Die IT-Forensik
Braunschweig-aktuell :: Nachrichten :: Hobbys :: PC
Seite 1 von 1
Die IT-Forensik
Die IT-Forensik bzw. Digitale Forensik ist ein Teilgebiet der Forensik. Die IT-Forensik behandelt die Untersuchung von verdächtigen Vorfällen im Zusammenhang mit IT-Systemen und der Feststellung des Tatbestandes und der Täter durch Erfassung, Analyse und Auswertung digitaler Spuren. Mittlerweile ist die Untersuchung von Computersystemen im Sinne einer inhaltlichen Auswertung der dort gespeicherten Informationen auch im Zusammenhang mit „herkömmlichen“ Straftaten, aber auch für Zwecke der Steuerfahndung etabliert.
Wesentliches Element der IT-Forensik ist die Gerichtsfestigkeit der digitalen Beweismittel und aller folgenden Aktivitäten, d. h. die Daten und Analyseschritte müssen den Anforderungen von Gerichten an Beweismittel genügen. Dies wird durch eine lückenlose und umfassende Dokumentation der Beweismittel (u. a. mit Fotos, Hashing, Vier-Augen-Prinzip, etc.) und aller weiteren Analyseschritte bis zum Ergebnis der forensischen Datenanalyse erreicht.
Die IT-Forensik gliedert sich in die zwei Bereiche Computer-Forensik bzw. Disk-Forensik, bei der es um die Analyse von Computer- oder Mobilgeräten und der darin enthaltenen Daten geht, und Forensische Datenanalyse bzw. Data-Forensik, bei der es um die Analyse von (meist großen) Datenbeständen aus Anwendungen und den zugrunde liegenden Datenbanken geht. Ziel der Computer-Forensik ist in der Regel das Analysieren von Kommunikation. Ziel der Forensischen Datenanalyse ist typischerweise die Analyse von Handlungen.
Mittlerweile bieten viele IT- und Beratungsfirmen forensische Untersuchungen als Dienstleistung an. Aber auch polizeiliche Behörden beschäftigen Fachkräfte in diesem Bereich.
Prozess
Zur Durchführung einer Analyse mittels IT-Forensik ist ein fester Prozess notwendig. Dieser Prozess besteht im normalen Sinne aus folgenden vier Schritten:
Identifizierung
Datensicherung
Analyse
Präsentation/Aufbereitung
Innerhalb der Einzelschritte des Gesamtprozesses geht es im Wesentlichen um die Klärung folgender Fragestellungen im Hinblick auf die Geschehnisse, die zur Untersuchung geführt haben:[1]
Was – Was ist geschehen?
Wo – Wo ist es passiert?
Wann – Wann ist etwas passiert? (Datum und Uhrzeit)
Wie – Wie wurde vorgegangen? Welche Tools und/oder welche physikalischen Mittel wurden eingesetzt?
Zusätzlich können im Hinblick auf die strafrechtliche Relevanz oder die IT-Sicherheitsbewertung auch folgende Fragen relevant werden:
Wer – Wer bewegte bzw. veränderte Daten? Wer war anwesend und beteiligt?
Was – Was kann gegen eine zukünftige Wiederholung der Vorgänge getan werden?
Identifizierung
Da in diesem Teilprozess die Ausgangslage dargestellt werden soll, liegen die Tätigkeitsschwerpunkte in der möglichst genauen Dokumentation der vorgefundenen Situation. Neben der Bestandsaufnahme des eigentlichen Sicherheitsvorfalles und erster Vermutungen müssen unbedingt weitere Fragen für die nähere Untersuchung geklärt werden. Es folgt eine Strukturierung dahingehend, welche Formen von Daten den Beteiligten zugänglich sind. Beispiele hierfür könnten Computer (Festplatten), Mobiltelefone, spezielle Log-Dateien oder auch flüchtige Datenbestände wie Hauptspeicherinhalte sein. Es wird ferner festgehalten, wo diese Daten und in welchen Umgebungen (z. B. Betriebssysteme) vorrätig sind.
Am Ende kann durch Sichtung dieser grundlegenden Fakten eine Entscheidung darüber gefällt werden, welche dieser Daten im folgenden Schritt gesichert werden müssen.
