Warum digitale Forensik für die Cybersecurity wichtig ist?
Digitale Forensik und Cybersicherheit sind untrennbar miteinander verbunden; ohne das Wissen, das die digitale Forensik liefert, ist die Cybersicherheit weniger effizient. Die Cybersicherheit nutzt das durch die digitale Forensik in verschiedenen Fällen gesammelte Wissen und entwickelt Methoden zur Vermeidung digitaler forensischer Untersuchungen; sie ist im Grunde proaktiv.
Digitale Forensik tritt auch als Produkt von erfolglosen oder ineffektiven Cybersecurity-Strategien auf. Beides zu verstehen und zu wissen, wie es zusammenhängt, ist entscheidend, um die Daten sicher und stabil zu halten.
Die Aufgabe eines Forensikers ist es, folgende Informationen zu liefern:
- Ermitteln des Eintrittspunktes des Angreifers in das Netzwerk.
- Ermitteln, welche Benutzerkonten vom Hacker verwendet wurden.
- Ermittlung der Dauer des unbefugten Netzwerkzugriffs.
- Geolokalisieren der Logins, um diese auf einer Weltkarte darzustellen.
Der Forensiker stellt Ihnen dann einen schriftlichen Bericht (Sachverständigengutachten) zur Verfügung, der in Laiensprache erklärt, was der Täter getan und wie er es getan hat.
Da sich der Tatort in der digitalen Welt befindet, sind Cyber-Verbrechen schwer zu verfolgen. Im Fall eines Hauseinbruchs kommen Sie vielleicht nach Hause und finden zerbrochenes Glas und zerbrochene Fenster vor, was Sie zu der Annahme verleitet, dass ein Verbrechen begangen wurde. In der Cyberwelt sind die Beweise weit weniger offensichtlich. Wenn die Angreifer versuchen, ihre Spuren zu verwischen, wäre es schwierig, herauszufinden, wie die Cyber-Bedrohung überhaupt in Ihr Netzwerk eingedrungen ist.
Die vielen Schritte der digitalen Forensik
Identifikation: Ist der erste Schritt im forensischen Prozess. Welche Beweise vorhanden sind, wo sie gespeichert sind und wie sie gespeichert sind (in welchem Format), sind alles Teile des Identifizierungsprozesses.
Konservierung: Die Daten werden während dieses Prozesses isoliert, geschützt und gespeichert. Es geht darum, Personen davon abzuhalten, das digitale Gerät zu benutzen, um eine Manipulation des digitalen Beweises zu vermeiden.
Analyse: In dieser Phase setzen die Ermittler Datenfragmente zusammen und ziehen Schlussfolgerungen auf der Grundlage der entdeckten Beweise. Es kann jedoch mehrere Iterationen der Untersuchung erfordern, um eine bestimmte Verbrechenstheorie zu unterstützen.
Dokumentation: Dieses Verfahren erfordert die Erstellung eines Protokolls aller sichtbaren Daten. Es hilft bei der Rekonstruktion und Untersuchung des Tatorts. Es beinhaltet Fotografieren, Skizzieren und Tatortkartierung sowie eine gründliche Dokumentation des Tatortes.
Präsentation: Der Prozess der Zusammenfassung und Klärung der Schlussfolgerungen wird in dieser letzten Phase abgeschlossen.
Es kann jedoch in Laiensprache mit abstrahierten Terminologien geschrieben werden. Bei allen abstrahierten Terminologien sollte auf die grundlegenden Besonderheiten verwiesen werden.
Die Arten der digitalen Forensik
Festplatten-Forensik: Sucht nach aktiven, geänderten oder gelöschten Dateien, um Daten von Speichermedien zu extrahieren.
Netzwerk-Forensik: Ist eine Teildisziplin der digitalen Forensik. Sie befasst sich mit dem Sammeln wertvoller Informationen und rechtlicher Fakten durch das Aufspüren und Analysieren von Computernetzwerkverkehr.
Drahtlose Forensik: Ist eine Abteilung für Netzwerk-Forensik. Der Hauptzweck der Wireless-Forensik besteht darin, die erforderlichen Ressourcen für die Erfassung und Analyse von Daten aus dem drahtlosen Netzwerkverkehr einzubeziehen.
Datenbank-Forensik: Dabei handelt es sich um einen Teilbereich der digitalen Forensik, der sich mit der Untersuchung und Analyse von Datenbanken und den dazugehörigen Metadaten beschäftigt.
Malware-Forensik: Diese Abteilung ist unter anderem für die Erkennung von bösartigen Codes, die Analyse ihrer Nutzlast sowie von Viren und Schadprogramme zuständig.
IT-Forensik in der Praxis
Ein Vorfall kommt meist unerwartet, ein System wurde kompromittiert, Daten sind verschwunden oder Teile der IT-Infrastruktur sind nicht verfügbar. Wurde ein gezielter oder breit angelegter Angriff durchgeführt? Hat eine Fehlmanipulation oder eine durchgeführte Änderung eine Störung ausgelöst?
Aufgrund der unklaren Lage muss rasch entschieden werden, ob Systeme gestoppt oder Netzwerkverbindungen gekappt werden müssen. Das Unternehmen muss weiter funktionieren, die Supply-Chain muss aufrechterhalten bleiben oder medizinischen Eingriffe müssen durchgeführt werden. Und hier entsteht ein erstes Dilemma. Der Analyseschritt der IT-Forensik ist auf möglichst vollständige und unverfälschte Spuren angewiesen. Je nach Szenario und Entscheid der Institution können die Analysen aufgrund fehlender oder verfälschter Spuren nur unter sehr erschwerten Bedingungen durchgeführt werden und führen je nachdem zu schlechten oder gar unbrauchbaren Resultaten. Eine Analogie ist der Brand eines Gebäudes, das Feuer muss rasch gelöscht werden, aber das Löschwasser zerstört wichtige Spuren zur Identifikation der Ursache.
Zweites Dilemma sind fehlende oder unvollständige digitale Spuren. Digitale Spuren entstehen nicht einfach so, sondern müssen durch Betriebssysteme, Anwendungen, Datenbanken oder Netzkomponenten systematisch erzeugt und strukturiert gespeichert werden. Zusätzlich muss konzeptionell überlegt und dokumentiert werden, welche digitalen Spuren in Form von bspw. Log-Einträgen gespeichert und wie lange sie aufbewahrt werden sollen, welche Spuren müssen in Relation zueinanderstehen. Die Institutionen müssen sich klar werden, wie weit sie gehen wollen.
FAZIT
Die IT-Forensik leistet einen grossen Beitrag zur Aufklärung von Ursache und Folgen eines Vorfalls. Die Prozesse sind stringent, denn nur Transparenz, Nachvollziehbarkeit, Wiederholbarkeit garantieren Glaubwürdigkeit und Akzeptanz der Resultate. Die IT-Forensik ist aber auch auf digitale Spuren angewiesen, denn ohne diese sind Analysen nur eingeschränkt durchführbar.
Autorenteam:
Martin Bernhardt
Giovanni Lauria
Persönliche Beratung
Sie würden sich gerne persönlich beraten lassen? Senden Sie ein E-Mail an martina.dallavecchia@fhnw.ch und vereinbaren Sie einen Termin.
Dozenten in diesem sehr praxisorientierten Lehrgang sind:
Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Andreas Wisler (goSecurity GmbH)