Angreifer möchten weder als solche erkannt, noch ihrer Taten überführt werden und versuchen in jeder erdenklichen Weise die Ermittlungsarbeit zu behindern oder gar unmöglich zu machen.
Martin Wundram
Hotline: Beratung aus erster Hand

0365-7109258

Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.

Digitale Spuren vermeiden, verwischen und falsche Fährten legen

Wie wir nun wissen, ist IT-Forensik ein Teilgebiet der Forensik und nicht spannender oder weniger spannend als andere Bereiche der Forensik. Zu erleben sind Situationen, wo kleine Probleme enorme Auswirkungen zur Folge haben.

Ein Beispiel aus der Berichterstattung mit 45 Tatorten:

Eine verdächtige Person ist ein möglicher Serientäter. So wurde dieser Person von 2011 bis 2014 hinterher ermittelt, denn an allen Tatorten hatte man die gleiche DNA gefunden und siehe da aus Beweismitteln von 1996 konnte ebenfalls die DNA dieser betreffenden Person zugeordnet werden. Nur war es ein Mitarbeiter eines Pharmaunternehmens, das die Tupfer Stäbchen herstellte und diese im Zuge der Verarbeitung kontaminierte, was schließlich dazu führte, dass die Ermittlungsergebnisse unbrauchbar waren. So musste der Fall von Beginn an neu aufgerollt werden.

IT Forensik als Teilgebiet der Forensik stellt nicht anderes als eine Recherche dar

Wir verwenden Begriffe Computer Forensik, digitale Forensik, mobile Forensik und aus dem Englischen: Computer Forensics, in denen das Ziel ist, verdächtige oder nur relevante Vorgänge aufzuklären und Sicherheitsvorfälle zu untersuchen. Eine Verwendung der erlangten Erkenntnisse vor Gericht ist nicht immer notwendig, wird aber dennoch oft angestrebt und durchgesetzt.

Es geht dabei immer um Klärung der W-Fragen. Was ist Wo und Wie geschehen und Wer hat Wann, Was, Warum gemacht. Dies unterliegt einem Prozess der da heißt, Identifizierung, Sicherstellung, Analyse, Auswertung des Datenmaterials. Also ein geplantes Vorgehen, damit nicht dieses Tupferstäbchen-Problem eintritt.

Herausforderung

Ein IT Forensiker steht vor enormen Herausforderungen, denn die Beweise, die man sicherstellt, dürfen unter keinen Umständen oder so wenig wie möglich verändert werden.

An einem Computer stellt diese Erwartung ein Problem. Im Arbeitsspeicher ändern sich ständig relevante Informationen. So werden allein durch das Einschalten des Rechners vorhandene Beweise vernichtet. Dies können belastende aber auch entlastende Beweise sein, die nicht gefunden und ausgewertet werden können. Das gilt für die gesamte Beweismittelkette. Nicht nur die Sicherstellung, der Ausbau einer Festplatte und die Analyse sind wichtig, es sind die Schritte danach. Wenn man eine Datei entpackt, analysiert und weiteren anderen Analyseschritten unterzieht und hier ein Fehler geschieht und somit die Beweismittelkette unterbrochen wird, kann das Ergebnis dieser Auswertung in eine falsche Richtung laufen. Das führt dazu, dass jemand zu Unrecht beschuldigt oder zu Unrecht entlastet wird. Hinzu kommt, dass alle Aktionen dokumentiert und nachvollziehbar gemacht werden, sodass als IT Forensiker aber auch als Betroffener der Gegenseite jederzeit eine Kontrolle möglich gemacht wird.

Worin liegt jedoch die Schwierigkeit eines IT Forensikers?

Ein Forensiker kann auf Anhieb nicht alles. Und er muss sich bewusst darüber sein, dass die Gegenseite topfit ist in einem Teilgebiet oder mehreren Teilgebieten. Als IT Forensiker ist man als Allrounder einem Spezialisten gegenübergestellt. Das führt dazu, dass man als Forensiker Dinge, welche sehr gut versteckt sind, nicht auf Anhieb findet und demzufolge die Gefahr besteht, nicht gefunden zu werden und somit auch nicht untersucht werden. Geschuldet ist das aber auch durch Zeitdruck und Eile, denn eigentlich benötigt man dafür viel intensive Zeit und Gründlichkeit.Ein korrektes Arbeiten ist unablässig, wichtig und entscheidend. Als IT Forensiker ist man angewiesen auf spezielle IT Forensik Software, welche riesige Datenbestände auswertet. So kommen sehr schnell mehrere Terrabyte Datenbestände zusammen.

