IT-Forensik zur digitalen Sicherstellung von Beweisen bei Rechtsverstößen

Um eine forensische Analyse durchführen zu können, sind im Vorfeld – bei der Sicherung des Systems – einige Dinge zu beachten:

  1. Das originale Beweismaterial muss so wenig wie möglich „bewegt“ werden. Jede „Bewegung“ des Beweismaterials kann eine Verfälschung zur Folge haben
  2. Die Beweismittelkette muss gewahrt werden. Dieses bedeutet und verlangt eine einwandfreie und lückenlose Dokumentation
  3. Das persönliche Wissen darf nie überschätzt werden. Eine Einbeziehung verschiedener Fachleute zu Spezialthemen (zum Beispiel Datenrettung) ist in Erwägung zu ziehen.

Prozessablauf und Durchführung der forensischen Untersuchung

Zur Durchführung einer Analyse, im Rahmen der IT-Forensik, ist ein fester Prozess zwingend erforderlich. Dieser Prozess gliedert sich wie folgt:

  • Identifizierung
  • Sicherstellung
  • Analyse
  • Präsentation/Aufbereitung

Innerhalb der dieser Prozesse geht es grundsätzlich um die gerichtsverwertbare Beantwortung nachfolgender Fragen hinsichtlich der Sachverhalte, die zur IT-forensichen Untersuchung geführt haben:

  • Wer – Wer veränderte oder löschte Daten? Welche Personen waren anwesend und beteiligt?
  • Wann – Datum und Uhrzeit.
  • Warum –Warum wurden Änderungen, Bewegungen und/oder Abweichungen durchgeführt?
  • Wo – Exakte Ortsangabe des Vorfalls.
  • Was – Was wurde genau getan?
  • Wie – Wie wurde vorgegangen bzw. welche Tools und/oder welche physikalischen Mittel wurden eingesetzt?

Identifizierung von tatverdächtigen IT-Geräten und Beweismitteln

Da in diesem Teilprozess die Ausgangslage dargestellt werden soll, liegen die Tätigkeitsschwerpunkte in der möglichst genauen Dokumentation der vorgefundenen Situation. Neben der Bestandsaufnahme potentieller Rechtsverstösse und erster Vermutungen müssen unbedingt weitere Fragen für die nähere Untersuchung geklärt werden. Es folgt eine Strukturierung dahingehend, welche Formen von Beweisen den Beteiligten zugänglich sind. Sind die Beweise z. B. in Form von speziellen Log-Dateien vorhanden? Geht es um Beweise in Form von nicht-flüchtigen Datenbeständen auf vorliegenden Datenträgern? Es wird ferner festgehalten, wo diese Beweise vorrätig sind. Die Umgebungen, in denen die Beweismittel vorliegen (z. B. Betriebssysteme) werden dokumentiert und aufgenommen.

Am Ende kann durch Sichtung dieser grundlegenden Fakten eine Entscheidung darüber gefällt werden, welche Mittel zur Beweiserhebung zur Verfügung gestellt werden müssen (Relevanz). Die besondere Beachtung der Frage einer Sicherungsmethode (Backup) ist zu klären. Im folgenden Prozessschritt wird man auf nicht-flüchtige (z. B. Daten auf Festplatten) und flüchtige Daten (z. B. Daten im RAM-Speicher) stoßen, die Beweise darstellen. Es müssen daher die richtigen Mittel zur Sicherung dieser Beweise gewählt werden. Hier kann auch die Frage einer möglichen externen Unterstützung eine maßgebliche Rolle spielen.

Sicherstellung von IT-Geräten zur Beweiserhebung

Dieser Schritt beinhaltet die eigentliche Beweiserhebung. Unter Einsatz der bereits vorgestellten Fragematrix sind in diesem Prozess die Integrität der digitalen Beweise und das Aufrechterhalten einer Beweiskette die zentralen Aufgaben. Im Regelfall bedeutet dies das Sichern von Beweisen auf Datenträgern, bzw. umschreibt es alle zu treffenden Entscheidungen im Rahmen der Beweismittelsicherung. Dabei sollten Medien benutzt werden, die einmalig beschreibbar sind. Der Einsatz von kryptografischen Verfahren zum digitalen Signieren von Beweisdaten sollte geprüft und wenn möglich angewendet werden, um die Unversehrtheit von Daten gewährleisten zu können.

In diesem Prozessschritt ergibt sich immer wieder eine entscheidende Fragestellung: Ist das betroffene IT-System aufgrund der Gefährdungssituation abzuschalten oder kann es weiter betrieben werden? Diese Frage ist von zentraler Bedeutung, da es im weiteren Schritt um eine Sicherung von flüchtigen Datenbeständen wie z. B. dem RAM-Speicher, Netzwerkverbindungen und offenen Dateien sowie nicht-flüchtigen Datenbeständen wie z. B. Dateien auf der Festplatte geht. Im Falle des Abschaltens würden die flüchtigen Datenbestände verloren gehen.

Analyse - Forensische Untersuchung

Nachdem die relevanten Beweisdaten erhoben sind und sicher auf entsprechenden Medien untergebracht sind, folgt eine erste Analyse. Hier ist Allroundwissen über Netzwerktopologien, Applikationen, aktuelle und bekannte System-Verwundbarkeiten als auch möglicherweise ein sehr hoher Grad an Improvisationsvermögen gefordert. Gerade hier sollten sich Organisationen überlegen, ob externe Fachleute hinzugezogen werden. Das benötigte Wissen geht weit über die pure Administration von Netzwerken oder Betriebssystemen hinaus und verlangt teilweise sogar betriebssystemnahe Programmierkenntnisse. Die erfolgreiche Analyse ist stets von der richtigen Deutung der vorliegenden Erkenntnisse abhängig. Der Sinn und Zweck der Analyse liegt in der Veranschaulichung und Untersuchung der Beweise, der Bemessung der Ursachen des Vorfalles und der Wirkungsweise des eingetretenen Vorfalls. Die Analyse findet typischerweise niemals am originären System statt und bedingt eine noch peniblere Dokumentation als in den vorherigen Schritten.

Aufbereitung und Präsentation zur Beweiserhebung

Im letzten Prozessschritt bereiten die an der Analyse beteiligten Personen ihre Erkenntnisse in Form eines gerichtsverwertbaren Berichts auf. Hierbei ist der Bericht auf die grundsätzliche Motivation einer Untersuchung abzustimmen. Diese lässt sich in folgenden Punkten zusammenfassen:

  • Ermittlung der Identität des Täters / der Täter,
  • Ermittlung des Zeitraums der Tat (Erstellung „Timeline“),
  • Ermittlung des Umfanges der Tat,
  • Ermittlung der Motivation der Tat und
  • Ermittlung der Ursache und Durchführung

Ob sich alle Punkte restlos klären lassen, hängt sowohl vom vorhandenen Beweismaterial als auch von der Qualität der Analyse ab.