Datensicherung
Dieser Schritt beinhaltet die eigentliche Sicherung der im vorigen Schritt identifizierten Daten. In diesem Prozessschritt sind die Sicherstellung der Integrität der digitalen Daten und das Aufrechterhalten einer Beweiskette die zentralen Aufgaben. Daher ist als ein wesentlicher Schritt auch die Reihenfolge der Flüchtigkeit der Daten zu berücksichtigen.[2]
In diesem Prozessschritt ergibt eine entscheidende Fragestellung, ob das betroffene IT-System aufgrund der Gefährdungssituation abzuschalten ist oder weiter betrieben werden kann. Diese Frage ist von zentraler Bedeutung, da es im weiteren Schritt um eine Sicherung von flüchtigen Datenbeständen wie z. B. dem RAM-Speicher, Netzwerkverbindungen und offenen Dateien sowie nicht-flüchtigen Datenbeständen wie z. B. Daten auf der Festplatte geht. Im Falle des Abschaltens würden die flüchtigen Datenbestände verloren gehen.
Das Abschalten eines Systems ist beispielsweise auch bei der Nutzung von Festplattenverschlüsselung problematisch für eine spätere Datenanalyse. Frei verfügbare Software-Produkte, wie zum Beispiel dm-crypt, sind in der Lage eine ganze Festplatte so zu verschlüsseln, dass im laufenden Betrieb mit angemeldetem Benutzer auf alle Daten zugegriffen werden kann. Alle Daten auf der Festplatte sind dann derart verschlüsselt, dass sie eine Entschlüsselung gänzlich unmöglich machen oder die Untersuchung aufgrund des enormen Zeitaufwands beträchtlich verzögern kann. Bei einer vorherigen Sicherung des Hauptspeicherinhaltes könnte eine Extraktion des dort vorhandenen Zugriffsschlüssels die Analyse der verschlüsselten Festplatte erleichtern bzw. ermöglichen.
Zur Sicherung von Daten einer Festplatte (Erstellung eines forensischen Duplikats) kommen häufig sog. Writeblocker zum Einsatz. An diese Geräte werden die zu sichernden Datenträger angeschlossen. Writeblocker verhindern schreibende Zugriffe auf die zu sichernden Datenträger, so dass deren Integrität gewahrt bleibt.[1]
Regelmäßig werden in diesem Prozessschritt Daten auf mitgebrachten Datenträgern des IT-Forensikers gesichert. Dabei sollten Medien benutzt werden, die einmalig beschreibbar sind. Der Einsatz von kryptografischen Verfahren zum digitalen Signieren von Daten sollte geprüft und wenn möglich angewendet werden, um deren Unversehrtheit gewährleisten zu können.
Neben der klassischen Sicherung von Festplatten aus PC- und Serversystemen rückt auch die Sicherung digitaler Spuren von Smartphones und PDAs immer stärker in den Vordergrund.
Analyse
Nachdem die relevanten Daten erhoben sind und sicher auf entsprechenden Medien untergebracht sind, folgt eine erste Analyse. Hier ist Allroundwissen über Netzwerktopologien, Applikationen, aktuelle und bekannte System-Verwundbarkeiten als auch möglicherweise ein sehr hoher Grad an Improvisationsvermögen gefordert. Gerade hier sollten sich Organisationen überlegen, ob externe Fachleute hinzugezogen werden. Das benötigte Wissen geht weit über die pure Administration von Netzwerken oder Betriebssystemen hinaus und verlangt teilweise sogar betriebssystemnahe Programmierkenntnisse. Die erfolgreiche Analyse ist stets von der richtigen Deutung der vorliegenden Erkenntnisse abhängig. Der Sinn und Zweck der Analyse liegt in der Veranschaulichung und Untersuchung der Daten, der Bemessung der Ursachen des Vorfalles und der Wirkungsweise des eingetretenen Vorfalls. Die Analyse findet typischerweise niemals am originären System statt und bedingt eine noch peniblere Dokumentation als in den vorherigen Schritten.
Aufbereitung und Präsentation
Im letzten Prozessschritt bereiten die an der Analyse beteiligten Personen ihre Erkenntnisse in Form eines Berichtes auf. Hierbei ist der Bericht auf die grundsätzliche Motivation einer Untersuchung abzustimmen. Diese lässt sich in folgenden Punkten zusammenfassen:
Ermittlung der Identität des Täters / der Täter,
Ermittlung des Zeitraums der Tat (Erstellung „Timeline“),
Ermittlung des Umfanges der Tat,
Ermittlung der Motivation der Tat und
Ermittlung der Ursache und Durchführung
Ob sich alle Punkte restlos klären lassen, hängt sowohl vom vorhandenen Datenmaterial als auch von der Qualität der Analyse ab.
