sein. Dieser Leitfaden sollte unter anderem beinhalten, wie die Daten eines verdächtigen Systems gesichert werden können, Analysepläne für typische Sicherheitsvorfälle sowie die Auswertemethodik. Außerdem sollte er Hinweise für die anzuwendenden Rechtsgrundlagen geben.

Die Methoden der forensischen Untersuchungen sollten regelmäßig auf Optimierungsmöglichkeiten untersucht werden.

Prüffragen:

  • Existiert ein Leitfaden, wie die Daten eines verdächtigen Systems gesichert werden können?

  • Sind dem Expertenteam für die Behandlung von Sicherheitsvorfällen die Unterschiede der Ermittlungsmethoden bekannt?

  • Ist sichergestellt, dass bei Sicherheitsvorfällen die Informationen beweisfest gesammelt werden?

  • Werden alle Tätigkeiten im Ermittlungsprozess sorgfältig und manipulationssicher dokumentiert und protokolliert?

  • Werden alle Erkenntnisse schlüssig und nachvollziehbar dokumentiert?

Stand: 11. EL Stand 2009