Fallbeispiele erfolgreicher IT-Forensik

Fallbeispiele erfolgreicher IT-Forensik (10)

Abgelaufen

Volume Copy Shadow Service

Unser Volume Copy Shadow Service ermöglicht es, große Datenbestände während des laufenden Betriebs sicher zu sichern. Ohne die Systeme zu unterbrechen, erstellen wir präzise Schattenkopien von Servern und Speichermedien, die sich sowohl zur forensischen Analyse als auch zur Wiederherstellung eignen. Ideal für Unternehmen, die Datensicherheit und Betriebsfähigkeit gleichzeitig gewährleisten möchten.

Praxisbeispiel - Forensische Wiederherstellung von Daten über den Volume Shadow Copy Service in einer Bildungseinrichtung

Eine große Bildungseinrichtung trat an unser forensisches Institut heran, nachdem festgestellt worden war, dass sensible Verwaltungsdaten aus dem Netzwerk eines Fachbereichs gelöscht worden waren. Die betroffenen Daten betrafen unter anderem Prüfungsdokumentationen und interne Protokolle zur Studienorganisation. Es bestand der Verdacht, dass die Löschung absichtlich erfolgt war da die betroffenen Dateien zuvor im Rahmen eines internen Konflikts zwischen zwei Mitarbeitenden mehrfach verändert worden waren. Ziel der Untersuchung war die Wiederherstellung der Daten sowie die Klärung des zeitlichen Ablaufs und möglicher Manipulationen.

Bei der ersten Analyse zeigte sich, dass die Originaldateien nicht mehr auf den betroffenen Systemen vorhanden waren und auch aus dem Netzwerkspeicher entfernt worden waren. Eine Untersuchung der lokalen Arbeitsstationen ergab ebenfalls keine verwertbaren Kopien. Im weiteren Verlauf der Sicherung wurde jedoch festgestellt, dass das System auf mehreren beteiligten Rechnern regelmäßig automatische Schattenkopien über den Volume Shadow Copy Service erstellt hatte. Diese versteckten Sicherungsversionen enthielten frühere Zustände der gelöschten Dateien und konnten über ein speziell angepasstes forensisches Werkzeug extrahiert werden.

Nach der Extraktion der Schattenkopien erfolgte eine chronologische Auswertung der Dateiversionen. Dabei ließ sich feststellen, dass die betroffenen Dokumente über mehrere Wochen hinweg mehrfach bearbeitet und zuletzt innerhalb eines sehr kurzen Zeitraums vollständig gelöscht worden waren. Durch den Abgleich der Zeitstempel mit den Benutzerkonten und den Logdaten des Betriebssystems konnte eindeutig festgestellt werden welcher Nutzer zu welchem Zeitpunkt welche Änderungen vorgenommen hatte. In mehreren Fällen war die Manipulation gezielt darauf ausgerichtet Dokumentinhalte unkenntlich zu machen bevor die Dateien anschließend gelöscht wurden.

Die durch den Volume Shadow Copy Service geretteten Versionen ermöglichten es die ursprünglichen Inhalte der gelöschten Prüfungsunterlagen vollständig zu rekonstruieren. Darüber hinaus ließen sich auch Metadaten wiederherstellen die Informationen zu Entstehungszeitpunkt Bearbeitungsdauer und Dateipfaden enthielten. Diese Daten spielten eine entscheidende Rolle bei der Rekonstruktion des Vorfalls und der internen Aufarbeitung durch die Leitung der Bildungseinrichtung.

Die Ergebnisse wurden in einem ausführlichen forensischen Bericht dokumentiert der neben der Wiederherstellung auch eine technische Bewertung der internen Sicherungs- und Zugriffskonzepte beinhaltete. Der Fall zeigt eindrücklich wie der Volume Shadow Copy Service als stille Sicherheitsfunktion eine zentrale Rolle in der forensischen Analyse spielen kann und wie durch frühzeitige und strukturierte Datensicherung potenziell kritische Informationsverluste erfolgreich aufgefangen werden können.