Auf digitaler Spurensuche mithilfe von IT-Forensik

Nichts berühren! Nichts verändern, bevor die Spurensicherung ihr Werk erledigt hat! Was als oberste Maxime an einem klassischen Tatort gilt, kann auch in die digitale Welt übertragen werden. Firmenanwender, die merken, dass sie gehackt oder sonst wie das Opfer einer Cyberstraftat geworden sind, sollten erst einmal nichts tun und wenn möglich IT-Forensik-Profis zu Rate ziehen.

Doch, was ist überhaupt IT-Forensik, die auch unter den Bezeichnungen Digitale Forensik und Computer-Forensik bekannt ist? Ganz generell handelt es sich dabei um einen Teilbereich der klassischen Forensik, die sich mit der Suche nach digitalen Spuren beschäftigt, welche bei einem Angriff oder einer anderen Straftat hinterlassen wurden. Neben der reinen Spurensuche ist auch die Beweissicherung und die Rekonstruktion der Abläufe in IT-Geräten Teil der digitalen Forensik. Sie erstreckt sich dabei auf alle Geräte, die Daten verarbeiten und speichern, also nicht nur auf PC, Server und Laptops, sondern auch auf Mobiltelefone und Smartphones, ja sogar auf Navigationssysteme und Satelliten-Empfangsgeräte. Deshalb greift wohl auch die Verwendung des Begriffs Computer-Forensik zunehmend zu kurz, da diese zu sehr an einzelne PC denken lässt.

Zudem kann die IT-Forensik als Teil des Notfall- und IT-Service- sowie Risikomanagements verstanden werden und umfasst dann auch Methoden zur Vorfallsbearbeitung, besser bekannt unter dem englischen Begriff "Incident Response" Experten verwenden denn auch gern die Abkürzung DFIR (Digital Forensics and Incident Response). Das Konzept ist schließlich auch die Grundlage für die IT-Forensik-Definition, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem "Leitfaden IT-Forensik" verwenden. Sie lautet: "IT-Forensik ist die streng methodisch vorgenommene Datenanalyse auf Datenträgern und in Computernetzen zur Aufklärung von Vorfällen unter Einbeziehung der Möglichkeiten der strategischen Vorbereitung insbesondere aus der Sicht des Anlagenbetreibers eines IT-Systems".

Ein weiterer Aspekt, respektive ein wesentliches Element der digitalen Forensik ist zudem die Gerichtsfestigkeit der gesammelten und dokumentierten digitalen Beweismittel. Gerade vor diesem Hintergrund ist die Kopplung von IT-Forensik und Incident Response auch für Tobias Ellenberger logisch und in der Praxis sehr sinnvoll. Er ist Chief Operating Officer von Oneconsult, einem in Thalwil beheimateten IT-Security-Spezialisten, der sich unter anderem auf Penetration-Testing Incident Response und IT-Forensik spezialisiert hat. Denn laut Ellenberger ist bei einem Vorfall zu Beginn in der sogenannten "Chaos-Phase" oft nicht entscheidbar, ob es zu einer Anklage kommen wird. "Es kann sich oft erst später bei der Untersuchung eines Angriffs herausstellen, was genau geschehen ist. Dass beispielsweise ein Konkurrent geistiges Eigentum entwendet hat, und man sich dann erst entscheidet, gerichtlich gegen den Mitbewerber vorzugehen", berichtet er. "In diesem Fall ist es wichtig, dass alle gesammelten Beweise vor Gericht verwertbar sind", so Ellenberger.

Und damit sind wir schon mittendrin in der für die IT-Forensik typische Vorgehensweise. Wie in der Kriminologie in der echten Welt, gilt es auch im digitalen Umfeld, die Spuren des Angriffs so zu sichern, dass eine Manipulation ausgeschlossen werden kann. Denn auch im digitalen Umfeld gilt der bereits von dem französischen Arzt Edmund Locard schon zu Beginn des 20. Jahrhundert formulierten Prinzip: "Jeder und alles am Tatort nimmt etwas mit und lässt etwas zurück".

Benötigt wird daher eine lückenlose Dokumentation. Das kann zunächst selbst in der digitalen Forensik sehr physisch und analog sein. "Wir orientieren uns bei der Vorgehensweise an bewährte Routinen der Polizei. Wenn wir an einen mutmaßlichen Tatort gelangen, fotografieren wir beispielsweise auch, wo welcher PC oder welches sonstige Gerät stand", berichtet Ellenberger. Danach muss jede weitere Aktion dokumentiert werden. "Das geschieht zum Teil noch sehr analog", meint er. So gibt es bei Oneconsult spezielle Formulare, die von Hand ausgefüllt und signiert werden müssen. Dabei wird festgehalten, was von wem zu welcher Zeit genau gemacht wurde.

