Spurensuche zwischen Bits und Bytes

12.09.2005
Wenn ein Unternehmen den Verdacht hat, dass seine IT-Systeme für eine Straftat benutzt wurden, oder ein Mitarbeiter gegen Richtlinien verstoßen hat, lässt sich mit Computer-Forensik Klarheit schaffen.

Es ist bereits nach Dienstschluss, als ein Wagen vor dem Firmensitz hält, mehrere unauffällig gekleidete Männer aussteigen und mit einigen schwarzen Koffern zielstrebig auf das Gebäude zugehen. Am Eingang werden sie bereits von einem Mitarbeiter erwartet, der sie umgehend in die Büros der Forschungsabteilung führt. Dort beginnen die Experten mit ihrer Arbeit: Mit Spezial-Equipment aus ihren Koffern untersuchen sie die Rechner der Angestellten und erstellen Kopien der Festplatten und Datenträger. Sie gehen dabei routiniert und konzentriert zu Sache, halten jeden einzelnen ihrer Arbeitsschritte genau fest.

Empfehlungen für den Ernstfall

• Verfahren Sie nach Ihren festgelegten Security-Incident-Response-Abläufen;

• informieren Sie das Management;

• alarmieren Sie Ihre Security-Spezialisten;

• informieren Sie nicht die gesamte Organisation, sondern halten Sie die Gruppe der Mitwissenden am Anfang so klein wie möglich;

• sichern Sie sofort alle Protokolldateien auf separaten Systemen;

• bereiten Sie eine forensische Datensammlung vor (Sammlung der flüchtigen Informationen, Erstellen von forensischen Duplikaten).

• protokollieren Sie jede Tätigkeit (auch die dabei eingesetzten Tools), die Sie am verdächtigen System durchführen;

• sichern Sie den Zutritt zu den Räumen mit den betroffenen Systemen ab;

• treffen Sie erste Einschätzungen, welchen Ausmaßes der Sicherheitsvorfall sein kann und ob mehr Systeme betroffen sind.

• treffen Sie erste Einschätzungen, welche Konten von Anwendern betroffen sein könnten;

• analysieren Sie nicht die Originaldaten, sondern vorher erstellte Sicherheitskopien. Stellen Sie sicher, dass das System nicht verändert wird. Quelle: Alexander Geschonnek, Hisolutions

Hier lesen Sie …

• wann Computer-Forensik benötigt wird;

• in welchen Systemen sich digitale Spuren finden lassen;

• wie diese Beweismittel zu sichern sind;

• welche Tools man dazu verwenden kann;

• welche Spezialisten dabei helfen können.

Was ist Computer-Forensik?

Der Begriff "forensisch" ist lateinischen Ursprungs und bedeutet soviel wie kriminaltechnisch, gerichtlich. Gegenstand der Forensik ist die Suche nach Spuren und der Versuch, einen Tathergang zu rekonstruieren. Als Spezial- gebiet befasst sich die Computer-Forensik dabei laut Wikipedia "mit der Untersuchung von verdächtigen Vorfällen im Zusammenhang mit IT-Systemen und der Feststellung des Tatbestandes und der Täter durch Erfassung, Analyse und Auswertung digitaler Spuren in Computersystemen".

Die eigentliche Arbeit beginnt jedoch erst im Anschluss daran: Im Labor analysieren die Experten das gesicherte Material, stellen gelöschte Dateien wieder her und setzen die Ergebnisse ihrer Arbeit miteinander in Verbindung. Dabei bestätigt sich der Verdacht des Arbeitgebers: Einige Mitarbeiter hatten während ihrer regulären Arbeitszeit Pläne für die Gründung einer eigenen Firma geschmiedet, wobei sie die Systeme ihres Noch-Arbeitgebers nutzten. Verdacht hatte der geschöpft, als mehrere Kollegen innerhalb kurzer Zeit ihre Kündigung einreichten.

