IT-Forschung

Mit Computerforensik auf der Spur zerstörter Daten

13.08.2008
Von Guillermo Luz Y Graf
Computerforensik soll Verbrechern, die mit digitalen Mitteln arbeiten, das Handwerk legen. Doch noch ist viel Grundlagenforschung nötig, bis automatisierende Tools die Ermittlungen erschwinglich machen.

Verbrecher brauchen mittlerweile einen guten Rechner. Die Welt des Cybercrime zeigt, wie komfortabel man per Mausklick heutzutage kriminelle Taten vor dem Bildschirm planen, verüben und vertuschen kann. Dabei hat sich das "Betätigungsfeld" immer weiter ausgedehnt - vom schnellen Diebstahl wichtiger Patente mittels USB-Stick über die systematische Industriespionage bis hin zur Planung terroristischer Anschläge. Computerforensik kann sogar zum Politikum werden. Zuletzt wertete Interpol im Auftrag der kolumbianischen Regierung die Rechner des Farc-Kommandanten Raul Reyes aus. Die Regierung in Bogotá hatte behauptet, auf Rechnern, externen Festplatten und USB-Sticks Belege für eine Unterstützung der Guerilla durch den venezolanischen Staatspräsidenten Hugo Chavez gefunden zu haben. Caracas entgegnete, dass diese Dokumente nachträglich vom kolumbianischen Militär gefälscht worden seien.

Computerforensik belegt Delikte, aber entlastet auch Verdächtige, sagt Reinhold Kern, Chef-Forensiker bei Kroll Ontrack
Computerforensik belegt Delikte, aber entlastet auch Verdächtige, sagt Reinhold Kern, Chef-Forensiker bei Kroll Ontrack

"Das ist natürlich nur der Gipfel der Einsatzmöglichkeiten der Computerforensik", kommentiert Reinhold Kern, Director Computer Forensics bei Kroll Ontrack. "Es zeigt die Relevanz der digitalen Ermittlung. Ganz gleich, um welche Delikte es geht, Computerforensiker können durch die verschiedensten Werkzeuge entscheidende Ermittlungsarbeit leisten."

Kein Wunder, dass Unternehmen in Deutschland immer mehr Aufträge zur internen Vorabermittlung erteilen, meint Kern: "Unternehmen hegen zum Beispiel plötzlich den Verdacht, dass Interna oder geistiges Eigentum die vier Wände des Unternehmens verlassen. Die Betroffenen können durch die Ermittlung eines technischen Dienstleisters Verdachtsmomente im Vorfeld erhärten oder beseitigen - im Einklang mit den Regularien des Datenschutzes. Forensiker können die Ergebnisse gerichtsverwertbar aufbereiten und den Fachjuristen zur rechtlichen Interpretation übergeben."

Aufgaben in der Praxis

Die IT-Forschung erweitert die zukünftigen Möglichkeiten der Forensik. Zum dominierenden digitalen Verbrecherhandwerk gehören Spionage, Veruntreuung, Sabotage oder Manipulation und Fälschung. Jede Aktivität am PC hinterlässt dabei Spuren. Daraus ergeben sich zwei Hauptaufgaben. Log-Einträge können eine Historie der Rechneraktivitäten zeichnen und so belegen, was wann am Rechner geschah. Die Leitfragen der Untersuchung lauten dabei:

  • Wer hatte offiziell Zugriff auf Daten?

  • Kam es zu unautorisierten Zugriffen?

  • Welche Daten wurden von wem wann zuletzt genutzt?

  • Wurden Daten kopiert oder per E-Mail versendet?

Zweite Aufgabe ist die Suche nach verwischten Spuren. Gelöscht geglaubte Daten lassen sich wiederherstellen, solange sie nicht überschrieben oder physikalisch zerstört wurden.

Professionelle Ermittler verfügen über eine Reihe von im Rahmen einer Grundlagenforschung selbst entwickelten und patentierten Instrumenten. Ein wichtiger Garant, dass die Forensiker gegenüber dem Cybercrime nicht zurückfallen, ist die Anpassung an den neuesten Stand der IT, insbesondere in der Speicherorganisation. Wichtig ist zum einen, immer gründlicher gelöschte Daten retten zu können. Zum anderen müssen neue und schlecht dokumentierte Datensysteme so schnell wie möglich rekonstruiert werden.