Jetzt stellen wir uns vor, man müsse mehrere Computersysteme und deren riesigen Datenbestände händisch auswerten, was so gut wie unmöglich ist. Hier müssen Automatisierungsprogramme unterstützend eingreifen. Wenn diese jedoch nicht korrekt angewendet werden und falsche Ergebnisse liefern, hat man ein ernstzunehmendes Problem. So sollte man auch zwei verschiedene Forensik Programme benutzen um evtl. Fehler im Programm zu erkennen. Auch darf das Auswertesystem nicht mit dem Internet verbunden sein. Das wenn man mit Schad-Code oder Mail-Mare arbeitet diese nicht den Auswerterechner befallen und sich im Internet verbreiten. So müssen schließlich Schlussfolgerungen auf Fakten basieren und keine Spekulationen zulassen, um dann daraus unzulässige Schlüssen zu ziehen.

Doch leider ist die Wirklichkeit etwas anders. Nicht selten stehen Forensiker unter Zeitdruck und haben kein Budget, sind zu unerfahren oder sogar abgelenkt, indem man keine Zeit mehr hat den Dingen auf den Grund zu gehen.

Der Gegenspieler

Hier kommt Anti Forensik ins Spiel. Was wäre denn die eleganteste Lösung? Man müsse nur die Forensiker aus dem Verkehr ziehen. Keine Forensiker, somit keine Forensik mehr, aber das lässt sich nur sehr schwer realisieren. Jetzt versetzen wir uns einmal in die Lage eines Hackers und dann müssen wir uns auch Gedanken machen, dass mein Computer irgendwann beschlagnahmt wird und dann wäre es zu spät Vorkehrungen zu treffen. Es muss geplant und vorbereitet werden, um keine oder so wenig wie nur möglich Spuren zu hinterlassen. z. B.: der Häcker, der seine Einbruchsspuren verwischen muss oder der Downloader, der die Downloadspuren verwischt, weil man irgendwann illegales heruntergeladen hat. Registry Cleaner und Disk wipe sind bekannt und nicht neu. Was jedoch neu ist, sind Angriffe gegen Werkzeuge der IT Forensik, die dann aktiv werden, wenn der Forensiker mit seinem Tool angeschlagen hat. Es ist fast das gleiche, wie wenn man die Tatwaffe verschwinden lässt, die Fingerabdrücke seines geliebten Nachbarn verteilt oder eine Auswertung zu verwirren, indem man andere Munition am Tatort verstreut. Das geschieht so auch in der IT Forensik. Um eine Auswertung zu verhindern, den Datenträger zu überschreiben, die Registry überschreiben und natürlich auch die Klassiker Steganografie oder die Verschlüsselung des kompletten Datenträgers. Oder man trifft Maßnahmen, die eine Auswertung erheblich verzögern. Man kann Spuren von einer Forensik Software hinterlassen, um dann behaupten zu können, der Auswerter hat meinen Datenträger manipuliert und direkt darauf geschrieben und unbrauchbar gemacht.

Zeitstempel zu manipulieren, um den Auswerter zu beeinflussen, um zu verwirren. 30 bis 50 Fake und Krypto Container ablegen. Eine Zip Bombe hinterlassen, die entpackt nette 100x100 Terrabyte erhält. Dies alles ist nicht neu, aber es funktioniert gut.

Buffet Overflow Techniken können Auswertungen verzögern oder komplett verhindern und letztlich verhindert es die Hashes von Dateien zu verändern. Ein IT Forensiker arbeitet mit Hash Datenbanken und wenn man dann 15000 Bilder hat und es wird nur ein Bit verändert, dann verändert sich auch die Prüfsumme und die automatisierte forensische Untersuchung ist dann vergebens.

Fazit
Wie wissen jetzt, dass kleine Probleme fatale Folgen haben können. Wir wissen auch, dass in IT Forensik Softwareprobleme bestehen und auch noch gefunden werden wollen. Das bedeutet wiederum, dass alle Beteiligten noch aufmerksamer arbeiten müssen, Sie dürfen nicht dem Zeitdruck und der Eile erliegen, schnell Ergebnisse zu liefern. Jeder Fall ist individuell und hinter jedem steckt ein Schicksal. Es kann ein schuldiges aber auch ein unschuldiges sein, deshalb muss man in diesem Bereich sehr sauber arbeiten.