Kaeferlive
 

Menu

Home

Kontakt, Impressum, Nutzungsbedingungen, Anfahrtskizze

Käfer IT
Referenzen
Ausbildung
Tätigkeitsschwerpunkte
AGB
Dipl.-Ing Thomas Käfer, M.Sc.
Profil
Öffentliche Bestellung
Ehrenämter
Referenzen
Mentorenprojekt
Praha
Background
Story
Leseprobe
Autor
Kaufen
Falk II
Kontakt
Öffnungszeiten
Anfahrtskizze
Impressum
Bildnachweis
Datenschutz und Nutzungsbedingungen
Weiterempfehlen
Sitemap
Login
Fehler melden

Digitale Forensik

EDV-Gutachten, IT-Sicherheit und Car-Forensics

Digitale KFZ-Forensik
IT Consulting
IT Sicherheitsberatung
Penetration-Test (Pen-Test)
Betrieblicher Datenschutz
IT-Dokumentation
Projektsteuerung und Begleitung
Anforderungsanalysen
Lastenhefterstellung
IT-Ausschreibungen
Pflichtenhefterstellung
Projektabnahmen
Coaching und Schulung
IT-Projekte
IT Gutachten
Zivilprozesse
Strafprozesse
Prozessvorbereitung
Mediation
Beauftragung
AGB
Leistungen
Incident Response
Aktuelles
Workshops und Vorträge
Publikationen
Aachener Nachrichten
Zeitung „Die Welt“
WDR Fernsehen
IT-Zoom
VDI
DigiFor Inside Ausg.1
DigiFor Inside Ausg.2
DigiFor Inside Ausg.3
Forschungsarbeit KFZ-Forensik
Medien und Flyer
d!conomy

Digital Signage und digitale Projekte

Digitale Projekte
Digital Signage und d!conomy
Digitale Wirtschaft
News

Blog, Veröffentlichungen, Presseinformationen

Blog
Veröffentlichungen
Veranstaltungen
Messebeteiligungen
Presseberichterstattung
Success-Stories - Käferlive

Events

Veranstaltungen, Messebeteiligungen, Vorträge

Termin – Historie
ESG Cyberseminar
Aachener Kolloquium 2015-2016
Aachener Interdisziplinäres Verkehrssymposium 2015
IT-Sicherheitstag NRW 2015
Forensiktag FH AC 2015
VDI/VW-Gemeinschaftstagung Automotive Security 2015
IT Security Breakfast 2015
AMS Kongress 2015
CeBit 2015
BMVI 2015
IT-Sicherheitstag NRW 2014
IT Cologne Summit 2014
Daimler Kongress 2014
Medien

Videos, Bilder und Flyer

Videos und Webcasts
Bilder
Flyer und Prospekte

Links und Sites

Shop, Facebook, Twitter, Google+, Xing

Shop
Xing
Facebook
Twitter

Topics
  • Digitale KFZ-Forensik
  • IT Consulting
  • IT Gutachten
  • Leistungen
  • Incident Response
  • Aktuelles
  • Workshops und Vorträge
  • Publikationen
  • Medien und Flyer

Suche

Xmas20221920
wrfel1920x1280
LenaLogo
Ziel
SV
Schragdenker
Praha
PCDoc
Hacker
F2M
Digitalisierung
dconomy
CarForensics

Digitale KFZ Forensik

Checkliste Incident Response

  • Alarmierung der zuständigen Personen gemäß Alarmierungsplan (vorher erstellen!)
  • Authentizität des Beweise sichern (Zugriff beschränken)
  • Schadensverlauf lückenlos dokumentieren
  • Unterscheidung zwischen systembedingten Ausfall und mißbräuchlicher Nutzung
  • Grundsatz: Eingeschaltete Geräte bleiben eingeschaltet und ausgeschaltete Geräte bleiben ausgeschaltet!
  • Dokumentation mit Fotos statt Bildschirm-Screenshots (ohne Blitz)
  • Umfeld des Computers nicht verändern
  • Umgehende Hinzuziehung von Fachleuten (Kripo, Sachverständige)

Tipps und Verhaltensregeln für den sicherheitskritischen Vorfall / Schadensfall

Nachdem Computer und Netzwerke sowie deren Online-Anbindung aus dem geschäftlichen und privaten Alltag nicht mehr wegzudenken sind und uns viele Tätigkeiten erleichtern oder sogar erst ermöglichen, hat auch die missbräuchliche Nutzung dieses Mediums immer weiter zugenommen.

