IT-Forensik (1, 2)

Indem die Bandbreite an digitalen Anwendungsmöglichkeiten steigt, eröffnen sich täglich neue Angriffsfelder. Ein Experte für IT-Forensik sollte beispielsweise beim Verdacht auf Spionage, Diebstahl, Sabotage und Betrug und Verbreitung illegaler Inhalte herangezogen werden.

Prominente Beispiele für Spionage sind das Ausspähen von Staatsgeheimnissen, die im Rahmen der NSA-Affäre offengelegt wurden. Dazu gehörte das Mitlesen der Kurznachrichten der Bundeskanzlerin 1)Jacob Appelbaum, Holger Stark, Marcel Rosenbach und Jörg Schindler: Kanzler-Handy im US-Visier? Merkel beschwert sich bei Obama. Spiegel Online 2013. https://www.spiegel.de/politik/deutschland/nsa-merkel-beschwert-sich-bei-obama-a-929636.html, die Enthüllung von US-Staatsgeheimnissen durch Edward Snowden oder das Anzapfen von Glasfaserkabeln bei Google 2)Datenspionage der NSA. Google schäumt vor Wut. N24 Online 31.10.2013.
https://www.n24.de/n24/Nachrichten/Politik/d/3760804/google-schaeumt-vor-wut.html durch die NSA.

Für Diebstahl und Plagiate ist vor allem die aufstrebende Wirtschaftsmacht China 3)Plagiat. Was Chinesen alles klauen. Wirtschaftswoche Online 11.08.2013. https://www.wiwo.de/unternehmen/industrie/plagiat-was-chinesen-alles-klauen/8606864.html bekannt, aber auch der Fall Guttenberg 4)GuttenPlag – kollaborative Plagiatsdokumentation. Eine kritische Auseinandersetzung mit der Dissertation von Karl-Theodor Freiherr zu Guttenberg. https://de.guttenplag.wikia.com/wiki/GuttenPlag_Wiki konnte nur durch digitale Kleinstarbeit aufgeklärt werden. Ob Dissertationen, Datenbanken oder technische Grafiken – Ideen sind eine begehrte Ware, die nicht zwingend auf dem freien Markt verfügbar sind und daher gestohlen werden. Unternehmer müssen einerseits ihre Daten schützen, dürfen aber ihre Mitarbeiter nicht grenzenlos überwachen 5)Daniela Kuhr. Und der Chef merkt nichts. Datenklau am Arbeitsplatz. Süddeutsche Zeitung Online 10. Dezember 2010. https://www.sueddeutsche.de/karriere/datenklau-am-arbeitsplatz-und-der-chef-merkt-nichts-1.1034389.

»Kriminalkommissare untersuchen reale Tatorte. IT-Forensiker untersuchen virtuelle Tatorte.«

—Prof. Dr. Wilfried Honekamp, CKO

Eine intelligente und an die Bedürfnisse des Unternehmens angepasste IT-Infrastruktur und IT-Sicherheitsstruktur kann Versuche der Spionage oder des Datendiebstahls im Vorfeld erschweren. Damit schützen Firmenchefs übrigens nicht nur ihr Eigentum, sondern auch ihre Mitarbeiter: Das Ausspähen von Daten ist gemäß § 202a des deutschen Strafgesetzbuches (StGB) ein Vergehen, welches mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft wird.

Einen Schritt weiter geht die Sabotage. Ein raffinierter Fall ist das Sabotieren des iranischen Atomprogramms 6)Yasemin Yüksel. CIA-Auftrag: Schweizer Ingenieure sabotierten Irans Atomprogramm. Spiegel Online 25.08.2008. https://www.spiegel.de/politik/ausland/cia-auftrag-schweizer-ingenieure-sabotierten-irans-atomprogramm-a-574153.html, bei dem die politische Motivation nachvollziehbar ist. Konkurrierende Unternehmen können von ihren Kontrahenten geschädigt werden, indem die Fertigungsroboter manipuliert werden oder eine DDoS-Attacke deren Server lahmlegt, wie im Fall Bayer 7)Attacke gegen Pharmakonzern: Hacker greifen Bayer an. Spiegel Online 23.10.2013.
https://www.spiegel.de/netzwelt/web/attacke-gegen-pharmakonzern-hacker-greifen-bayer-an-a-771913.html.
Systeme werden sabotiert, um deren Rechenleistung zu nutzen – beispielsweise für Bot-Angriffe oder beim Schürfen von Bitcoins – oder Passwörter, Kreditkarteninformationen oder Kontodaten abzugreifen. Bisweilen werden Browser so raffiniert manipuliert, dass zwischen der originalen Seite der Hausbank und der nachgemachten kein Unterschied auszumachen ist – bis durch eine darüber getätigte Überweisung auffällt, dass etwas faul ist.
Computersabotage ist in Deutschland gemäß § 303b des Strafgesetzbuches (StGB) ein Vergehen, welches mit Freiheitsstrafe bis zu drei Jahren, in besonders schweren Fällen bis zu zehn Jahren, oder Geldstrafe bestraft wird.

Der Forensic Thinktank (FTT) hilft bei der Aufklärung solcher Fälle Firmen und Behörden, deren Ausstattung im Allgemeinen weit hinter dem technisch Nötigen 8)Cybercrime: Ermittler fordern bessere Polizei-Computer. Zeit Online 05.05.2014.
https://www.zeit.de/hamburg/aktuell/2014-05/05/polizei-cybercrime-ermittler-fordern-bessere-polizei-computer-05075207 liegt.

