Computer-Forensik - Beweissicherung durch digitale Autopsie

25.11.2006 | Mainz

Hier gilt analog das Prinzip der Autopsie in Form der Öffnung des Systems zur Erforschung der "Todesursache", sei es ein Absturz oder auch eine Fehlfunktion des Systems. Erklärungen für einen solchen "Todesfall" kann es viele geben, zum Beispiel Hacking-Angriffe, Schadsoftware (Viren, Würmer, Trojaner) oder aber auch den Innentäter, zum Beispiel in Form unzufriedener Mitarbeiter. Bei der Klärung der exakten Ursache hilft dann die Computer-Forensik mit der "digitalen Autopsie". Hierbei erfolgt eine Analyse des noch vorhandenen, oftmals aufwändig rekonstruierten, Datenbestandes und eine logische Verknüpfung der Erkenntnisse mit dem realen Geschehen.

Der Allgemeinheit bekannt sind oftmals nur Delikte der Computerkriminalität im engeren Sinne, wie Hacking-Angriffe, Defacing (das verändern von Web-Seiten) und die Verbreitung von Viren & ähnlicher Software. Computer-Forensik hilft aber immer, wenn elektronische Datenträger eine Rolle gespielt haben. Folgende Beispiele sollen dies

verdeutlichen:

Vordatierung von Dokumenten im Zuge einer Firmenübernahme

Im Zuge einer Firmenübernahme wurde festgestellt, dass auffällig viele Mitarbeiter der Geschäftsführung vor Jahresfrist eine Gehaltserhöhung oder auch eine Aufwertung von Sachleistungen (höherwertige

Geschäfts-PKW) erhalten hatten. Die Untersuchung der Arbeitsplatz-PCs des betroffenen Personenkreises ergab die nachweisliche Vordatierung der fraglichen Dokumente (z.B. Nachträge zum Arbeitsvertrag).

Betreiben eines Porno-Fileservers im Firmennetz

Ein Mitarbeiter eines mittelständischen Unternehmens hatte eine Tauschbörse für pornographische Inhalte im Firmennetz eingerichtet. Als er ertappt wurde, versuchte er die Schuld auf Hacker oder Schadsoftware

(Trojaner) zu schieben. Mittels einer computer-forensischen Analyse konnte sowohl die Theorie des Hackers als Verursacher widerlegt werden, als auch der eindeutige Nachweis geführt werden, dass der Server durch den fraglichen Mitarbeiter betrieben und gepflegt wurde.

Urheberrechtsverletzungen durch Tauschbörsennutzung

Immer wieder sind Urheberrechtsverstöße in aller Munde. Bei diversen computer-forensischen Untersuchungen konnte die widerrechtliche Verbreitung urheberrechtlich geschützten Materials in Tauschbörsen nachgewiesen werden.

Diebstahl von Firmengeheimnissen und Gründung eines Konkurrenzunternehmens Der "Renner" unter den computer-forensischen Untersuchungen. Immer wieder kommt es vor, dass Mitarbeiter ein Unternehmen verlassen und kurze Zeit später entweder bei einem Konkurrenzunternehmen beschäftigt sind, oder aber ein eigenes Unternehmen im gleichen Geschäftsfeld gründen. Dies ist an sich noch nicht verwerflich, oftmals werden jedoch die gleichen Kunden beworben oder es tauchen Produkte auf, die den Produkten des Ursprungsbetriebes "zu" ähnlich sind. Die Erfahrung der letzten Jahre hat gezeigt, dass in 90% der Fälle der Verdacht der Unternehmensführung begründet war. Kundendaten wurden kopiert oder technische Zeichnungen z.B. per Wechseldatenträger aus dem Unternehmen geschafft. Oftmals sogar durch leitende Angestellte bzw. Personen mit ausreichenden Zugriffsrechten, so dass getroffene IT-Sicherheitsmaßnahmen nicht greifen konnten. Gerade in wirtschaftlich schweren Zeiten ist es anscheinend verlockend, noch schnell ein paar hilfreiche Daten beim Wechsel des Arbeitgebers mitzunehmen.

Erklärtes Ziel muss somit sein, die Möglichkeiten der Computer-Forensik einer breiten Masse bekannt zu machen und so dafür zu sorgen, dass von diesem Ermittlungsverfahren intensiver Gebrauch gemacht wird. Ein Computer, PDA oder Handy ist kein versiegeltes Gerät dem man Informationen nicht entlocken könnte.

Allerdings muss an dieser Stelle darauf hingewiesen werden, dass laienhafte, eigene Ermittlungstätigkeiten der Betroffenen unterbleiben sollten. Zu groß ist die Gefahr, dass selbsternannte Experten mehr Beweise vernichten, als sie zu Tage fördern.