In solchen und ähnlichen Fällen kann die so genannte IT- oder Computer-Forensik wertvolle Dienste leisten. Egal, ob es sich um den Verdacht handelt, dass ein Mitarbeiter Informationen aus dem Unternehmen schafft, oder die Vermutung, dass ein Hacker von außen in das Firmennetz eingedrungen ist und Daten manipuliert beziehungsweise ausgespäht hat: Immer geht es darum, den Sachverhalt aufzuklären und Gewissheit zu schaffen, ob und in welchem Umfang dabei Schäden entstanden sind. Das geschieht, indem Spuren innerhalb von IT-Systemen gesichert und analysiert werden.

Sherlock Homes lässt grüßen

In vielen Fällen ist es somit möglich, Ereignisse beweiskräftig zu rekonstruieren. Handelt es sich gar um eine Straftat oder Verstöße gegen Unternehmensrichtlinien, können die so gewonnenen Erkenntnisse dazu beitragen, den oder die Täter zu überführen, um sie dann vor Gericht zur Rechenschaft zu ziehen. Das ist beispielsweise der Fall, wenn es um Verstöße gegen das Urheberrecht und das Speichern von Raubkopien auf Unternehmensrechnern oder die Verbreitung von Kinderpornografie geht.

Häufig ist das Kind bereits in den Brunnen gefallen, ehe überhaupt damit begonnen wird, sich Gedanken über das Notfall-Management zu machen. Alexander Geschonnek, Autor des Buchs "Computer-Forensik" und leitender Sicherheitsberater bei Hisolutions, Berlin, kritisiert: "Wir erleben es öfter, dass Administratoren völlig unvorbereitet in eine Situation geraten, in der Ermittlungen nötig sind." Weil sie sich noch nie mit der Möglichkeit eines solchen Ereignisses beschäftigt haben, sind sie dann konzeptlos und wissen nicht, was als erstes zu tun ist.

Jeden kann es treffen

Bodo Meseke, Leiter Computerforensik bei Ibas, empfiehlt daher, Regeln für erste Maßnahmen festzulegen, bevor ein solcher Fall eintritt. Das zwingt die Betroffenen strukturiert vorzugehen und einen kühlen Kopf zu bewahren. Außerdem verhindert es unter Umständen, dass durch hektisches Vorgehen wichtige Beweise vernichtet werden. Zudem hilft eine Checkliste, sich so zu verhalten, dass die gesicherten Spuren sich später auch juristisch verwerten lassen, wenn das nötig sein sollte.

Liegt ein konkreter Verdacht vor und hat sich das Unternehmen dazu entschlossen, eine Untersuchung einzuleiten, gilt es, den "Tatort" möglichst nicht zu verändern. Geschieht das nicht, riskiert man, wichtige Spuren zu vernichten. Zu den Erstmaßnahmen sollte daher gehören, den Zugang zu dem oder den betroffenen Systemen zu sperren.

Zusätzlich können der Netzzugang getrennt und die Stromversorgung unterbrochen werden. In besonders akuten Fällen ist jedoch selbst davon abzuraten, weil sich sonst flüchtige Daten nicht mehr sichern lassen. Hinweise auf angemeldete Anwender, aktive Netzverbindungen, geöffnete Anwendungen, laufende Prozesse oder den belegten Arbeitsspeicher gehen dann verloren, warnt Geschonnek.

Aus Sicht des Experten kann es auch nicht schaden, ein oder mehrere Digitalfotos der Arbeitsplatzumgebung anzufertigen. Damit lässt sich festhalten, was auf dem Monitor angezeigt wird, welche Peripheriegeräte angeschlossen und welche Schnittstellen vorhanden sind. Das kann später wichtige Hinweise zur Klärung eines Sachverhalts liefern. Außerdem sind Datenträger wie USB-Sticks, externe Festplatten, Disketten oder CDs sicherzustellen.

Sichern von Spuren wichtig

Weiterführende Untersuchungen sollten Unternehmen dann allerdings Experten überlassen. Zwar gibt es eine Reihe von Tools, die forensische Untersuchungen unterstützen. Dazu gehören etwa "Encase Forensic Edition" von Guidance Software oder das "Forensic Toolkit" von Access Data. Zu nennen ist auch "X-Ways Forensics" des Kölner Unternehmens X-Ways Software Technolgy AG, das laut Geschonnek "sehr gute forensisch Funktionen" bietet und "relativ preisgünstig" ist. Im Open-Source-Bereich gibt es "Autopsy", das eine grafische Oberfläche für andere forensische Tools zur Verfügung stellt.

