IT-Forensik
Digital device on a cyber space table

IT-Forensik

IT-Forensik – die letzte Rettung

In allen Lebensbereichen werden die Menschen von digitalen Geräten wie Handys, Tablets und PCs begleitet. Kaum eine Tätigkeit wird heute ohne digitale Unterstützung durchgeführt. Zugegebener­maßen haben die Geräte unser Leben zwar wesentlich vereinfacht, doch die ständige, immer weiter um sich greifende Vernetzung verändert Arbeitsmaßnahmen und die Kommunikation. Sie gelten mittlerweile als der wichtigste Schatz von Unternehmen, sind aber auch eine der am meisten gefährdeten Ressourcen – selbst beim besten Datenschutz. Grund dafür ist, dass die Anzahl von digitalen Straftaten kontinuierlich ansteigt. Im Jahr 2000 bis 2001 beispielsweise erhöhte sich das Wachstum der Internetkriminalität um fast 40 Prozent – die Dunkelziffer ist dabei nicht berücksichtigt. Hier bietet das Werkzeug der IT-Forensik mögliche Rettungs- und Schutzmaßnahmen.

Der Ausdruck „Forensik“ wird noch heute zumeist mit einer medizinischen, kriminaltechnischen Untersuchung in Verbindung gebracht. Praktisch definiert der Begriff jedoch lediglich die systematische Aufarbeitung einer Handlungskette in Gutachtenform bis zurück zu seinem Ursprung. Die IT-Forensik – auch Computerforensik oder digitale Forensik genannt – ist noch eine recht junge Wissenschaft, wird aber in Zukunft immer mehr an Bedeutung gewinnen. Sie kommt nicht nur zum Tragen, wenn es darum geht, kriminelle Handlungen zu überführen, sondern dient auch für die Ermittlung von Sicherheitsstörungen und im Weiteren der Erhaltung von Sicherheit. IT-Forensik wird für die Ursachenforschung von computerbasierten Verbrechen und die Auswertung der gesammelten Spuren und Daten eingesetzt. Um IT-forensische Maßnahmen einzusetzen, muss allerdings bereits der Verdacht auf ein Fehlverhalten oder Verbrechen vorliegen. Durch die Untersuchung und Analyse der Datenquellen ist es möglich auch existierende Schwachpunkte bei der Sicherheit der eigenen IT-Infrastruktur aufzudecken. Dabei werden nicht nur die Methoden der Auswertung immer ausgefeilter, sondern auch die Einsatzfähigkeit wird ständig steigen.

Die IT-Forensik trägt also einmal dazu bei, die digitalen Spuren von kriminellen Aktivitäten im Bereich der Wirtschaftskriminalität, aber auch bei Betrug im Internet, zu identifizieren, zu analysieren und die gefundenen Belege so aufzubereiten, dass sie als Beweise vor Gericht verwendet werden können. Zum anderen dient die IT-Forensik der Sicherung und Integrität von IT-Systemen und wird dazu eingesetzt, Angriffe auf die IT-Infrastruktur zu erkennen, die Spuren dieser Angriffe zu verwerten und digital begleitete Verbrechen aufzuklären.

Einsatzgebiete der IT-Forensik

Die IT-Forensik ist einer der wichtigsten Analysefaktoren bei computerbasierter Kriminalität, wie Phishing, Hacking oder der Datenklau, bei unrechtmäßigem Datenabfluss und bei Verstößen gegen das aktuell bestehende Datenschutzrecht. Sie soll helfen, den Verlauf des Angriffs auf die Daten zu erforschen, die Feststellung der entstandenen Schäden und die Überführung des Täters.

Wie vielseitig die IT-Forensik eingesetzt werden kann, zeigen die folgenden Beispiele:

AUFKLÄRUNG VON CYBERCRIMES

Betrug durch den Einsatz von elektronischen Zahlungsdiensten wie die Kreditkarte oder Paypal, auf Internetmarktplätzen wie eBay oder Amazon und den Computer an sich. Nicht nur natürliche Personen, sondern auch Unternehmen können einen IT-Forensiker brauchen, denn auch Unternehmen können von Wirtschaftskriminalität betroffen sein.

