Digitale Forensik – wie Cyberangreifern das Handwerk gelegt wird

29 September 2020

Die digitale Forensik kommt als digitales Pendant zu den klassischen forensischen Disziplinen immer dann ins Spiel, wenn ein Angriff auf ein IT-System vermutet wird. Sie soll mit ihrem speziellen Blick in die Vergangenheit herausfinden, was tatsächlich vorgefallen ist.

Ein Beitrag von Prof. Harald Baier, Professor für Digitale Forensik am Forschungsinstitut CODE

Stellen Sie sich folgendes Szenario vor: Sie kommen an einem Montagvormittag nach einem entspannten Wochenende ins Büro und finden in Ihrem E-Mail-Postfach eine Reihe von elektronischen Nachrichten vor. Strukturiert wie Sie sind, widmen Sie sich zunächst den offensichtlich wichtigen E-Mails. Eine Nachricht, die mutmaßlich von Ihrem Chef stammt, fällt Ihnen sofort ins Auge. Er will Ihnen noch einmal in einem angehängten Office-Dokument die aktualisierte Projektplanung für ein wichtiges Projekt erläutern und bittet Sie, sich das genau anzuschauen und zu kommentieren. Sie öffnen also das an die E-Mail angehängte Office-Dokument, allerdings kommt es nur zu einer Fehlermeldung. Eigentlich nichts Aufregendes, der Rechner macht ja oft mal, was er will. Nach ein paar Minuten springt der Lüfter Ihres Rechners an, weil der Prozessor anscheinend viele Befehle verarbeiten muss. Leider verschlüsselt ein Programm gerade alle ihre gespeicherten Daten und zeigt Ihnen anschließend eine Erpressungsmeldung am Bildschirm: entweder Sie zahlen ein Erpressungsgeld und können dann Ihre Daten wieder entschlüsseln oder die Daten des Rechners bleiben für immer verschlüsselt.

So oder ähnlich geht es seit einiger Zeit vielen Nutzern und Institutionen. Anfang September 2020 war beispielsweise das Universitätsklinikum Düsseldorf betroffen. Aufgrund der möglichen Verursachung eines Todesfalls durch den Angriff auf die IT der Klinik ermittelt die dortige Staatsanwaltschaft wegen fahrlässiger Tötung. Hinter dem Szenario steckt ein kriminelles Geschäftsfeld, das Schadsoftware zu Erpressungszwecken an Nutzer per E-Mailanhang verschickt. Es gibt noch zahlreiche andere verbreitete Szenarien von Angriffen auf IT-Systeme. Oft arbeitet Schadsoftware aber erst einmal eine Weile im Verborgenen und breitet sich im lokalen Netzwerk aus, damit der Schaden, das zu erpressende Geld bzw. der Profit für die Angreifer maximiert werden.

Digitale Spurensuche und Beweissicherung

In einem Schadensfall, auch wenn er nur vermutet wird, untersuchen digitale Forensiker den Vorfall. Dabei gelten Paradigmen, die aus der klassischen Forensik bekannt sind. Zum Beispiel soll der digitale Forensiker die digitalen Spuren nicht bzw. so wenig wie möglich verändern. Wenn er sie verändern muss, dann nur, wenn es einen wichtigen Grund gibt und er den zugehörigen Vorgang genau dokumentiert.

Eine IT-forensische Untersuchung ist mit zahlreichen Herausforderungen verbunden, auf die im Folgenden kurz eingegangen wird und mit denen sich meine Arbeitsgruppe beschäftigt. Eine erste wichtige Herausforderung ist die schiere Datenflut im Rahmen einer IT-forensischen Untersuchung. Es sind zahlreiche Datenträger von unterschiedlichen Geräten wie Computer, Smartphones und Tablets sowie Wechseldatenträger wie USB-Sticks, Speicherkarten und DVDs zu sichten. Die Datenmenge erreicht regelmäßig mehrere Terabytes. Hier gilt es, möglichst automatisiert wichtige Spuren von unwichtigen zu trennen, also die berühmte Nadel im Heuhaufen zu finden.

Eine zweite wichtige Herausforderung ist der Umgang mit Anti-Forensik, also allen Maßnahmen seitens des Angreifers, seine Spuren zu verschleiern oder zu vernichten. Anti-Forensik wird seit jeher von Kriminellen angewendet, beispielsweise trägt ein Einbrecher Handschuhe, um keine verräterischen Fingerabdrücke zu hinterlassen. In der digitalen Forensik ist es wichtig, anti-forensische Methoden seitens der Angreifer zu verstehen und zu entdecken.

Eine dritte wichtige Herausforderung ist die Korrektheit von IT-forensischen Tools, d.h. sie sollen so arbeiten wie spezifiziert. Dazu werden standardisierte Testdatensätze benötigt. Für diese sind die zu entdeckenden digitalen Spuren a priori bekannt und werden gegen die entdeckten Spuren vom jeweiligen Tool abgeglichen.


Weitere Informationen zur Professur finden Sie hier >>


Titelbild: © iStockphoto / Marco_Piunti