Quelle
Wesentliches Element der IT-Forensik ist die Gerichtsfestigkeit der digitalen Beweismittel und aller folgenden Aktivitäten, d. h. die Daten und Analyseschritte müssen den Anforderungen von Gerichten an Beweismittel genügen. Dies wird durch eine lückenlose und umfassende Dokumentation der Beweismittel (u. a. mit Fotos, Hashing, Vier-Augen-Prinzip, etc.) und aller weiteren Analyseschritte bis zum Ergebnis der forensischen Datenanalyse erreicht.
Die IT-Forensik gliedert sich in die zwei Bereiche Computer-Forensik bzw. Disk-Forensik, bei der es um die Analyse von Computer- oder Mobilgeräten und der darin enthaltenen Daten geht, und Forensische Datenanalyse bzw. Data-Forensik, bei der es um die Analyse von (meist großen) Datenbeständen aus Anwendungen und den zugrunde liegenden Datenbanken geht. Ziel der Computer-Forensik ist in der Regel das Analysieren von Kommunikation. Ziel der Forensischen Datenanalyse ist typischerweise die Analyse von Handlungen.
Mittlerweile bieten viele IT- und Beratungsfirmen forensische Untersuchungen als Dienstleistung an. Aber auch polizeiliche Behörden beschäftigen Fachkräfte in diesem Bereich.
Prozess
Zur Durchführung einer Analyse mittels IT-Forensik ist ein fester Prozess notwendig. Dieser Prozess besteht im normalen Sinne aus folgenden vier Schritten:
Identifizierung
Datensicherung
Analyse
Präsentation/Aufbereitung
Innerhalb der Einzelschritte des Gesamtprozesses geht es im Wesentlichen um die Klärung folgender Fragestellungen im Hinblick auf die Geschehnisse, die zur Untersuchung geführt haben:[1]
Was – Was ist geschehen?
Wo – Wo ist es passiert?
Wann – Wann ist etwas passiert? (Datum und Uhrzeit)
Wie – Wie wurde vorgegangen? Welche Tools und/oder welche physikalischen Mittel wurden eingesetzt?
Zusätzlich können im Hinblick auf die strafrechtliche Relevanz oder die IT-Sicherheitsbewertung auch folgende Fragen relevant werden:
Wer – Wer bewegte bzw. veränderte Daten? Wer war anwesend und beteiligt?
Was – Was kann gegen eine zukünftige Wiederholung der Vorgänge getan werden?
Identifizierung
Da in diesem Teilprozess die Ausgangslage dargestellt werden soll, liegen die Tätigkeitsschwerpunkte in der möglichst genauen Dokumentation der vorgefundenen Situation. Neben der Bestandsaufnahme des eigentlichen Sicherheitsvorfalles und erster Vermutungen müssen unbedingt weitere Fragen für die nähere Untersuchung geklärt werden. Es folgt eine Strukturierung dahingehend, welche Formen von Daten den Beteiligten zugänglich sind. Beispiele hierfür könnten Computer (Festplatten), Mobiltelefone, spezielle Log-Dateien oder auch flüchtige Datenbestände wie Hauptspeicherinhalte sein. Es wird ferner festgehalten, wo diese Daten und in welchen Umgebungen (z. B. Betriebssysteme) vorrätig sind.
Am Ende kann durch Sichtung dieser grundlegenden Fakten eine Entscheidung darüber gefällt werden, welche dieser Daten im folgenden Schritt gesichert werden müssen.
Datensicherung
Dieser Schritt beinhaltet die eigentliche Sicherung der im vorigen Schritt identifizierten Daten. In diesem Prozessschritt sind die Sicherstellung der Integrität der digitalen Daten und das Aufrechterhalten einer Beweiskette die zentralen Aufgaben. Daher ist als ein wesentlicher Schritt auch die Reihenfolge der Flüchtigkeit der Daten zu berücksichtigen.[2]
In diesem Prozessschritt ergibt eine entscheidende Fragestellung, ob das betroffene IT-System aufgrund der Gefährdungssituation abzuschalten ist oder weiter betrieben werden kann. Diese Frage ist von zentraler Bedeutung, da es im weiteren Schritt um eine Sicherung von flüchtigen Datenbeständen wie z. B. dem RAM-Speicher, Netzwerkverbindungen und offenen Dateien sowie nicht-flüchtigen Datenbeständen wie z. B. Daten auf der Festplatte geht. Im Falle des Abschaltens würden die flüchtigen Datenbestände verloren gehen.
