In diesem Abschnitt stellen wir zun¨achst Prinzipien der Forensik vor, die auch f¨ur die IT-Forensik gelten. Danach stellen wir das Vorgehensmodell des Bundesamtes f¨ur Sicherheit in der Informati-onstechnik zur Durchf¨uhrung einer IT-forensischen Untersuchung vor.
6.3.1 Prinzipien
In Abschnitt 6.2 haben wir erkl¨art, dass Forensik die Anwendung wissenschaftlicher Methoden auf Fragen des Rechts bedeutet. Manche Fragen sind inherent f¨ur eine Untersuchung, n¨amlich die ber¨uhmten 7 W-Fragen der Kriminalistik. Damit soll ein behaupteter Tathergang bewiesen oder widerlegt werden. Die ber¨uhmten 7 W-Fragen lauten:
• Wer?
• Was?
• Wo?
• Wann?
• Womit?
• Wie?
• Weshalb?
Damit die Resultate einer forensischen Untersuchung als Beweise vor Gericht oder gegen¨uber anderen Auftraggebern verwendet werden k¨onnen (zu Beginn einer Untersuchung ist oft nicht klar, ob eine gerichtliche Auseinandersetzung stattfinden wird), ist eine gr¨undliche und sorgf¨altige Vorgehensweise n¨otig. An einen Ermittlungsprozess werden die folgenden Anforderungen gestellt:
• Akzeptanz: Bei der Untersuchung sollen Verfahren und Methoden eingesetzt werden, die in der Fachwelt beschrieben und allgemein akzeptiert sind. Bei Einsatz von neuen Verfahren oder Methoden muss ein Nachweis ¨uber die korrekte Funktionsweise erbracht werden.
• Glaubw¨urdigkeit: Die Robustheit und Funktionalit¨at der eingesetzten Methoden und Ver-fahren muss sichergestellt oder bewiesen werden. Diese Anforderung h¨angt eng mit der Ak-zeptanz der Methoden zusammen. Weiterhin muss der Forensiker als Person glaubw¨urdig sein, z.B. weil er eine Sicherheitspr¨ufung durchlaufen hat und einschl¨agige Fachkenntnisse nachweisen kann.
• Wiederholbarkeit: Durch Anwendung der gleichen Verfahren, Methoden und Hilfsmittel durch Dritte m¨ussen, ausgehend vom selben Ausgangsmaterial, die gleichen Ergebnisse erzielt werden. Diese Anforderung leitet sich insbesondere aus der Anwendung wissenschaftlicher Methoden ab, die Reproduzierbarkeit als Kernelement enthalten.
6.3. PRINZIPIEN UND VORGEHENSMODELLE 101
• Ursache und Auswirkungen: Mit den verwendeten Verfahren und Methoden muss es m¨oglich sein, logisch nachvollziehbare Beziehungen zwischen Ereignissen, Beweismitteln und Personen herzustellen. Gerade die Zuordnung einer digitalen Spur zu einer nat¨urlichen Person ist meist eine Herausforderung.
• Dokumentation: W¨ahrend der Ermittlung m¨ussen alle Arbeitsschritte angemessen und detailliert dokumentiert werden (Verlaufsprotokoll). Zum Abschluss wird dann je nach Ziel-gruppe ein Ergebnisprotokoll erstellt.
• L¨uckenlosigkeit: Der Verbleib der digitalen Spuren und der Ergebnisse muss ab dem Zeit-punkt der Erfassung l¨uckenlos nachgewiesen werden, um jederzeit potentielle Manipulationen ausschließen zu k¨onnen (das ist die oben genannte
”chain of custody“).
• Integrit¨at: W¨ahrend einer Untersuchung d¨urfen Spuren weder bewusst noch unbewusst ge¨andert werden. Die Integrit¨at und die Sicherung der Integrit¨at der digitalen Beweise muss dokumentiert werden und zu jeder Zeit belegbar sein. Hierzu wird – sofern m¨oglich – zu Be-ginn der Untersuchung eine 1:1-Kopie des Untersuchungsgegenstandes (z.B. einer Festplatte) erstellt (die sogenannte Masterkopie) und daraus wiederum Arbeitskopien. Damit wird das Original so wenig wie m¨oglich verwendet, womit die Wahrscheinlichkeit einer (typischerweise unbeabsichtigten) Ver¨anderung sinkt.
