Angreifer möchten weder als solche erkannt noch ihrer Taten überführt werden und versuchen in jeder erdenklichen Weise die Ermittlungsarbeit zu behindern oder gar unmöglichen zu machen.     

Digitale Spuren vermeiden, verwischen und falsche Fährten legen

Wie wir nun Wissen ist IT Forensik ein Teilgebiet der Forensik und nicht spannender oder weniger spannender als andere Bereiche der Forensik. Zu erleben sind Situationen wo kleine Probleme enorme Auswirkungen zur Folge haben.

Ein Beispiel aus der Berichterstattung mit 45 Tatorten:

Eine verdächtige Person ist ein möglicher Serientäter. So wurde dieser Person von 2011-2014 hinterherermittelt denn an allen Tatorten hatte man die gleiche DNA gefunden und siehe da aus Beweismitteln von 1996 konnten ebenfalls die DNA dieser betreffenden Person zugeordnet werden. Nur war es ein Mitarbeiter eines Pharmaunternehmens was die Tupfer Stäbchen herstellte und diese im Zuge der Verarbeitung konterminierte, was schließlich dazu führte, dass die Ermittlungsergebnisse unbrauchbar waren. So musste der Fall von Beginn an neu aufgerollt werden.


IT Forensik als Teilgebiet der Forensik stellt nichts anderes als eine Recherche dar

Wir verwenden Begriffe Computer Forensik, Digitale Forensik, Mobile Forensik und aus dem englischen, Computer Forensics in denen das Ziel ist, verdächtige oder nur relevante Vorgänge aufzuklären und Sicherheitsvorfälle zu Untersuchen. Eine Verwendung der erlangten Erkenntnisse vor Gericht ist nicht immer Notwendig, wird aber dennoch oft angestrebt und durchgesetzt.
Es geht dabei immer um Klärung der W-Fragen. Was ist Wo und Wie geschehen und Wer hat Wann, Was, Warum gemacht. Dies unterliegt einem Prozess der da heißt, Identifizierung, Sicherstellung, Analyse, Auswertung des Datenmaterials. Also ein geplantes Vorgehen damit nicht dieses Tupfer Stäbchen Problem eintritt.
Herausforderung

Ein IT Forensiker steht vor enormen Herausforderungen, denn die Beweise welche man Sicherstellt, dürfen unter keinen Umständen oder so wenig wie möglich verändert werden.

An einem Computer stellt diese Erwartung ein Problem. Im Arbeitsspeicher ändern sich ständig relevante Informationen. So werden allein durch das Einschalten des Rechners vorhandenen Beweise vernichtet. Dies können belastende aber auch entlastende Beweise sein die nicht gefunden und ausgewertet werden können. Das gilt für die gesamte Beweismittelkette. Nicht nur die Sicherstellung den Ausbau einer Festplatte und der Analyse sind wichtig, es sind die Schritte danach. Wenn man eine Datei entpackt, analysiert und weiteren anderen Analyseschritten unterzieht und hier ein Fehler geschieht und somit die Beweismittelkette unterbrochen wird, kann das Ergebnis dieser Auswertung in eine falsche Richtig laufen. Das führt dazu, dass jemand zu Unrecht beschuldigt oder zu Unrecht entlastet wird. Hinzu kommt, dass alle Aktionen dokumentiert und nachvollziehbar gemacht werden, sodass als IT Forensiker aber auch als betroffener der Gegenseite jederzeit eine Kontrolle möglich gemacht wird.


Worin liegt jedoch die Schwierigkeit eines IT Forensikers?

Ein Forensiker kann auf Anhieb nicht alles. Und er muss sich bewusst darüber sein, dass die Gegenseite Top Fit ist in einem Teilgebiet oder anderen Teilgebieten. Als IT Forensiker ist man als Allrounder einem Spezialisten gegenübergestellt. Das führt dazu, dass man als Forensiker Dinge welche sehr gut versteckt sind nicht auf anhieb findet und demzufolge die Gefahr besteht nicht gefunden zu werden und somit auch nicht untersucht wird. Geschuldet ist das aber auch durch Zeitdruck und Eile, denn eigentlich benötigt man dafür viel intensive Zeit und Gründlichkeit.
Ein korrektes Arbeiten ist unablässig, wichtig und entscheidend. Als IT Forensiker ist man angewiesen auf spezielle IT Forensik Software welche riesige Datenbestände auswertet. So kommen sehr schnell mehrere Terrabyte Datenbestände zusammen.

