Gerichtverwertbarer Nachweis eines Datendiebstahls

Auswertung der Ereignisprotokolle

In diesem Artikel soll dargestellt werden, in welchen Schritten ein solches Gutachten erstellt wird und was dabei an Ergebnissen zu erwarten ist.

  1. Im ersten Schritt wenden wir uns den, für die Gutachtenerstellung benötigten, Eingangsvoraussetzungen zu. Damit die erzielten Ergebnisse später auch gerichtsverwertbar sind, darf das Ausgangsdatenmaterial nicht verändert werden. Das führt dazu, dass der zu analysierende Computer nicht gestartet werden darf.

  2. Der in ihm enthaltene Datenträger wird stattdessen ausgebaut und vom Festplatten-Speicher ein RAW Image erstellt. Bei der Erstellung dieses RAW-Image muss unbedingt ein Schreibschutz verwendet werden.

  3. Es wird eine Prüfziffer auf das Image gezogen, sodass man auch später noch beweisen kann, dass das Ausgangsdatenmaterial, welches der Analyse zugrunde gelegt wurde, unverfälscht bzw. nicht verändert wurde.

Unter diesen wichtigen Voraussetzungen ist der erste Schritt in einer forensischen Untersuchung die Überprüfung der Registry der Systemdatenbank von Windows vorzunehmen. In der Registry sind alle Informationen über die Systemkonfiguration und die Systemnutzung zusammengefasst. In Bezug auf einen möglichen Datendiebstahl lassen sich alle wichtigen Informationen gewinnen wie zum Beispiel: wer wann an welchem System angemeldet gewesen war. Welche Programme und Dokumente wurden benutzt, welche USB Geräte waren angeschlossen und auf welchen Drucker wurden gedruckt.

Im Zusammenhang der Registry Analyse geht auch die Auswertung der Ereignisprotokollierung, welche in einem gesonderten Beitrag genauer betrachtet werden soll hervor. Die Registry umfasst eine Vielzahl von Informationen. Um sie gezielt auswerten zu können, werden Werkzeuge eingesetzt, welche für die unterschiedlichsten Analyseziele verschiedene Filter und Profile vorgeben und diese auch ggf. zu erweitern sind, um die große Datenmengen einzugrenzen.

  1. Als nächster Schritt erfolgt die Festplattenforensik, eine Volltextsuche auf dem gesamten Datenträger einschließlich gelöschter und veränderter Dateiobjekte. Zu diesem Zweck müssen gelöschte Dateien wiederhergestellt werden, was man mit Hilfe von Carving Technik auf Basis von Dateisignaturen bewerkstelligt.

  2. In einem weiteren Schritt werden Dateiobjekte indiziert. D.h. mit der Überlegung von relevanten Suchbegriffen durchsucht man den Inhalt sämtlicher Dateien. Da es bei einer solchen Suche zu einer sehr hohen Treffermenge kommen wird, spricht man Filtertechniken eine große Bedeutung zu. Diese erlauben es Suchtreffer einzeln oder in Kombination und in Kombination mit weiteren Merkmalen z.B.: Dateinamen, Dateitypen, Dateigrößen, Attributen etc. so weit einzugrenzen, dass man im kommenden Schritt sinnvoll eine inhaltliche Analyse der relevanten Funde vorlegen kann.

Bei einer solchen Analyse trifft man auch auf kennwortgeschützte Datenbanken oder auch ein Smartphone-Backup, denen man sich mit gesonderten Untersuchungsmetoden annehmen muss.

Von großem Interesse ist die Auswertung dienstlicher und auch privater E-Mails, wobei das Erkennen einer E-Mail eine wesentliche Voraussetzung im Rahmen der Browser-Diagnose, die Benutzung von privater Mail nachzuweisen ist.

Bei der Browser-Forensik trifft man in der Regel auf wiederhergestellte oder auch vorhandene Historien-Daten des Browsers. Damit ist auch das Surfverhalten des Nutzers ganz allgemein möglich ob z.B.: während der Dienstzeit private Aktivitäten nachweisbar sind.

Im Kontext zu Datendiebstahl ist von Interesse, ob private E-Mail Adressen benutzt und wann welche Daten versendet und auch empfangen worden sind. Da es auch hier zwangsläufig zu umfangreichem Datenmaterial kommen muss, sind auch hier umfangreiche Filterungstechniken notwendig.

Es sollte möglich sein, die Zusammenfassung der Verläufe aller benutzten Browser in einem einzigen Workspace darzustellen. Ebenso muss die Darstellung aller Typen von Historien in ihrer zeitlichen Abfolge möglich sein. Über eine eigene Datenbank, welche man mithilfe der Abfragesprache SQL bearbeitet, sind somit sehr komplexe und umfassende Auswertungen möglich.

Betrachtet werden müssen aber immer die Rahmenbedingungen für solch ein Gutachten. Neben der Auswertung eines Computers oder Notebooks auch die für den dienstlichen Gebrauch auch die eingesetzten Server. So lassen sich auf dem Exchange Server sehr umfangreiche Analysen erstellen und auch gelöschte E-Mails wiederherstellen. Auch Logdateien geben Auskunft über Zugriffe von Benutzern auf bestimmte Netzwerke.

Wenn es Hinweise auf iPhone Backup gibt, kommt die mobile Forensikk zur Anwendung, welche in einem weiteren Beitrag Thema sein wird. Somit gilt: Gerichtsverwertbare Gutachten beruhen auf Tatsachen die fachlich fundiert belegt werden müssen.