IT-Forensik Verbrechensdaten auf der Spur
Anbieter zum Thema
Nicht nur nach Cyberattacken, auch in der täglichen Polizeiarbeit werden digitale Spuren als Beweismittel immer wichtiger. Ihre Sicherung und gerichtsverwertbare Aufbereitung ist eine Herausforderung für IT-Forensiker und Ermittler.

Die Gefahr von Cyberattacken auf öffentliche Einrichtungen ist seit Beginn des Ukrainekriegs noch gewachsen. Wenn sich Behörden und Betreiber kritischer Infrastrukturen mit Notfallplänen auf den Ernstfall vorbereiten, dann geht es nicht nur um Schadensbegrenzung und Datenwiederherstellung; auch die Maßnahmen der IT-Forensik zur Sicherung, Analyse und gerichtsverwertbaren Aufbereitung digitaler Beweise sind mit einzuplanen.
Die Vorbereitung zählt: Was Behörden tun können
Zwar werden mit diesen Untersuchungen meist externe Spezialisten betraut, wie die CERT (Computer Emergency Response Teams) von Bund oder Land, es liegt aber auch an den betroffenen Einrichtungen selbst, ob wichtige Beweise gesichert und relevante Daten zügig identifiziert werden können. Schon die ersten Schritte sind entscheidend. BSI und CERT Bund warnen in ihrem Arbeitspapier zur Ersten Hilfe bei einem schweren IT-Sicherheitsvorfall: Jede Aktion zur Analyse auf einem kompromittierten System „kann im schlimmsten Fall dazu führen, dass ermittlungsrelevante Daten unwiderruflich verändert, zerstört oder gelöscht werden. Für eine Beweissicherung sollte daher der erste Schritt sein, ein forensisches Abbild des Systems anzufertigen.“
Im „Leitfaden IT-Forensik“ erläutert das BSI zudem, wie schon durch eine kluge strategische Vorbereitung die spätere Auswertung der forensisch relevanten IT unterstützt werden kann. Empfohlen wird auf jeden Fall eine ausführliche Dokumentation der IT-Anlage, denn nach einem Cyberangriff muss sehr schnell bestimmt werden, welche Netzwerkabschnitte und folglich welche Daten betroffen sind. „Es geht dabei nicht nur um eine Liste von Dateien und Speicherorten, sondern auch darum, wer darauf Zugriff hat und von welchen Programmen diese Daten verwendet werden“, sagt Jens Reumschüssel, Director of Sales DACH – Public Sector bei Exterro. Mit einer entsprechenden Übersicht ließe sich auch die Menge der zu untersuchenden Daten sinnvoll eingrenzen. „Oft haben die Behörden an sich selbst den Anspruch, relevante Daten zu erkennen und nicht Terabytes an zusätzlichen Daten an die Ermittlungsbehörden oder Beratungsfirmen weiterzugeben“, so Reumschüssel.
Im Rahmen polizeilicher Ermittlungen ist es für Spezialisten der IT-Forensik noch schwieriger, die relevanten Daten herauszufiltern. Auch hier ist der erste Schritt die forensische Sicherung; die Verschlüsselung wie auch die schiere Menge an Daten erschweren jedoch die Arbeit. Allein Smartphones, die heute in fast jeder Ermittlung eine Rolle spielen, verfügen bereits ab Werk über Verschlüsselungsfunktionen, ihre Speicherkapazitäten erreichen den Terabyte-Bereich.
Die gefundenen Daten sind zudem äußerst heterogen: Bilder, Videos, Chatverläufe, App-Daten. Hinzu kommen Spuren auf Laptops, Servern oder in Cloudumgebungen, IoT- und Bewegungsdaten. Um in dieser Datenflut die entscheidenden Puzzlestücke zur Lösung eines Falls zu finden, bedarf es einer engen Abstimmung: Die Forensik-Experten müssen wissen, wonach gesucht werden soll, etwa nach Verbindungen zwischen Personen. Und die Ergebnisse dieser forensischen Auswertungen benötigen Polizeibeamte für ihre laufende Ermittlungsarbeit. Aus Sicht von Jens Reumschüssel können Software-Tools mit leicht bedienbaren Benutzeroberflächen helfen: „So könnten Ermittler zum Beispiel in Mailverläufen suchen, Daten entsprechend gruppieren und mit Anmerkungen versehen.“
Ganzheitlicher Ansatz und Standards
Die Entwicklung neuer Tools, ob für Ermittler oder IT-Spezialisten, ist jedoch nicht die einzige Aufgabe. Ziel der Forensik ist es, die Untersuchungsergebnisse gerichtsverwertbar zu präsentieren. Es muss dabei für die Gerichte nachvollziehbar sein, dass Beweismittel nicht verändert und sichere Verfahren angewendet wurden. Diese Nachweise sind jedoch gerade bei grenzüberschreitenden Ermittlungen schwierig zu erbringen, wenn es noch zu wenige einheitliche Richtlinien gibt. Abhilfe versprechen hier aktuelle EU-Projekte zu Standards und gemeinsamen Plattformen in der IT-Forensik.
So ist das Projekt LOCARD der Entwicklung einer ganzheitlichen, vertrauenswürdigen Plattform gewidmet, auf der Daten entlang der gesamten Kette des forensischen Arbeitsablaufs manipulationssicher hinterlegt und mit ausgewählten Partnern geteilt werden können. Die Entwickler nutzen dabei die Blockchain-Technologie, um die Unveränderlichkeit der Beweise zu sichern und nachvollziehbar zu dokumentieren. Nach der Bereitstellung einer Beta-Version sind während einer dreimonatigen Verlängerungsphase bis Ende Juli 2022 weitere Anpassungen geplant, dafür sollen vor allem Endnutzer einbezogen werden.
Bereits abgeschlossen ist das Projekt FORMOBILE: Unter Leitung der Hochschule Mittweida haben 19 Partner, darunter mehrere europäische Polizeibehörden, ein umfassendes Normungsdokument sowie Tools und Trainingsangebote für die Mobilfunkforensik erarbeitet. Das Ergebnis wurde in Form eines CEN Workshop Agreements (CWA) veröffentlicht.
(ID:48455545)