So sind Computer und verwandte technische Einrichtungen bei Straf- und Zivilprozessen immer häufiger Gegenstand der Untersuchung durch Ermittlungsbehörden und Gutachter. Im Gegensatz zu der üblichen Intention der mit der EDV betrauten Personen steht im Bereich der Computer-Forensik nicht primär die Aufgabenstellung im Vordergrund, das System ggf. auch ohne tief greifende Ursachenforschung schnellstmöglich wieder lauffähig zu bekommen, sondern das „Wie" oder „Warum" für einen Ausfall zu ergründen bzw. konkrete Handlungsschritte, die mit oder durch den Computer erfolgt sind, nachzuvollziehen.

Analog beispielsweise zur Gerichtsmedizin bezeichnet man diese (kriminal-) technische Analyse und Beweissicherung von Computer-Systemen, die kompromittiert oder im Rahmen einer straf- oder zivilrechtlich relevanten Handlung möglicherweise benutzt wurden, als Computer-Forensik. Die Spurensuche beschränkt sich dabei nicht auf die offensichtlichen und vom Betriebssystem bereitgestellten Analysemöglichkeiten, sondern man forscht tiefer im System in für den Anwender üblicherweise nicht bekannten oder erreichbaren Regionen.

Social Engineering als Ursache für Angriffe und Datenmanipulationen

Die Gründe, die Anlass zu einer forensischen Betrachtung von Rechnersystemen und Netzwerken geben können, sind vielfältig. Neben Angriffen auf die Systeme selbst werden sie auch als Werkzeug für Handlungen ge- oder missbraucht und sind dann Gegenstand einer firmeninternen oder externen Ermittlung.

Die Bedrohungsszenarien "Datenausspähung, -manipulation und -zerstörung" entspringen hierbei nicht immer dem „bösen" Internet, sondern haben ihre Quelle oder die undichte Stelle oft auch im eigenen Netz (Social Engineering). Ein unzufriedener oder vor der Entlassung stehender Mitarbeiter hat schon oft Daten zerstört oder zur späteren (missbräuchlichen) Nutzung entwendet. Da kein System der Welt als 100% sicher vor Einbrüchen und Manipulationen angesehen und faktisch jede noch so ausgeklügelte Sicherheitsbarriere mit entsprechendem Aufwand umgangen werden kann, kommt der Feststellung, dass es einen konkreten Angriff auf die EDV gibt oder gab und nachfolgend der entsprechenden Beweissicherung, immer mehr Bedeutung zu. Gerade für Unternehmen, die für Angreifer ein lukratives Ziel darstellen bzw. deren EDV für das tägliche Geschäft als Herzstück oder Rückrat zu bezeichnen ist, ist es äusserst empfehlenswert, sich frühzeitig vor einer Bedrohung Gedanken über Alarmierungssysteme (Intrusion Detection) und konkrete Ablaufpläne im Schadensfall zu machen (Incident Response).

Bei einem tatsächlichen Vorfall kollidieren fast immer zwei gegensätzliche Interessen. Auf der einen Seite wird man bemüht sein, ein z.B. mit einem Virus oder Trojaner befallenes System schnellstens wieder im Produktiveinsatz nutzen zu können. Andererseits ist bei einem entstandenen Schaden oder dem Verdacht auf systematische und strafbare Handlungen die konzeptionell richtig angelegte Beweissicherung elementar wichtig, jedoch auch sehr aufwändig. Ein kleiner Fehler, wie allein das bloße Herunterfahren des kompromittierten Systems, machen es dem Analytiker u.U. schon unmöglich, wichtige Beweise zu sichten und zu sichern, die in einem möglichen späteren Gerichtsverfahren entscheidend für dessen Ausgang sein werden.#