• Authentizit¨at: Es muss gew¨ahrleistet werden, dass zum einen das Vorgehen der Ermittler und zum anderen die erhobenen und gewonnenen Daten authentisch sind. Dazu m¨ussen alle dokumentierten Arbeitsschritte der forensischen Untersuchung sowie die daraus extrahierten Erkenntnisse gesch¨utzt werden, z.B. durch eine eigenh¨andige Unterschrift oder eine digitale Signatur.
6.3.2 Vorgehensmodelle
Es gibt eine Reihe von Vorgehensmodellen, die den Ablauf einer IT-forensischen Untersuchung be-schreiben. Neben allgemeinen Vorgehensmodellen, die wir in diesem Abschnitt darstellen, gibt es auch spezifischere Modelle, etwa zur IT-forensischen Untersuchung mobiler Endger¨ate wie Smart-phones.
Das einfachste allgemeine Vorgehensmodell ist das S-A-P-Modell, das die 3 Phasen Sichern, Analysieren sowie Pr¨asentieren beschreibt. Die Inhalte dieser Phasen sind selbsterkl¨arend:
zun¨achst werden relevante Spuren identifiziert und gesichert (z.B. Erstellung der Master- sowie Arbeitskopien), die gesicherten Spuren werden anschließend analysiert sowie korreliert und f¨ur eine bestimmte Zielgruppe (z.B. Techniker, Management, Richter) aufbereitet und pr¨asentiert.
Im folgenden gehen wir auf das Vorgehensmodell des Bundesamtes f¨ur Sicherheit in der Infor-mationstechnik ein, das im BSI-LeitfadenIT-Forensikbeschrieben wird. Das BSI-Vorgehensmodell erweitert das S-A-P-Modell durch eine Unterteilung der einzelnen Phasen. Es besteht nunmehr aus 6 Phasen.
Strategische Vorbereitung: Diese Phase liegtvor Eintritt eines Zwischenfalls – statt Zwi-schenfall spricht der BSI-Leitfaden von Symptom. Zentrales Ziel dieser Phase ist die Bereitstel-lung von Datenquellen (z.B. Logfiles bei Webdiensten, Verbindungsdaten von Routern) sowie das Einrichten einer forensischen Workstation samt Bereitstellung von IT-forensischen Tools (En-Case, FTK, Hardware-Writeblocker). Des weiteren werden konkrete Handlungsanweisungen f¨ur bestimmte Schadensf¨alle festgelegt. Alle Schritte der strategischen Vorbereitung (wie auch alle Schritte in den folgenden Phasen) werden dokumentiert und m¨oglichst in Standardterminologie (z.B. nach CERT) beschrieben.
Operationale Vorbereitung: Diese liegt nach Eintritt eines Zwischenfalls/Symptoms. Im Rahmen der operationalen Vorbereitung findet eine Bestandsaufnahme und Sichtung des Tatorts statt. Der Rahmen der IT-forensischen Untersuchung sowie das exakte Ziel werden festgelegt.
Hierzu sollte der Fall so konkret wie m¨oglich beschrieben und ebenso Fragen der Privatsph¨are angesprochen werden (z.B. welche Datenquellen sind tabu f¨ur Ermittler). In vielen F¨allen ist
es wichtig, juristische Unterst¨utzung zu haben. Außerdem legt der Ermittler die zu sichernden Datenquellen fest (z.B. Beschlagnahme von Datentr¨ager oder Live-Sicherung) und w¨ahlt die Tools f¨ur das weitere Vorgehen aus.
Datensammlung: Alternative (und auch bessere) Bezeichnungen f¨ur diese Phase sind Da-tenakquise oder Datensicherung. In dieser Phase sichert der IT-Forensiker die im Rahmen der operationalen Vorbereitung festgelegten Daten. Bei der Sicherung der Daten am Live-System wird folgende Reihenfolge vorgeschlagen, die sich an der Order of Volatility (d.h. der Fl¨uchtigkeit der Daten) orientiert:
• Erfassung von aktueller Systemzeit und Systemdatum und Vergleich mit der korrekten Zeit, um sp¨ater den tats¨achlichen Zeitpunkt eines Vorgangs zu bestimmen.
