Mit digitaler Forensik auf Spurensuche

Die digitale Forensik beschäftigt sich mit der methodischen Auswertung von Datenträger und Computernetzen. Sie untersucht digitale Spuren im Zusammenhang mit verdächtigen Vorfällen, Kriminalistik oder IT-Sicherheit.

Auf die IT-Forensik greifen Behörden im Zusammenhang mit den Ermittlungen von Straftaten zurück, oder zum Zwecke der Steuerfahndung. Aber auch in Unternehmen spielt die IT-Forensik eine zunehmend wichtige Rolle. Firmen nutzen die digitale Spurensuche im Zusammenhang mit Cyber-Attacken.

Die Cyberkriminalität nimmt zu

Durch die Digitalisierung nimmt die Komplexität der IT-Infrastrukturen in Unternehmen massiv zu. Damit werden die Angriffsflächen vielfältiger, die IT-Sicherheit wird anfälliger. Gleichzeitig sind die Methoden der Angreifer immer ausgefeilter. Spätestens nach einem ersten erkannten Angriff kommt die IT-Forensik zum Zuge. Mit Hilfe der Forensik wird analysiert was genau geschehen ist, wie der Vorfall ablief, wohin Daten geflossen sind und wer für den Vorfall verantwortlich sein kann.

Die Beweissicherung

Um einen Fall systematisch untersuchen zu können wird als Erstes ein forensisch korrektes Abbild aller betroffenen Daten erstellt. Dies bezieht sich auch auf die flüchtigen Daten, die sich etwa im Arbeitsspeicher eines Systems befinden, wie beispielsweise MAC-Zeiten von Dateien oder Sequenznummern von Datenpaketen. Auch Konfigurationsdateien und Log-Daten liefern wertvolle Hinweise auf die Ereignisse.

Ist ein System erst einmal abgeschaltet worden, konzentriert sich die Computer-Forensik auf die permanenten Datenträger. Es wird ein forensisch korrektes Image, also eine exakte Kopie eines Datenmediums erstellt. Das Image wird auf gelöschte, umbenannte oder versteckte und verschlüsselte Daten untersucht.

Gesicherte Authentizität der Daten

Um die Unveränderbarkeit von gesicherten Images beweisen zu können, kommen sogenannte Forensic Bridges in den Systemen der untersuchenden Experten zum Einsatz. Das sind schreibgeschützte Schnittstellen mit deren Hilfe zum Zeitpunkt der Datensicherstellung garantiert ist, dass keine Veränderungen an den Daten gemacht werden können. Sie erfüllen die kritischen Anforderungen der Datenerfassung in der digitalen Forensik.

Die Verwendung einer Forensic Bridge ist vergleichbar mit dem Einsatz von Handschuhen bei der Spurensicherung an einem Tatort. Auch da müssen Beweisspuren aufgenommen werden ohne diese in irgendeiner Art zu verändern.

Datenauswertung

Die kopierten Images werden je nach Herkunft in verschiedenen Software-Programmen aufbereitet und analysiert. Meist werden die Daten mit der Methode des Zeitstrahls dargestellt, um den Ablauf der Ereignisse übersichtlich zu visualisieren.

Die Daten werden dafür mit Hilfe der Protokolldaten eruiert und im zeitlichen Kontext abgefüllt. Aufgrund dieser Darstellungsweise können Interpretationen zu den Geschehnissen gemacht werden. Insbesondere bei Cyber-Attacken, die erst lange nach ihrem Beginn auffallen, liefert diese Timeline-Analyse neben Spuren zur Täterschaft auch Hinweise darauf, wo noch Informationen zum Vorfall fehlen.

Spezifische Systementwicklung für den forensischen Einsatz

Die digitale Forensik bedingt für die gerichtssichere Beweissicherung eigens dafür gefertigte IT-Lösungen. Bei axxiv kennen wir die spezifischen Anforderungen an eine Workstation für dieses Einsatzgebiet. Mit eigenem Engineering und der Produktionsstätte in Root sind wir für Speziallösungen eingerichtet. Weiter zu den axxiv Workstations.

Das könnte Sie auch interessieren:

Arbeitstools entscheiden über Wettbewerbsfähigkeit

Damit Konstrukteure, Entwickler, Produktdesigner und technische Planer maximal produktiv arbeiten können, brauchen sie einerseits die geeignete CAD-Applikation und andererseits die dazu passende Workstation.