Incident Response

Es gibt also ein paar Grundregeln, die beachtet werden müssen, wenn der Fall der Fälle eintritt und der Verdacht oder konkrete Hinweise bestehen, dass ein Computer oder ein Netzwerk von Fremden angegriffen („gehackt") wird oder wurde bzw. wenn aus anderen Gründen eine analytisch wie rechtlich sichere Untersuchung an der EDV-Anlage vorgenommen werden soll. Im Idealfall erstellt ein Unternehmen vor einem konkreten Fall einen allgemeinen Notfall- und Alarmierungsplan, der den zuständigen Mitarbeitern zugänglich gemacht wird. Man bezeichnet die (strukturierte) Reaktion bei einem Verdachtsfall als „Incident Response". Elementar für die nachfolgende Beweissicherung und Analyse der Erkenntnisse ist, dass an dem betroffenen System keine Veränderungen vorgenommen werden und der Zugang zu diesem auf das absolute Minimum an Personen begrenzt wird (Authentizität des Beweises). Sämtliche Schritte, die ab der Alarmierung durchgeführt werden, sind lückenlos zu dokumentieren. Frühzeitig wird hierbei auch eine Unterscheidung stattfinden, ob es sich tatsächlich um eine missbräuchliche Nutzung eines EDV-Systems oder nur um eine „normale" Betriebsstörung handelt.

Der Tod vieler Beweise sind in der frühen Phase übereifrige Anwender und Administratoren, die z.B. auf erkannte Fehlfunktionen (Dialer-, Viren- oder Trojaner-Befall) oder Hackerangriffe durch Herunterfahren des Systems oder gar durch Löschen von verdächtigen Programmen und Registrierungsinformationen reagieren. Hierdurch werden fast immer wichtige Beweise zerstört bzw. die nachfolgende Analyse, was genau auf dem Computer-System manipuliert wurde, erschwert. Der aktuelle Speicherinhalt des Rechners ermöglicht u.U. sehr aufschlussreiche Analysen bzgl. der aktiven Prozesse und Spuren, die bei der letzten Aktion hinterlassen wurden. Durch das Herunterfahren eines Systems jedoch werden die Inhalte des flüchtigen Speichers (RAM) und temporär angelegter Dateien gelöscht und der Inhalt und Status unzähliger Systemdateien verändert. Das erneute Hochfahren eines Rechners wiederum  verstärkt diese Manipulationen nochmals erheblich. Bei einem Windows- oder Linux-System mit entsprechendem Desktop werden in der Startphase rund 1000 Dateien „angefasst" und so u.a. die Dateiattribute „Letzter Zugriff" oder „Letzte Änderung" verstellt. Ein Grundsatz des Incident Response lautet daher: „Eingeschaltete Geräte bleiben eingeschaltet und ausgeschaltete Geräte bleiben ausgeschaltet!". Um eine möglicherweise noch bestehende und missbräuchlich genutzte Kommunikationsverbindung in das lokale Netzwerk oder zu externen Zielen (Internet, DFÜ- und Remote-Access-Zugänge usw.) zu unterbinden, sollte maximal die Kommunikationsleitung zum Endgerät selbst getrennt werden (LAN- oder Telefon-Kabel). Sofern eine konkrete Attacke zu diesem Zeitpunkt noch andauert, ist die Dokumentation des Verbindungsstatus, z.B. bei einer Wählverbindung, vor dem Trennen der Verbindung natürlich sehr wichtig. Oft sind auf dem System entsprechende Monitorprogramme aktiv, die auf einfachste Weise z.B. die Nutzung der ISDN-Kanäle durch eine ISDN-Karte anzeigen (Beispiel ISDN-Watch der AVM Fritz!-Karte). Die hier gezeigte Rufnummer sollte am besten durch Zeugen und durch Abfotografieren des Bildschirms mit einer Digital-Kamera dokumentiert werden. Das Erzeugen eines Bildschirm-Screenshots mit den üblichen Mitteln sollte unterbleiben, da hierdurch bereits wieder auf dem zu untersuchenden System Daten erzeugt werden, die die spätere Analyse möglicherweise beeinträchtigen. Überhaupt muss gerade in der ersten Phase des Incident Response darauf geachtet werden, dass die Änderungen an den Systemen so minimal wie irgend möglich ausfallen bzw. ganz unterbleiben. Dazu gehört auch das äußere Umfeld eines Computers.