In der IT-Forensik werden grundlegend zwei Formen der Analyse unterschieden, die eine jeweils unterschiedliche Herangehensweise bedingen. Zum einen werden Daten "post mortem" oder offline untersucht. Zum anderen wird live ermittelt. Das System bleibt somit im Betrieb und online.

Klassisches Beispiel für eine Post-Mortem-Analyse, bei der also wie beim Gerichtsmediziner der "Tote" vor einem auf dem Seziertisch liegt, ist die Untersuchung einer Festplatte. Hier muss zunächst rein physisch verhindert werden, dass die Disk noch mit Daten beschrieben werden kann. Deshalb kommen in der Regel sogenannte "Write Blocker" zum Einsatz. Das sind Hardware- oder Software-basierte Vorrichtungen, mit denen zwar Daten vom Träger gelesen aber nicht auf diesen geschrieben werden können. Diese ermöglichen die Erstellung einer forensischen Kopie, so dass nicht auf den Originaldaten gearbeitet werden muss, denn dieses würde die Informationen womöglich verändern.

Zudem ist es gängige Praxis, dass sowohl vom Image als auch vom Original ein Hashwert erstellt wird. Denn nur so lässt sich sicherstellen, dass niemand zwischenzeitlich die Kopie verändert hat. Macht man dies nicht, wird eine juristische Verfolgung schwierig. "Wenn man nicht lückenlos nachweisen kann, dass es zu keinem Zeitpunkt möglich war, den Datenträger zu verändern, hat man vor Gericht ein Problem", sagt Ellenberger deshalb und unterstreicht in diesem Zusammenhang die Einhaltung der sogenannten "Chain of Custody" also der lupenreinen Beweismittelkette.

Steht einmal eine solche forensische Version, lässt sich der Inhalt genauer unter die Lupe nehmen. Dabei wird nicht nur das Dateisystem benutzt, da dieses kein verlässliches Bild aller Inhalte liefert. Denn wenn Dateien gelöscht und aus dem Papierkorb entfernt werden, sind die Informationen immer noch auf der Festplatte vorhanden. Sie sind einfach im File-System nicht mehr sichtbar. Um diese Daten zu bergen, gibt es Methoden und zugehörige Tools, die sich unter der Bezeichnung "File Carving" zusammenfassen lassen.

Schwieriger als eine Post-Mortem-Analyse wie das "File Carving" sind sogenannte Online- oder Live-Analysen. Bei dieser "Königsdisziplin" in der IT-Forensik wird das laufende System untersucht. Etwa bei der Untersuchung eines Malware-Angriffs muss der Computer eingeschaltet bleiben, um überhaupt Spuren zu sichern, da diese sich oft im flüchtigen Memory befinden und beim Ausschalten schlicht und einfach verschwinden würden.

Das große Problem bei der Live-Analyse ist, dass bei einer Untersuchung unweigerlich Datenspuren des Forensikers entstehen. "Schon beim Einloggen wird das System verändert", gibt Ellenberger zu bedenken. Hier muss also noch genauer die "Chain of Custody" respektiert werden. Die Fahnder müssen somit peinlich genau jeden einzelnen Schritt dokumentieren und beispielsweise aufzeigen, dass er zu dieser exakten Uhrzeit sich mit diesem Login und Passwort auf dem System angemeldet hat.

In diesem Zusammenhang rät der Oneconsult-COO als präventive Maßnahme zu einem Zeitabgleich. Denn die Uhren gehen in komplexen IT-Umgebungen oft "anders". So kann sich die Systemzeit eines Servers in der Schweiz um ein paar Sekunden von jener des benutzten Laptops in entfernten Landen unterscheiden, da diese z.B. unterschiedliche Zeitserver verwenden, welche sich nicht synchronisieren. "Es kann manchmal recht aufwändig sein, diese unterschiedlichen Zeiten zu erfassen und zu korrelieren", meint er.