»Das Verhältnis von materiellen Möglichkeiten und ausgeprägtem Sicherheitsbewusstsein ist bei Firmen in der Regel umgekehrt: Ihnen fehlt es nicht an Mitteln und Möglichkeiten, aber den Mitarbeitern an Sicherheitsbewusstsein.«

—Adolf Schnith, CIO

Um welchen Fall es sich auch handelt: Gefundene Informationen können so aufbereitet, angeordnet, illustriert und bewertet werden, dass sie auch für Laien nachvollziehbar werden. Auf diesem Wege von uns erstellte Gutachten sind gerichtsverwertbar, da durch eine einwandfreie und lückenlose Dokumentation die Beweismittelkette nicht unterbrochen wird. Wir richten uns nach den Empfehlungen der RFC 3227 9)D. Brezinski, T. Killalea.  Guidelines for Evidence Collection and Archiving. February 2002. https://www.ietf.org/rfc/rfc3227.txt.

(1) Definition: Bundesamt für Sicherheit in der Informationstechnik (2011)

»In der Sichtweise des BSI wird die IT-Forensik erweitert zu der geläufigen Auslegung (methodisches Vorgehen zur Aufklärung von Straftaten unter Verwendung von IT-Systemen) gesehen. Das streng methodische, jederzeit nachweisbare und begründbare Vorgehen während einer forensischen Untersuchung wird im Sinne des Leitfadens um die Betrachtungsweise und Einsatzmöglichkeiten aus der Sichtweise des Anlagenbetreibers ergänzt. In diesem Sinne wird IT-Forensik als Datenanalyse zur Aufklärung von Vorfällen betrachtet. Das schließt Techniken der Vorfallsbearbeitung (engl. incident response) ein. Damit sind forensische Untersuchungen und Vorgehensweisen auch zur Bearbeitung von Supportfällen, d. h. Hardware-und Softwareversagen und Fehlbedienung durch den Nutzer, geeignet. Eine wesentliche Erweiterung der Möglichkeiten der IT-Forensik durch diese Sichtweise ergibt sich aus der Integration der strategischen Vorbereitung. In Erwartung von Vorfällen und deutlich vor deren Eintreffen können hier Maßnahmen getroffen werden, welche die Ergebnisqualität der forensischen Untersuchung entscheidend verbessern können. Es wird deshalb für den vorliegenden Leitfaden festgelegt:
IT-Forensik ist die streng methodisch vorgenommene Datenanalyse auf Datenträgern und in Computernetzen zur Aufklärung von Vorfällen unter Einbeziehung der Möglichkeiten der strategischen Vorbereitung insbesondere aus der Sicht des Anlagenbetreibers eines IT-Systems.
Eine entscheidende Konsequenz aus dieser Sichtweise ist, dass IT-Forensik bereits mit der strategischen Vorbereitung beginnt. Dabei wird die IT-Forensik als Mittel der Strafverfolgung in die hier vorgestellte Sichtweise integriert und bedient sich deren Techniken und akzeptierten Vorgehensweisen.« 10)Bundesamt für Sicherheit in der Informationstechnik. Leitfaden „IT-Forensik“, 2011.

(2) Definition: Margaret Rouse (2013)

»In der Computer-Forensik geht es darum, mithilfe von Ermittlungs- und Analysetechniken Beweise auf einem bestimmten IT-System so zu erfassen und zu sichern, dass sie bei einer Anhörung vor Gericht verwertbar sind. Das Ziel des auch als IT-Forensik oder digitale Forensik bezeichneten Fachgebiets besteht darin, eine strukturierte Untersuchung durchzuführen und gleichzeitig eine Beweiskette zu dokumentieren, damit sich genau feststellen lässt, welche Vorgänge auf einem IT-System stattgefunden haben und wer dafür verantwortlich war.

Computer-Forensiker halten sich in der Regel an eine Reihe von Standardverfahren: Nachdem sie das betreffende Gerät physisch isoliert haben, um sicherzustellen, dass es nicht zufällig kontaminiert werden kann, erstellen die Forensiker eine digitale Kopie der mit dem Gerät verbundenen Speichermedien. Anschließend verwahren sie die Original-Medien in einem Safe oder an einem anderen sicheren Ort, um deren unverfälschten Zustand zu gewährleisten. Alle Untersuchungen erfolgen anhand der digitalen Kopie.

Die Forensiker nutzen verschiedene Techniken und proprietäre Forensik-Anwendungen, um die Kopie zu untersuchen, indem sie versteckte Ordner und nicht zugeordneten Platz auf Datenträgern nach Kopien von gelöschten, verschlüsselten oder beschädigten Dateien durchsuchen. Jeder in der digitalen Kopie gefundene Beweis wird sorgfältig in einem Untersuchungsbericht dokumentiert und anhand des Originals verifiziert. Dies dient als Vorbereitung auf die gerichtliche Beweisaufnahme, Aussage oder Verhandlung.

Die Computer-Forensik hat sich zu einer eigenständigen wissenschaftlichen Disziplin entwickelt, zu der ein begleitendes Kursangebot und eine Zertifizierung gehören.« 11)Margaret Rouse. Computer-Forensik (IT-Forensik). SearchSecurity.de, Mai 2013. https://www.searchsecurity.de/definition/Computer-Forensik-IT-Forensik

Einzelnachweise[+]