Teilgebiet angewante IT-Sicherheit

• gerichtsverwertbare Beweissicherung von Daten auf IT-Systemen und in Netzwerken

  • zur Aufklärung von Sicherheitsvorfällen in IT-Systemen

  • Rekonstruktion von kriminellen Ereignissen zu erleichtern,

  • unbefugte Handlungen zu verhindern, die sich als störend für geplante Abläufe erweisen

1. Sichern der Beweise, ohne dass das Original beschädigt oder verändert wird

2. Prüfen, dass die gesicherten Beweise und die beschlagnahmten Originale identisch sind und

3. Analyse der Daten, ohne dass die Originale verändert oder beschädigt werden.

• auch Live Analyse oder Live Response

• IT-Forensiker arbeitet am laufenden IT-System

• notwendig, wenn der Inhalt des Arbeitsspeichers gesichert oder direkt analysiert werden muss

  • da dieser beim Ausschalten des Systems verloren geht und damit potentielle Beweise.

Nachteil:

• weiterer Schaden eines Angreifers möglich

• Information können weiterhin geändert werden

auch Post-Mortem Analyse

• basiert auf Duplikat eines sichergestellten Datenträgers

• nach dem eigentlichen Angriff durchgeführt

• Erstellung Duplikates durch bitweise Kopie des Datenträgers

Vorteile:

• kein Zeitdruck

• Originale bleiben erhalten

• keine Störungen

Nachteile:

• Arbeitsspeicher bspw. nicht enthalten

1. Alarm oder Anschuldigung

2. Güterabwägung

3. Tatortsicherung

4. Identifizierung / Beschlagnahme

5. Sicherung

6. Bergung

7. Auswertung

8. Reduktion

9. Analyse

10. Bericht

11. Be- und Überzeugen

• Meldung Vorfall

  
  

• von Bedeutung Informationen über die Art des Angriffes, um was für ein IT-System handelt es sich

2. Güterabwägung:

• Schaden vs Aufwand und Kosten Verfolgung lohnenend

• Gegen Verfolgung:

  • hoher Ressourcenverbrauch,

  • Dauer Ausfalls des betreffenden IT-Systems

  • negative Medienberichte

• Interesse an Verfolgung:

  • mit den Ziel Abschreckung,

  • Erlangung von Schadenersatz

  • Verbesserung der Sicherheit durch Abwehr

  • Vermeidung künftiger Vorfälle.

• ideal Tatort weiträumig absperren

  • kann auch Netzwerke wie Intra- und Internet betreffen.

  • Absperren nicht/ nur sehr begrenzt möglich

• alle brauchbaren sichern

• nicht nur auf digitale Spuren

• herkömmliche forensische Hinweise achten hilfreich für digitalen Untersuchung

• alle digitalen Geräte am Tatort mitnehmen - auch periphere Hardware

• IT-Forensiker müssen relevanten Geräte erkennen, fachgerecht entfernen

• Beweise nach Beschlagnahme unverändert

  • Beweiskraft erhalten

  • Untersuchung durch IT-Forensiker ermöglichen

• Kopien von Datenträgern/ Abbilder von Speicherinhalten

  • sicherzustellen, dass originalen Daten Grundlage der Untersuchung werden von Original und Kopien kryptographische Hash-Werte erstellt

• vertrauenswürdige Tools verwenden - allgemein anerkannt

• Wiederherstellung von Daten, die gelöscht, versteckt, getarnt, unbrauchbar gemacht wurden

• sehr hilfreich Notizzettel mit Passwörtern für Betriebssysteme oder verschlüsselte Dateien

• sichergestellten Daten sehr umfangreich - verlangt organisation

• Hilfreich Hash-Wert und die Metadaten von Dateien, nach denen Dateien geordnet werden können

  • Dateityp oder Datum/Uhrzeit (Erstellung, letzte Änderung, letzter Zugriff)

• Daten auf die wesentlichen Informationen reduziert

• Suche nach Dateiart beispielsweise Bild

• Hilfe: Datenbanken mit Hash-Werten von bekannten Dateien. In diesem Fall können automatisiert Hash-Werte der verdächtigen Dateien erstellt und mit den in der Datenbank gespeicherten Hashes verglichen werden.

• Herstellen von Verbindungen zu anderen Informationen und Personen - Feststellen von Verantwortlichkeiten.

• Dazu werden auch Inhalt und Kontext der untersuchten Informationen betrachtet.

• Analyseschritt nicht-linear und aufwändig.

• Ergebnisse präsentiert - Wege zu deren Erlangung dokumentiert

• Standards und Regeln verwendet - hohe Bedeutung

• als Gutachter vor Gericht aussagt.

• Gespräche mit Auftraggeber

  • über die Ursachen, den/die Verantwortlichen, den angerichteten Schaden, die zu erwartenden Kosten und Maßnahmen zur Verhinderung zukünftiger Vorfälle zu informieren