News, Tipps und Tricks zur Datenrettung und IT-Forensik

Fallbeispiele erfolgreicher IT-Forensik (11)

Abgelaufen

Analyse von Webbrowser-Daten

Browserverläufe und Internetaktivitäten geben tiefe Einblicke in das digitale Verhalten eines Nutzers. Wir analysieren Suchverläufe, Cookies, besuchte Seiten und Formulareingaben – lokal wie cloudbasiert und rekonstruieren so relevante Abläufe. Besonders hilfreich bei der Aufklärung von Datenschutzverstößen, Cybercrime oder internen Vorfällen.

Praxisbeispiel - Forensische Analyse von Webbrowser-Verlaufsdaten zur Bewertung des Nutzerverhaltens in einem behördlich angeordneten Ermittlungsverfahren

Im Rahmen eines umfangreichen Ermittlungsverfahrens wurde unser forensisches Institut von einer zuständigen Behörde mit der Analyse verschiedenster sichergestellter Asservate beauftragt. Im Zentrum der Untersuchung standen mehrere IT-Systeme darunter stationäre Computer Laptops und mobile Endgeräte die im Zuge einer koordinierten Maßnahme sichergestellt worden waren. Ziel war es festzustellen in welchem Umfang und mit welcher Intensität die betroffenen Geräte für den Zugriff auf bestimmte internetbasierte Inhalte genutzt worden waren.

Ein wesentlicher Bestandteil der Untersuchung war die forensische Auswertung der Webbrowser-Verkaufsdaten auf allen relevanten Geräten. Dabei wurde systematisch geprüft ob und in welchem Zeitraum gezielte Internetaktivitäten stattgefunden hatten, die im Zusammenhang mit den eingeleiteten Ermittlungen standen. Mithilfe spezieller Analysewerkzeuge wurden Browserverläufe aus unterschiedlichen Quellen extrahiert darunter temporäre Dateien Datenbanken des Browsers und systeminterne Artefakte wie Prefetch-Dateien und DNS-Cacheeinträge.

Die Herausforderung bestand darin unterschiedliche Browsertypen und Versionen auf verschiedensten Betriebssystemen auszuwerten und auch gelöschte beziehungsweise manipulierte Daten wieder sichtbar zu machen. In mehreren Fällen war der Browserverlauf manuell entfernt, jedoch konnten durch die tiefgreifende Analyse über Schattenkopien und Speicherfragmente frühere Aktivitäten rekonstruiert werden. Diese enthielten detaillierte Informationen über besuchte Webseiten Zeitstempel Suchbegriffe Verweildauer und Nutzung bestimmter Webdienste.

Besonders aufschlussreich war die Korrelation zwischen den zeitlichen Mustern des Surfverhaltens und der parallelen Nutzung anderer Anwendungen auf den Geräten. Dadurch ließ sich das individuelle Nutzerverhalten präzise rekonstruieren und in den Kontext des laufenden Verfahrens einordnen. In mehreren Fällen konnten wiederkehrende Zugriffsmuster auf spezifische Inhalte identifiziert werden die sowohl thematisch als auch zeitlich mit anderen forensisch gesicherten Informationen aus Chats E-Mails und Dateiablagen in Verbindung standen.

Die vollständige Analyse wurde in einem gerichtsverwertbaren Gutachten dokumentiert, das als Grundlage für die weiteren Ermittlungen diente. Durch die gezielte Extraktion und Auswertung der Webbrowser-Verkaufsdaten konnten entscheidende Einblicke in das Verhalten und die Absichten der untersuchten Personen gewonnen werden. Der Fall unterstreicht die Bedeutung browserbasierter Spuren für die digitale Forensik insbesondere im Rahmen komplexer behördlicher Verfahren, bei denen die Nutzung des Internets eine zentrale Rolle spielt.

Praxisbeispiel – erweiterte forensische Analyse zu den bereits hier ganannten Fällen

Neben der Analyse des Webbrowser-Verlaufs beinhaltete die forensische Gesamtuntersuchung eine umfassende Auswertung aller lokal und extern gespeicherten Dateien. Dabei wurde geprüft ob Dateien mit bestimmten Inhalten vorhanden verändert oder gelöscht worden waren und in welchen Zeiträumen Zugriffe erfolgten. Ein besonderer Fokus lag auf der Wiederherstellung gelöschter Dateien aus unstrukturierten Speicherbereichen wie freiem Speicher und temporären Ablagen.

Ein weiterer Schwerpunkt der Untersuchung war die Analyse von Kommunikationsdaten. Dazu gehörte die Auswertung von E-Mail-Konten Messenger-Diensten und Chatverläufen, einschließlich der zugehörigen Metadaten. Ziel war es Kommunikationsmuster zu erkennen Netzwerke zwischen beteiligten Personen aufzuzeigen und gegebenenfalls Zusammenhänge mit anderen digitalen Spuren herzustellen.

Darüber hinaus wurden Protokolldateien des Betriebssystems und installierter Anwendungen systematisch gesichert und untersucht. Diese Logdaten lieferten Hinweise auf das An- und Abmeldeverhalten der Nutzer systeminterne Warnungen sowie externe Speicherzugriffe und erlaubten Rückschlüsse auf die Nutzung von USB-Geräten und Cloud-Diensten.

Ein wesentlicher Teil der Untersuchung betraf die Analyse installierter Software und potenziell eingesetzter Tarn- oder Löschwerkzeuge. Dabei wurde geprüft ob Programme zur Verschlüsselung zur Anonymisierung oder zur gezielten Datenlöschung installiert und verwendet wurden. Diese Bewertung erfolgte stets im Zusammenhang mit dem ermittelten Nutzerverhalten und den Gesamtbefunden der anderen Analysebereiche.

Schließlich wurde auch das Nutzerverhalten im Netz unter Berücksichtigung zeitlicher und inhaltlicher Zusammenhänge eingehend bewertet. Dazu zählte etwa die Analyse von Suchbegriffen Verweildauern auf bestimmten Plattformen und die Nutzung sozialer Medien. Alle Erkenntnisse wurden in einem konsistenten Bericht gebündelt, der das Gesamtbild der digitalen Nutzung über die untersuchten Systeme hinweg darstellte und so eine fundierte Bewertung möglicher Regel- oder Gesetzesverstöße ermöglichte.