Mit Werkzeugen wie diesen ist es möglich, Sicherungskopien zu erstellen und große Mengen an Dateien nach bestimmten Schlüsselwörtern zu durchsuchen beziehungsweise Bilddateien nach Kategorien zu sichten. Andere Funktionen umfassen das Wiederherstellen von gelöschten Dateien oder das Auswerten von E-Mails oder Archiven.

Meseke, Forensik-Experte von Ibas, warnt allerdings vor einer "Do-it-yourself"-Haltung im Bereich IT-Forensik: "Auf keinen Fall sollte selbst versucht werden, mit irgendwelchen Tools etwas herauszufinden - dabei richtet man mehr Schaden an, als man denkt."

Nicht zuletzt aus diesem Grund sollte die eigentliche Ermittlungsarbeit externen Fachleuten überlassen werden. Das ist insbesondere dann von Vorteil, wenn es darum geht, einen unabhängigen Prüfbericht zu erstellen. Die IT-Forensiker von spezialisierten Dienstleistungsunternehmen wissen, wie man Systeme so sichert, dass die Originale nicht verändert werden. Das alleine ist eine komplizierte Angelegenheit, die schon im PC-Umfeld nur mit Spezialwerkzeug zu erledigen ist. Noch schwieriger gestaltet sich die Prozedur, wenn von Speichermedien in PDAs oder Handys Kopien angefertigt werden müssen.

In jedem Fall sind bei den Ermittlungen auch einige rechtliche Feinheiten zu beachten. So weist Ibas seine Kunden eigenen Aussagen zufolge immer darauf hin, dass sie berechtigt sein müssen, auf die in Frage kommenden Daten zuzugreifen. Insbesondere im Bereich der E-Mail-Sicherung kann es Probleme geben, weil unter Umständen das Fernmeldegeheimnis gilt. "Im Zweifelsfall ist der Rat eines Anwalts einzuholen, bevor man forensische Untersuchungen startet", empfiehlt Experte Meseke.

Auch die Kripo ermittelt

Wenn Unternehmen eine Straftat vermuten, besteht auch die Möglichkeit, sich direkt an Behörden wie die Kriminalpolizei zu wenden. Ibas-Mann Meseke gibt jedoch zu bedenken, dass dann automatisch ein öffentliches Verfahren eingeleitet wird. Der Anwender hat anschließend keinen Einfluss darauf, wie schnell die Ermittlungen vorangehen. Oftmals lägen die Bearbeitungszeiten der Behörden zwischen sechs und neun Monaten, weiß der ehemalige BKA-Mann. Bei einem privaten Dienstleister hingegen bestehe die Möglichkeit, schneller zu Ergebnissen zu kommen. Außerdem könnten diese Firmen ihre Arbeit genauer auf die Bedürfnisse des jeweils betroffenen Unternehmens ausrichten und seien im Gegensatz zu Behörden nicht an starre Richtlinien gebunden.

Wer sich für eine forensische Untersuchung entscheidet, muss nicht unbedingt tief in die Tasche greifen. Für ein kurzes, informatives Gespräch, bei dem Anwender auch erste Tipps erhalten, verlangen Dienstleister in der Regel kein Geld. Kosten entstehen jedoch dann, wenn tatsächlich Systeme zu untersuchen sind. Ibas verlangt für eine Erstanalyse eines Rechners mit einer Festplatte pauschal 980 Euro, für weitere Laufwerke des gleichen Systems werden zusätzlich 310 Euro fällig. Der Kunde erhält dann einen Report mit einer Reihe von Basisinformationen. Bei umfangreicheren Analysen auf mehreren Rechnern und womöglich einem Server kommen sehr schnell fünfstellige Beträge auf Anwender zu, erzählt Meseke.

Trotz der Möglichkeiten, die IT-Forensik bietet, bedienen sich momentan erst wenige Unternehmen der Methoden dieser noch relativ jungen Disziplin. Die Bedeutung des Themas könnte in Zukunft jedoch zunehmen. So gehen etwa die Analysten von Gartner Dataquest davon aus, dass sich die Zahl der digitalen Nachforschungen in Unternehmen bis 2007 jährlich verdoppeln wird.