Hinzuziehung von Fachleuten

Verdichten sich die Hinweise, dass eine missbräuchliche Benutzung des Computers vorliegt, so sind je nach Sachlage schnellstens die entsprechend zuständigen Fachleute zur Beweissicherung zu verständigen. Sofern der Verdacht auf eine strafrechtlich relevante Konsequenz des Vorfalles vorliegt, so sind unbedingt in einem ersten Schritt die Ermittlungsbehörden einzuschalten. Die Polizei-Präsidien unterhalten zu diesem Zweck entsprechend mit Fachleuten ausgestattete Kommissariate, die die Ermittlung aufnehmen. Grundsätzlich nimmt jede Polizeidienststelle eine entsprechende Anzeige auf und leitet sie weiter, jedoch ist es auch hier sinnvoll, im Vorfeld ohne eine konkrete Bedrohung bereits mit den lokalen Behörden Kontakt aufzunehmen und die Zuständigkeiten zu erfragen. Diese Kontaktdaten ermöglichen dann im Rahmen des Alarmierungsplanes deutlich schnellere Reaktionszeiten der Ermittler.

Liegt nach Auffassung der mit dem Incident Response beauftragten Mitarbeiter zunächst kein offenkundig strafrechtlich relevanter Hintergrund vor, so kann und sollte die private Beauftragung eines mit der Forensik betrauten Fachmannes (meist in Form eines EDV-Sachverständigen oder einer auf die Analyse spezialisierten Fachfirma) umgehend erfolgen. Bis zu dessen Eintreffen bleibt die Anlage unter Verschluss. Nicht wenige Gerichtsverfahren sind in der Folge daran gescheitert, dass, obwohl es in der Sache selbst stichhaltige Erkenntnisse gegeben hat, die aus Sicht des Technikers für eine Beweisführung vollkommen ausreichend gewesen wären, diese in einem Verfahren nicht gewertet wurden, weil zu viele Personen Zugang zu den Beweisstücken und damit ebenfalls eine Manipulationsmöglichkeit hatten.

Zusammengefasst gehören in einen Alarmierungsplan also u.a. folgende Punkte:

  • Nennung der bei Alarmierung zuständigen und für die Einleitung weiterer Schritte befugten Personen im Unternehmen
  • Grundsätzliche Verhaltensregeln für die beteiligten Personen (Anwender etc.)
  • Lückenlose Dokumentation der Geschehnisse und Umstände
  • Eingrenzung des Zugangs zum kompromittierten System
  • Keine oder nur absolut notwendige unmittelbare Eingriffe in das System
  • Umgehende Hinzuziehung von (anerkannten) Fachleuten zur Beweissicherung

Datenschutz und Persönlichkeitsrechte

Von betriebsinternen Analysen und Beweissicherungsverfahren kann im Hinblick auf die Objektivität und Unabhängigkeit des Analytikers (Befangenheit) und natürlich auch aufgrund der meist nicht oder nicht ausreichend vorhandenen fachlichen Kompetenz nur dringend abgeraten werden.

Hinsichtlich des Datenschutzes und der Berührung von Persönlichkeitsrechten gilt es bei der forensischen Analyse u.a. auch, die hierbei gewonnenen Erkenntnisse absolut vertraulich zu verwenden und die Daten nach Abschluss des Verfahrens zuverlässig zu zerstören. Wie an späterer Stelle gezeigt, sind bei einer fachmännischen Analyse Informationen auffindbar, die vom Nutzer (Opfer) verloren oder zuverlässig gelöscht geglaubt sind. Allein aus diesem Grund empfiehlt sich die Hinzuziehung eines Sachverständigen, ist er doch aufgrund seines Standes u.a. zur Verschwiegenheit verpflichtet. Nur nebenbei bemerkt sei an dieser Stelle, dass natürlich alle folgend gezeigten forensischen Methoden auch firmen-intern eingesetzt werden könnten, um z.B. Informationen über Mitarbeiter und deren gespeicherten Daten zu erlangen. Dieses Ausspähen mit privater Beauftragung hat jedoch sehr schnell arbeits- oder gar strafrechtliche Konsequenzen, die vor einer entsprechenden Aktion rechtssicher geklärt werden müssen.