Die mögliche Komplexität einer computer-forensischen Ermittlung lässt sich am besten an einem skizzierten Falle verdeutlichen:

Die Geschäftsleitung der Firma XYZ hat den dringenden Verdacht, dass ein Mitarbeiter Geschäftsgeheimnisse an Dritte weiter gibt. Natürlich verfügt der Mitarbeiter an seinem Arbeitsplatz über einen PC, man möchte aber zunächst nicht, dass der Mitarbeiter etwas von dem Verdacht erfährt. Man beauftragt einen Dienstleister für Computer-Forensik.

Da die Maßnahmen unentdeckt bleiben sollen, erfolgt der Einsatz der Forensiker am späten Abend eines Werktages. Der Arbeitsplatz wird dokumentiert um ihn anschließend wieder in den ursprünglichen Zustand zurückversetzen zu können. Anschließend wird der PC geöffnet und eine forensiche, beweissichere Kopie der enthaltenen Datenträger - typischerweise Festplatten - gefertigt.

Der Forensiker erkennt die Netzwerkanbindung des PCs und weist auf mögliche weitere Fundorte für Beweise hin. Zusammen mit dem Systemadministrator werden die Netzwerk-Datenträger ermittelt, auf die der fragliche Mitarbeiter Zugriff hatte. Auch hier erfolgt die Fertigung forensischer Kopien der Datenträger.

Des weiteren bemerkt der Forensiker am Arbeitsplatz des vermeintlichen Täters einen USB-Stick und fertigt auch von diesem eine forensische Kopie. Anschließend wird der Arbeitsplatz wieder hergestellt und die Auswertung der gesicherten Daten im Labor beginnt.

Im Laufe der Auswertung wird klar, dass der Mitarbeiter tatsächlich Kopien vertraulicher Daten gemacht hat. Diese Kopien können auf dem USB-Stick rekonstruiert werden, obwohl sie bereits "gelöscht" waren. Der USB-Stick wiederum ist Privateigentum des Mitarbeiters. Im E-Mail-Konto des Beschuldigten welches auf den Server-Datenträgern zu finden ist, sind zahlreiche "gelöschte" eMails wiederherstellbar, die Aufschlüsse über Kontakte zu Mitbewerbern der Firma XYZ geben.

Der Mitarbeiter gibt ob der Beweise die Tatvorwürfe zu. Es wird ihm fristlos gekündigt und ein rechtliches Verfahren angestrebt. Das Gutachten der Computer-Forensiker wird hierbei als Beweis eingebracht.

Sicher beleuchtet dieses Beispiel nur einen Teil der Computer-Forensik , dennoch wird die Komplexität des Themas schnell deutlich: Der Vor-Ort Einsatz bedarf geschulter Mitarbeiter und die Fertigung forensischer Kopien ist von erheblicher Bedeutung und bedarf eines speziellen Sachverstandes und auch speziellen Equipments. Nur das korrekte Vorgehen von Anfang an ermöglicht eine spätere Nutzung der gewonnenen Erkenntnisse als Sachbeweis in Gerichtsverfahren.

Für die Computer-Forensik eingesetzte Fachkräfte müssen nicht nur IT-Spezialisten sein, sondern auch kriminalistischen Spürsinn besitzen. So wurden im Beispielfall auch der USB-Stick und die Netzwerkdatenträger als mögliche Beweismittel erkannt.

In Zukunft wird die Computer-Forensik eine immer wichtigere Rolle spielen, da Datenträger in immer mehr Gräten zum Einsatz kommen, gleich welcher Art. Ein Mobiltelefon verfügt heute schon über enorme Speichermöglichkeiten und meist auch über eine Schnittstelle zum PC. Wie kann man sicher sein, dass ein Mitarbeiter mit dem Telefon nicht auch Firmendaten mit nach Hause nimmt?

Zunehmend entwickelt sich die digitale Autopsie zur digitalen Vivisektion um in der medizinischen Analogie zu verbleiben. Nicht mehr eine Leiche wird untersucht, sondern viel häufiger das lebende Objekt, der noch genutzte Arbeitsplatz-PC, das Handy oder auch ganze Server.

Der Autor ist Gründer und Inhaber von ITSECURITY4U einem EDV-Sachverständigenbüro für IT-Sicherheit und Computer-Forensik. Zudem war er vormals Ermittler im Fachgebiet Computerkriminalität des deutschen Bundeskriminalamts.

Quelle: Pressemeldung ITSECURITY4U, 24.11.2006

Dieser Beitrag wurde bisher 2734 mal gelesen.
(Rang 173 auf Doppelklicker.de)