• Erfassung der momentan auf dem System laufenden Prozesse (Systemzustand).
• Erfassung der am System ge¨offneten Netzwerkverbindungen (Sockets).
• Erfassung der am System angemeldeten Nutzer.
• Eigentliche forensische Duplikation, dabei auf Authentizit¨at und Integrit¨at der Datentr¨ager achten (typischerweise mittels Hashverfahren).
Die Beweismittelkette sollte w¨ahrend der gesamten Sicherungsphase erhalten werden. Dazu muss sichergestellt werden, dass Beweise nicht ver¨andert werden und dass die Arbeitsumgebung ge-gen weitere Zugriffe ausreichend gesch¨utzt ist, z.B. sollte weder physischer noch Netzwerkzugriff m¨oglich sein. Oft ist es auch n¨utzlich, einen Zeugen hinzuzuziehen und nach dem Vier-Augen-Prinzip zu verfahren.
Datenuntersuchung: Diese Benennung ist etwas irref¨uhrend, denn im Rahmen der Datenun-tersuchung findet eine Vorverarbeitung der gesicherten Daten statt, um diese im anschließenden Schritt zu analysieren. Der initiale Schritt befasst sich meist mit der Datenreduktion. Irrelevan-te DaIrrelevan-teien und Informationen werden verworfen. Hierf¨ur wird ¨ublicherweise eine Whitelist mit Hashwerten des US-amerikanischen National Institute of Standards and Technology (NIST) ver-wendet, n¨amlich das Reference Data Set (RDS) der National Software Reference Library (NSRL)6. Die RDS indexiert Hashwerte (SHA-1, MD5) von irrelevanten Dateien (z.B. Dateien des Betriebs-systems oder von Standardanwendungen wie Firefox, Thunderbird). Analog k¨onnen mittels einer Blacklist (z.B. Hashwerte inkriminierter Dateien) direkt Kandidaten f¨ur das Vorliegen eines Indizes gefunden werden.
Bei manchen Ermittlungen kann der Datenbestand auf einen bestimmten Dateityp reduziert werden, z.B. im Falle kinderpornographischer Schriften auf Bilddateien wie JPG, GIF, PNG und BMP sowie Videos (MPG, AVI, ...). Hier sollte der IT-Forensiker jedoch bevorzugt den Dateikopf (File Header) untersuchen und sich nicht auf die Dateiendung verlassen. Des weiteren werden Bilder aus Archiven, Mails, zip-, pdf-, doc-Files extrahiert und f¨ur die Ermittlung bereitgestellt.
Im Rahmen der Datenuntersuchung wird oft eine Datenrekonstruktion durchgef¨uhrt, bei der gel¨oschte Dateien, Dateifragmente und File-Slacks (das sind nicht-allozierte Bereiche auf dem Datentr¨ager) untersucht werden, um Hinweise auf das Vorliegen von strafbaren Inhalten zu finden.
Falls Logfiles von Webanwendungen, Firewalls oder Intrusion Detection Systemen relevant sind, werden diese aufgearbeitet (z.B. in ein menschenlesbares Format). Auch eine Timeline kann im Rahmen der Datenuntersuchung erstellt werden, also welche Dateien zu welchem Zeitpunkt angelegt, gelesen, ge¨andert oder gel¨oscht wurden bzw. welche zeitliche Abfolge von Ereignissen sich aus einer Logdatei ergibt.
Manchmal ist es notwendig, eine erneute Datensammlung durchzuf¨uhren, z.B. wenn festge-stellt wird, dass ein bestimmter USB-Stick am System zur Speicherung relevanter Dateien genutzt worden sein k¨onnte.
Datenanalyse: Diese Phase beschreibt die eigentliche Analyse der vorverarbeiteten Daten, insbesondere deren Korrelation aus unterschiedlichen Datenquellen (z.B. mehrere Logfiles oder
6nsrl.nist.gov
6.4. ABSTRAKTIONSEBENEN DER IT-FORENSIK UND TOOLS 103