Das Abschalten eines Systems ist beispielsweise auch bei der Nutzung von Festplattenverschlüsselung problematisch für eine spätere Datenanalyse. Frei verfügbare Software-Produkte, wie zum Beispiel dm-crypt, sind in der Lage eine ganze Festplatte so zu verschlüsseln, dass im laufenden Betrieb mit angemeldetem Benutzer auf alle Daten zugegriffen werden kann. Alle Daten auf der Festplatte sind dann derart verschlüsselt, dass sie eine Entschlüsselung gänzlich unmöglich machen oder die Untersuchung aufgrund des enormen Zeitaufwands beträchtlich verzögern kann. Bei einer vorherigen Sicherung des Hauptspeicherinhaltes könnte eine Extraktion des dort vorhandenen Zugriffsschlüssels die Analyse der verschlüsselten Festplatte erleichtern bzw. ermöglichen.
Zur Sicherung von Daten einer Festplatte (Erstellung eines forensischen Duplikats) kommen häufig sog. Writeblocker zum Einsatz. An diese Geräte werden die zu sichernden Datenträger angeschlossen. Writeblocker verhindern schreibende Zugriffe auf die zu sichernden Datenträger, so dass deren Integrität gewahrt bleibt.[1]
Regelmäßig werden in diesem Prozessschritt Daten auf mitgebrachten Datenträgern des IT-Forensikers gesichert. Dabei sollten Medien benutzt werden, die einmalig beschreibbar sind. Der Einsatz von kryptografischen Verfahren zum digitalen Signieren von Daten sollte geprüft und wenn möglich angewendet werden, um deren Unversehrtheit gewährleisten zu können.
Neben der klassischen Sicherung von Festplatten aus PC- und Serversystemen rückt auch die Sicherung digitaler Spuren von Smartphones und PDAs immer stärker in den Vordergrund.
Analyse
Nachdem die relevanten Daten erhoben sind und sicher auf entsprechenden Medien untergebracht sind, folgt eine erste Analyse. Hier ist Allroundwissen über Netzwerktopologien, Applikationen, aktuelle und bekannte System-Verwundbarkeiten als auch möglicherweise ein sehr hoher Grad an Improvisationsvermögen gefordert. Gerade hier sollten sich Organisationen überlegen, ob externe Fachleute hinzugezogen werden. Das benötigte Wissen geht weit über die pure Administration von Netzwerken oder Betriebssystemen hinaus und verlangt teilweise sogar betriebssystemnahe Programmierkenntnisse. Die erfolgreiche Analyse ist stets von der richtigen Deutung der vorliegenden Erkenntnisse abhängig. Der Sinn und Zweck der Analyse liegt in der Veranschaulichung und Untersuchung der Daten, der Bemessung der Ursachen des Vorfalles und der Wirkungsweise des eingetretenen Vorfalls. Die Analyse findet typischerweise niemals am originären System statt und bedingt eine noch peniblere Dokumentation als in den vorherigen Schritten.
Aufbereitung und Präsentation
Im letzten Prozessschritt bereiten die an der Analyse beteiligten Personen ihre Erkenntnisse in Form eines Berichtes auf. Hierbei ist der Bericht auf die grundsätzliche Motivation einer Untersuchung abzustimmen. Diese lässt sich in folgenden Punkten zusammenfassen:
Ermittlung der Identität des Täters / der Täter,
Ermittlung des Zeitraums der Tat (Erstellung „Timeline“),
Ermittlung des Umfanges der Tat,
Ermittlung der Motivation der Tat und
Ermittlung der Ursache und Durchführung
Ob sich alle Punkte restlos klären lassen, hängt sowohl vom vorhandenen Datenmaterial als auch von der Qualität der Analyse ab.
Quelle
checker- Moderator
- Anzahl der Beiträge : 49603
Anmeldedatum : 03.04.11
Ort : Braunschweig
Braunschweig-aktuell :: Nachrichten :: Hobbys :: PC
Seite 1 von 1
Befugnisse in diesem Forum
Sie können in diesem Forum nicht antworten
Heute um 3:20 am von Heiliger Hotze
» Halflives
Heute um 3:18 am von Heiliger Hotze
» Kupfergold
Heute um 3:15 am von Heiliger Hotze
» Whitesnake
Heute um 3:13 am von Heiliger Hotze
» ( ENGELSEIN ) ENGELHAI
Heute um 3:11 am von Heiliger Hotze
» MALIGNANT TUMOUR
Heute um 3:04 am von Heiliger Hotze
» - LEEAAV -
Heute um 3:02 am von Heiliger Hotze
» (( ifa ))
Heute um 3:00 am von Heiliger Hotze
» AOP Records
Heute um 2:57 am von Heiliger Hotze