SCHUTZ DES URHEBERRECHTS

Im Internet werden unterschiedliche Filme, Musik und Softwareprogramme, die sich die Nutzer ansehen können, verbreitet, sind aber urheberrechtlich geschützt. Gerade Unternehmen, deren Mitarbeiter solche Programme aus dem Internet herunterladen, verletzen das Urheberrecht und können strafrechtlich verfolgt werden.

KAMPF GEGEN PERSÖNLICHE EINSCHRÄNKUNGEN

Gerade auf Social-Media-Plattformen wie Facebook kommt es häufig zu Mobbing, Beleidigungen und anderen üblen Nachrichten, die für Betroffene sehr belastend sein können. Menschen, die wissen möchten, von woher solche Nachrichten versendet wurden, können ihren Computer IT-forensisch untersuchen lassen, um dies herauszufinden.

STÄRKUNG DER IT-SICHERHEIT FÜR UNTERNEHMEN

Viele Unternehmen haben ein Problem mit der Sicherheit ihrer IT-Infrastruktur. Sie haben ein erhöhtes Risiko, dass Hackerangriffe, Computerviren, Spionageaktionen oder Manipulationen auftreten, auch der Diebstahl von Daten kann mithilfe der IT-Forensik aufgeklärt werden. Ist es zu solchen Vorfällen gekommen, kommen IT-Forensiker zum Einsatz, denn es ist ihre Aufgabe, die Spuren zu sichern und beweiskräftig abzulegen, herauszufinden, wie die Daten abgeflossen sind und ob sie wiederhergestellt werden können. Zusätzlich dazu, geht es natürlich auch darum, den Täter zu finden.

Insgesamt werden nicht nur die Methoden der Auswertung immer ausgefeilter, sondern auch die Einsatzfähigkeit wird ständig steigen.

Struktur des Gesamtprozesses der IT-Forensik

IT-forensische Untersuchungen an (mobilen) digitalen Geräten müssen einem festen Schema folgen. Das wiederum gewährleistet, dass die ermittelten Ergebnisse eine gute Qualität – und damit die gerichtliche Beweiskraft – haben. Grundsätzlich wird eine solche Untersuchung dann angestoßen, wenn der Verdacht auf kriminelle Aktivitäten über missbräuchlich eingesetzte, digitale Geräte besteht.

Bereits vor Beginn forensischer Maßnahmen beginnt die eigentliche Spurensuche, denn es sollten vor der Sicherstellung des zu untersuchenden Geräts beachtet werden, dass möglichst wenige Personen physischen Zugriff auf das Gerät erhalten. Dadurch kann das Risiko einer Verfälschung der Daten erreicht werden. Bereits zu diesem frühen Zeitpunkt sollte damit begonnen werden, die Beweiskette zu dokumentieren, die später die Grundlage des forensischen Gutachtens ist. Ist das digitale Gerät zerstört worden, muss es – vor Beginn der forensischen Maßnahmen – fachmännisch repariert werden, um möglichst viele der darauf gespeicherten Daten zu retten und der Auswertung zuzuführen.

Die IT-Forensik selbst lässt sich in fünf unterschiedliche Bereiche unterteilen – die Identifizierung, die Datensicherung, die Analyse, die Dokumentation und die Präsentation bzw. die Aufbereitung der sichergestellten Daten. Um den Prozess der IT-Forensik in Gang zu setzen muss bereits ein Anfangsverdacht auf eine illegale Handlung vorliegen. Diese erste Phase dient vor allem dazu, eine Bestandsaufnahme der Situation vor Ort zu machen und alles schriftlich zu dokumentieren.