Phasen der forensischen Analyse

Die eigentliche Arbeit des Forensikers fängt mit Beauftragung durch private oder öffentliche Auftraggeber und mit der Sicherung des aktuellen (letzten) Standes des Beweisstückes an. Wird der Sachverständige im in der Praxis seltener vorkommenden Idealfall unmittelbar hinzugezogen, so kann er möglicherweise noch den aktuellen Status des Systems aufnehmen. Auch hier muss er abwägen, ob durch die Analyse des laufenden Systems brauchbare Spuren gesichert werden können oder beispielsweise durch das „harte" Ausschalten des Systems ohne kontrolliertes Herunterfahren der aktuelle Stand besser eingefroren werden kann.

Analyse-Konzept

Grundsätzlich gehört an den Anfang eines schlüssigen Analyse-Konzeptes die Planung der notwendigen Schritte nach dem Motto „Erst denken – dann handeln". Die falsche Reihenfolge der Maßnahmen verhindert ansonsten ggf. die rechtssichere Beweisführung, da einem weiteren Grundsatz folgend das Original Beweisstück nicht verändert werden darf (oder soll).

Erstellen von Arbeitskopien

Im Fall von zu untersuchenden Systemen mit nicht-flüchtigen Massenspeichern wie Festplatten wird dann zunächst eine BIT-genaue 1:1-Kopie der Festplatte angefertigt. Moderne Produkte zur Festplattenspiegelung, die üblicherweise zur Datensicherung im Alltag oder zum Übertragen von Daten von einer alten auf eine neue (vielleicht größere) Festplatte genutzt werden, eigenen sich i.d.R. für den Zweck der Computer-Forensik nicht. Programme, wie z.B. Drive Image von Powerquest bzw. Symantec, sind nämlich aus Performance-Gründen so optimiert, dass sie nicht benutzte Bereiche der Festplatten bei Kopiervorgängen aussparen. Hier genau liegt aber u.U. wichtiges Material für die spätere Auswertung. Je nach verwendetem Betriebssystem gibt es daher in Forensiker-Kreisen üblicherweise genutzte Programme wie z.B. DD (Disk-Duplexing), AccessData FTK Explorer, X-Ways Forensic Explorer oder EnCase, die die geforderte 1:1-Kopie erstellen können. Das schnelle und genaue Erstellen eines Abbildes des Original-Beweisstückes (bzw. mehrere Arbeitskopien) macht es dann ggf. möglich, einer typischen Forderung des Anwenders nachzukommen, nämlich einer zügigen Wiederherstellung des ursprünglichen Systems und dessen Wiederinbetriebnahme durch Neuinstallation oder Einspielen eines Backups.

Ähnlich wie bereits in Bezug auf die Maßnahmen durch den Anwender oder Geschädigten gefordert, wird auch der Sachverständige alle Maßnahmen und Erkenntnisse genauestens dokumentieren und je nach Auftragslage ein Gutachten erstellen oder auch verloren geglaubte Informationen wiederherstellen.

Bestandsaufnahme

Bevor Daten rekonstruiert werden, erstellt der Forensiker zunächst einen Statusbericht. Hierbei wird der Zustand des zu untersuchenden Systems unmittelbar nach dem Bekanntwerden des Vorfalles festgehalten. Auch hier gibt es zahlreiche Methoden und Tools, um Software- und Konfigurationsstände zu dokumentieren. Wie bereits erwähnt, werden durch das Hochfahren eines Systems eine Vielzahl von Dateien und deren Status verändert. Von daher wird man versuchen, die Festplatte nicht zu booten, sondern diese als Sekundär-Platte in ein Testsystem einzubauen, sodass sie inhaltlich nicht verändert wird.

  • Aktuelle Seite:  
  • Startseite
  • Digitale Forensik
  • Incident Response

Blog Updates Digitale Forensik

Nichts in sicher – schon gar nicht unsere Daten vor den US-Behörden
Tesla filmt uns alle
Pressekonferenz der Cybersecurity Fokusgruppe des digitalHubs Aachen zum Thema Corona-App
Finger Weg von Handy-Daten!
BSI verabschiedet sich von der Empfehlung zum regelmäßigen Passwortwechsel

Neue Beiträge

  • Hier läuft etwas schief...
  • Force2Motion
  • Teaserbild Force2Motion
  • Teaser Workshop
  • DigiFor Inside 04-2018 Teaser

KäferLive - Thomas Käfer - Elchenrather Weide 20 - 52146 Würselen

Zurück nach oben

© 2023 Kaeferlive

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.

Akzeptieren