Eine Live-Analyse ist im Allgemeinen nicht nur ratsam, um aktuelle Spuren zu sichern. Sie kann sich auch dazu anbieten, einem Täter auf die Schliche zu kommen. Wird das System nämlich ausgeschaltet, merkt der Angreifer in der Regel, dass seine Attacke aufgefallen ist. Lässt man ihn dagegen weiter gewähren, kann man ein Täterprofil erstellen. So lässt sich beispielsweise feststellen, ob jemand einfach alle Daten, die ihm in die Hände fallen, sammelt, um diese im Darknet zu verkaufen, oder ob er es auf spezifische Informationen wie etwa Rezepturen und Pläne abgesehen hat. Dann könnte es sich nämlich um Wirtschaftsspionage handeln, und es steckt vielleicht ein Mitbewerber hinter dem Angriff. Gerade im zweit genannten Fall ist es sogar dann vielleicht möglich, dem Täter wie im echten Krimi mit Hilfe eines Lockvogels eine Falle zu stellen.

Allerdings wird es zunehmend schwierig, den Angreifern auf die Schliche zu kommen. Denn sie sind immer mehr darauf bedacht, kaum aufzufallen und so wenig Spuren wie möglich zu hinterlassen. "Während diese Professionalität vor ein paar Jahren sehr selektiv gestreut war, stellen wir bei Analysen immer wieder fest, dass dieses Wissen des möglichst unerkannten Eindringens in Systeme, immer breiteren Kreisen zugänglich geworden ist", berichtet Uwe Kissmann, der bei Accenture für den Raum Europa, Afrika und Lateinamerika als Managing Director für Cyber Security Services verantwortlich zeichnet. Immerhin: "Da sich aber die absolute Anzahl der Vorfälle erhöht, nimmt auch gesamthaft die Anzahl der schlecht durchgeführten Angriffe zu", so Kissmann.

Auch Ellenberger sieht diese Tendenzen. Immer mehr Angreifer verstünden es, ihre Spuren zu verwischen und hätten auch ausgezeichnete Rückzugsstrategien in petto für den Fall, dass sie entdeckt würden. Auch die verwendeten Werkzeuge wie Malware könnten immer klandestiner eingesetzt werden. "Viele Schadprogramme haben heute z.B. Schutzmechanismen vor Sandboxing-Technologien. Sie funktionieren beispielsweise nicht, wenn sie realisieren, dass sie nicht auf einem Rechner, sondern in einer virtuellen Maschine ausgeführt werden", führt er aus.

Ähnliches beobachtet auch Sean Sullivan, Security Advisor bei F-Secure, und zwar besonders bei Angriffen, die von Staaten gesponsert werden. "Hier ist man oft sehr darauf bedacht, die Spuren aktiv zu verwischen", berichtet er. Eine Spurensicherung sei dann sicherlich noch möglich, aber bedeutend schwieriger.

Es gelingt den Angreifern nicht nur zunehmend ein kleines Profil zu wahren und lange unerkannt zu bleiben. Sie greifen etwa auch Forensik-Software an, um die Daten dort zu manipulieren, oder sie entwickeln Verfahren und Methoden, die eine forensische Untersuchung entweder behindern, verunmöglichen oder deren Resultate bewusst fälschen.

Solche Anti-Forensik-Maßnahmen haben es beispielsweise darauf abgesehen, die benutzte Forensik-Software zu überfordern. Die Tools sind ja so angelegt, dass sie Untersuchungen sehr genau ausführen, um auch alle Spuren zu sichern. Füttert man eine solche Software mit einer Zip-Datei, die entpackt Terabytes an Files produziert, oder gleich mehrere solche Files, kann das Forensik-Tool Tage wenn nicht Wochen mit der Auswertung beschäftigt sein. Dies verhindert zwar die Untersuchung nicht, kann sie aber maßgeblich verzögern. Da auch IT-Forensiker unter Zeitdruck stehen, kann dies verheerend sein.

Daneben haben auch Forensik-Tools Schwachstellen und Softwarefehler, die ausgenutzt werden können, um falsche Spuren zu legen, die dann den Anwender verwirren können.

Einige der zur Anti-Forensik verwendeten Verfahren nutzen schließlich Werkzeuge, die Teil des Betriebssystems des betroffenen Geräts sind und deshalb vom Angreifer verändert werden können. Ellenberger rät daher IT-Forensikern dazu, eigene geprüfte und mittels Hash-Verfahren verifizierte Tools mitzuführen, statt sich auf die vorhandenen Werkzeuge auf einem möglicherweise infizierten Computer zu verlassen.

Daneben bereitet die zunehmende Komplexität der IT-Umgebungen den IT-Forensikern Kopfzerbrechen. "Wenn Angriffe über weit verzweigte, mehrdimensionale Infrastrukturelemente ausgeführt werden, welche sich darüber hinaus auch noch in unterschiedlichen Ländern befinden, wird es für den IT-Forensiker anspruchsvoller", gibt Kissmann von Accenture zu bedenken. Dabei spiele auch der Faktor Zeit eine wichtige Rolle. "Zieht sich die Analyse zu lange hin, kann es sein, dass wichtige Datensätze bereits überschrieben wurden", führt er weiter aus und weist gleichzeitig darauf hin, dass professionelle Angreifer diese Limits natürlich kennen würden.