Nun folgt die eigentliche Sicherung der Beweisdaten, d.h. Datenträger und digitalen Geräte werden gesichert. Dabei ist es dringend gegeben, die Integrität dieser digitalen Daten nicht zu zerstören. Grundsätzlich gilt jedoch, dass zunächst eine 1:1-Kopie der Daten für die folgenden forensischen Maßnahmen erstellt wird, an den ursprünglichen Datenträgern – also das Laptop, Handy oder der Computer – wird nichts verändert. Diese Kopie wird zusätzlich noch mit einem Überschreibschutz gesichert. Außerdem muss auch während dieser Phase alles schriftlich dokumentiert werden.

Analyse der Struktur

Sind alle relevanten Daten sicher abgelegt, kann mit der Analyse begonnen werden. Dies erfordert ein vielseitiges Wissen über Computer – vorrangig Datenrettung, Betriebssysteme und Netzwerkstrukturen – und Grundkenntnisse in der Programmierung, aber auch eine Spürnase. Die gesamte Analyse muss lückenlos dokumentiert werden.

Aus den Ergebnissen der Analyse wird dann anhand der gesammelten Fakten und Informationen ein gerichtlich verwertbares Gutachten erstellt. Dies zeigt die Ermittlung des Zeitraums und des Umfangs der Tat, die Motivation und Identität der Täter sowie Hinweise auf Ursache und Durchführung der Tat. Ob die Tat durch die IT-Forensik geklärt werden kann, hängt von der Qualität der Analyse und den Beweismitteln ab.

Zusammengefasst sollten in allen der oben beschriebenen Einzelschritten sollten Antworten auf die folgenden Fragen zu finden sein:

  • WAS: Was ist passiert?
  • WO: Wo ist etwas passiert?
  • WANN: Wann (Ort und Zeit) ist etwas passiert?
  • WIE: Wie wurde vorgegangen?

Kennzeichen guter IT-Forensik

Wenn IT-forensische Maßnahmen durchgeführt werden sollen, ist es wichtig, ein vielseitiges IT-Forensik-Unternehmen zu bestellen. Für die Unternehmen, die einen IT-Forensiker einsetzen müssen, ist es nicht ganz einfach zu erkennen, ob das bestellte Forensik-Unternehmen eine gute Arbeit leistet.

Wie in anderen Bereichen auch gibt es Zertifizierungen, Klassifizierungen und Siegel, die von neutralen Institutionen, wie dem TÜV, an die Unternehmen vergeben werden, die bestimmten Qualitätskriterien genügen. Wenn IT-Forensiker nach DIN EN ISO/IEC 17024 zertifiziert sind, können Unternehmen davon ausgehen, dass sie es mit einem Fachmann zu tun haben, der zuverlässig ein gerichtsfestes Gutachten erstellen kann und die Untersuchung des Vorfalls vertraulich behandelt. Für Forensik-Unternehmen sind die Zertifizierungen ISO 9001 und 27001 ein Zeichen für Qualität. So gehört die ISO 27001-Zertifizierung zu den wichtigsten Sicherheitszertifizierungen mit den höchsten Ansprüchen an die Qualität.

Auch relevant: Zusammenhang IT-Forensik und DSGVO

Gerade in Verbindung mit den Richtlinien der Datenschutzgrundverordnung (DSGVO) ist die digitale Forensik gefordert. Durch die ständig stärker werdende Vernetzung digitaler Geräte fallen immense Datenmengen an, die natürlich auch personenbezogene Daten enthalten, die nach Artikel 33 DSGVO besonders geschützt werden müssen. Unternehmer werden verpflichtet, sämtliche Vorfälle, in denen personenbezogene Daten verarbeitet werden, lückenlos zu dokumentieren. Werden diese Verpflichtungen durch den Unternehmer nicht erfüllt, können hohe Strafen verhängt werden.

Um jedoch den Unternehmen einen Verstoß gegen die Datenschutzgrundverordnung nachweisen zu können, müssen IT-Forensiker nach entsprechenden Spuren im System suchen und sie so aufbereiten, dass sie bei einem Verfahren als Beweismittel verwendet werden können.

schließen