Jetzt stellen wir uns vor, man müsse mehrere Computersysteme und deren rieseigen Datenbestände händisch auswerten, was gut unmöglich ist. Hier müssen Automatisierungsprogramme unterstützend eingreifen. Wenn diese jedoch nicht korrekt angewendet werden und falsche Ergebnisse liefern, hat man ein ernstzunehmendes Problem. So sollte man auch zwei verschiedene Forensik Programme benutzen um evtl. Fehler im Programm zu erkennen. Auch darf das Auswertesystem nicht mit dem Internet verbunden sein. Das wenn man mit Schad-Code oder Mail-Mare arbeitet diese nicht den Auswerterechner befallen und sich im Internet verbreiten. So müssen schließlich Schlussfolgerungen auf Fakten basieren und keine Spekulationen zulassen und dann daraus unzulässige Schlüsse ziehen.Doch leider ist die Wirklichkeit etwas anders. Nicht selten stehen Forensiker unter Zeitdruck und haben kein Budget, sind zu unerfahren oder sogar abgelenkt indem man keine Zeit mehr hat den Dingen auf den Grund zu gehen.

 

Der Gegenspieler


Hier kommt Anti Forensik ins Spiel. Was wäre denn die eleganteste Lösung? Man müsse nur die Forensiker aus dem Verkehr ziehen. Keine Forensiker somit keine Forensik mehr aber das lässt sich nur sehr schwer realisieren. Jetzt versetzen wir uns einmal in die Lage eines Hackers und dann müssen wir uns auch Gedanken machen, dass mein Computer irgendwann Beschlagnahmt wird und dann wäre es zu spät Vorkehrungen zu treffen. Es muss geplant und Vorbereitet werden um keine oder so wenig wie nur möglich Spuren zu hinterlassen. ZB: der Häcker der seine Einbruchsspuren verwischen muss oder der Downloader der die Downloadspuren verwischt weil man irgendwann illegales heruntergeladen hat. Regestry Cleaner und Disk wipe sind bekannt und nicht neu. Was jedoch neu ist, sind Angriffe gegen Werkzeuge der IT Forensik die dann aktiv werden wenn der Forensiker mit seinem Tool angeschlagen hat. Es ist fast das gleiche als wenn man die Tatwaffe verschwinden lässt, die Fingerabdrücke seines geliebten Nachbarn verteilt oder eine Auswertung zu verwirren indem man andere Munition am Tatort verstreut. Das geschieht so auch in der IT Forensik. Um eine Auswertung zu verhindern, den Datenträger zu überschreiben, die Regestry überschreiben und natürlich auch die Klassiker Steganographie oder die Verschlüsselung des kompletten Datenträgers. Oder man trifft Maßnahmen welche eine Auswertung erheblich verzögern. Man kann Spuren von einer Forensik Software hinterlassen, um dann behaupten zu können der Auswerter hat meinen Datenträger manipuliert und direkt darauf geschrieben und unbrauchbar gemacht. Zeitstempel zu manipulieren um den Auswerter zu beeinflussen um zu verwirren. 30 bis 50 Fake und Krypto Container ablegen. Eine Zipp Bombe hinterlassen das wenn man die entpackt nette 100x100 Terrabyte erhält. Dies alles ist nicht neu aber es funktioniert gut. Buffet Overflow Techniken können Auswertungen verzögern oder komplett verhindern und letztlich verhindert es die Hashes von Dateien zu verändern. Ein IT Forensiker arbeitet mit Hash Datenbanken und wenn man dann 15000 Bilder hat und es wird nur ein Bit verändert dann verändert sich auch die Prüfsumme und die automatisierte forensische Untersuchung ist dann vergebens.

Fazit
Wie wissen jetzt, dass kleine Probleme fatale Folgen haben können. Wir wissen auch, dass in IT Forensik Softwareprobleme bestehen und auch noch gefunden werden wollen. Das bedeutet wiederum, dass alle beteiligten noch aufmerksamer arbeiten müssen und dürfen nicht dem Zeitdruck und Eile erliegen schnell Ergebnisse zu liefern. Jeder Fall ist individuell und hinter jedem steckt ein Schicksal. Es kann ein schuldiges aber auch ein unschuldiges sein deshalb muss man in diesem Bereich sehr sauber arbeiten.

Datenrettungsanfrage

über ICF Kontakt Download