Technik

Grundlagen

Eine korrekte Begutachtung besteht aus dem Zusammenspiel IT-forensischer Prozesse, geeigneten Technologien und einer umfassenden Dokumentation. Abhängig von der konkreten Fragestellung an den Sachverständigen und den technischen Rahmenbedingungen ergeben sich die notwendigen Schritte, um eine Beweisverkettung („Chain of Custody“) ableiten zu können. Jede Untersuchung hat ihre prozessuale, technische und auch menschliche Einmaligkeit und verlangt ein korrektes, aber auch der jeweiligen Situation angemessenes Vorgehen. Es gibt zwei wesentliche Quellen für digitale Beweise auf einem Computer:

  • permanent gespeicherte Daten, üblicherweise auf der eingebauten Festplatte
  • flüchtige Daten im Arbeitsspeicher (RAM)

Dateien auf Festplatten sind nach einem Neustart des Rechners (oder des Smartphones) noch vorhanden und permanent auf dem Datenträger gespeichert. Die Auswertung von Festplatten, USB Sticks und Speicherkarten ist seit Jahrzehnten etablierter Standard in der digitalen Forensik.

Die Daten im Arbeitsspeicher sind allerdings mit dem Ausschalten des Gerätes verloren und werden daher als volatile oder flüchtige Daten bezeichnet. Die volatilen Daten eines PC enthalten wichtige Informationen für einen Ermittler, da einige für die Aufklärung des Vorfalls notwendigen Informationen nur im RAM und nicht auf der Festplatte zu finden sind. Es gibt zum Beispiel Rootkits, deren Aktivitäten sich allein im RAM eines Computers nachweisen lassen.

Daher sollte auf keinen Fall ein PC oder Server voreilig ausgeschaltet werden! 

Welche volatilen Daten befinden sich im RAM?
Besprechen Sie das Herunterfahren von Client- oder Serverbetriebssystemen, die Trennung vom Netzwerk und andere Aktionen mit ihrem IT-Forensik Experten oder dem Incident Response Team. Unüberlegte und überstürzte Handlungen können zur Vernichtung von Beweisen führen, erschweren die Ermittlungsarbeit und schränken die Verwertbarkeit von Beweisen vor Gericht ein!

RAM

Bis vor einigen Jahren noch galt die (US-amerikanische) Devise des „Pull the Plug!“ als erste Reaktion zur Beweissicherung in der digitalen Forensik. Und noch heute spukt vereinzelt in den Köpfen von Administratoren das sofortige Ziehen des Stromsteckers als Erstmaßnahme herum. Heute ist jedoch klar, das mit diesem Schritt ein sehr wertvoller Teil der vorhandenen Beweise vernichtet wird. Die fachlich korrekte und gerichtsverwertbare Sicherung der volatilen Daten eines  PC  gehört zu meinen ersten technischen Tätigkeiten vor Ort. Die Sicherung des gesamten Inhaltes des RAM als Memory Dump und seine Auswertung gehört zu meinen Schlüsselqualifikationen in der IT-Forensik.


Verwendung zertifizierter Software und Hardware

Für die Suche nach digitalen Beweisen und ihre anschließende Auswertung kommt sowohl IT-Forensik Software führender Hersteller wie Mandiant, X-Ways und AccessData, als auch Open Source Software wie Volatility oder das Sleuth Kit zur Anwendung. Je nach Aufgabenstellung und technischer Herausforderung greife ich auf eine Vielzahl unterschiedlicher Software, Hardware und technischen Dokumentationen zurück. Für die Erstellung der exakten Duplikate von Festplatten, USB Sticks und Speicherkarten nutze ich Write Blocker der Unternehmen CRU Wiebetech und Addonics. Diese Geräte erlauben ausschließlich einen lesenden Zugriff auf die jeweiligen Datenträger und können keine Veränderungen durch Schreibvorgänge bewirken. Somit bleibt die Integrität von Beweismitteln in jedem Fall gewährleistet. Die genutzten Write Blocker sind selbstverständlich für die Verwendung als Beweismittel vor Gericht geeignet, anerkannt und zertifiziert.