Auch Ellenberger führt als zunehmendes Problem für die digitale Beweisführung die komplexeren IT-Landschaften ins Feld. Firmen betrieben heute verschiedene Netze einschließlich diverser Cloud-Installationen. Hinzu kämen die zahlreichen mobilen Geräte der Mitarbeiter, vom Laptop über das Tablet bis hin zum Smartphone oder gar zur Smartwatch. "Früher reichte es, ein einzelnes System nach Spuren abzusuchen. Heute können sich diese überall befinden", gibt er zu bedenken. In Zeiten von Cloud-Diensten wie Azure und AWS sei es fast ein Ding der Unmöglichkeit, genau festzuhalten, wo sich eine bestimmte Datei zu einem gewissen Zeitpunkt befunden habe.

Ein spezieller Show-Stopper sind auch IoT-Geräte (Internet of Things), die in zunehmender Anzahl auch in Firmennetzen zu finden sind. Ellenberger weist in diesem Zusammenhang darauf hin, dass diese Devices oft gar keine oder eine zeitlich sehr beschränkte Log-Funktionalität aufweisen. "Werden solche Geräte, die keine Logs schreiben, für einen Angriff verwendet, hat man als IT-Forensiker schlechte Karten", sagt er.

Die zunehmende Komplexität verunmögliche aber IT-Forensik-Untersuchungen nicht. Sie wird nur zu einer größeren Herausforderung für den digitalen Fahnder. "Hier braucht es den Menschen mit Know-how und gesundem Menschenverstand, der weiß, wo er suchen soll", folgert Ellenberger.

Der "Faktor Mensch" ist darüber hinaus auch bei der digitalen Aufklärung äußerst wichtig. So sollte das richtige Verhalten während und nach einem Angriff immer wieder eingeübt werden. Denn oft würden sich Anwender und IT-Verantwortliche falsch verhalten. Ellenberger erwähnt in diesem Zusammenhang das Beispiel eines abgestürzten PC. Hier ist meist die erste Reaktion von Anwendern und IT-Verantwortlichen, das System neu zu starten. Angreifer provozieren aber oft solche Abstürze, um einen Reboot zu erzwingen, der ihnen dann mehr Privilegien und Rechte auf dem System bringt. Die Versuche, meist weil es den betroffenen Firmen gar nicht bewusst ist, dass sie gehackt wurden, die Systeme wieder zum Laufen zu bringen, erschweren laut Ellenberger später die forensische Arbeit, da Spuren so kontaminiert werden können. Die Situation ist somit vergleichbar mit einem physischen Tatort, an dem nach dem Verbrechen und vor dem Erscheinen der Spurensicherung zahlreiche Personen zugegen sind und der dann mit deren Finger- und Fußabdrücken übersät ist.

Gerade in Anbetracht der Tatsache, dass viele Angriffe nicht nur von externen, sondern auch von internen Tätern stammen können, sollten auch bei der Aufklärungsarbeit soziale und menschliche Aspekte nicht zu kurz kommen. "Was mir in meiner aktiven Tätigkeit in der Cyber-Security-Beratung auffällt, ist ein häufig sehr hoher Fokus der Abwehrmaßnahmen auf reine Technologie und auf die Einhaltung von Compliance-Vorgaben", kritisiert Kissmann von Accenture. Wolle man Angriffe wirkungsvoller verhindern, sei dagegen eine proaktive und intensive Auseinandersetzung mit möglichen menschlichen Motivationselementen eines Angriffes notwendig. "99 Prozent der Angriffe werden von Menschen begangen. Es ist daher wichtig, deren entsprechende Motivationsfaktoren und Auslöser für gewissen Handlungen zu kennen", argumentiert er. Interessanterweise leistet hier auch neuste Technik wie künstliche Intelligenz und Machine Learning wichtige Dienste. Mit diesen lassen sich laut Kissmann Veränderungen im Verhalten der Täter früher identifizieren.

Die relativ junge Disziplin der IT-Forensik hilft nicht nur dabei, digitale Spuren von internen und externen Angreifern zu sichern. Sie kann auch als Teil der Incident Response und des Riskmanagement wichtige Dienste zu einer Erhöhung der Cyber-Sicherheit in Unternehmen leisten.