Forensik-Prozess

Sichern der EDV-Beweismittel

Die Gewinnung von beweismitteltauglichen Daten aus einem Computer muss erschöpfend und vorsichtig erfolgen, ohne dabei auch nur das Geringste an dem zu untersuchenden Computer zu verändern. Wir haben entsprechende Vorgehensweisen und Techniken entwickelt:Erstellen einer exakten Kopie aller Daten, die sich auf dem Computer befinden. Protokolle aller Schritte bei den Untersuchungen, so dass der Ermittlungsprozess vollständig nachvollziehbar ist. Überprüfung der Arbeitsschritte zu jedem Zeitpunkt der Untersuchung. Schnelle Identifikation der Informationen und Beweismittel auf dem Computer. Das erfolgt durch die Erstellung einer exakten Kopie, eben eines Abbilds des verdächtigen Computers. Das Abbild enthält ausnahmslos alle Informationen, die sich auf dem Originalrechner befinden. Das Abbild enthält auch Information, die mit normalen Mitteln nicht zugänglich sind, etwa:Gelöschte Daten. Daten, die außerhalb der normalerweise zugänglichen Speicherbereiche verborgen sind. Teilweise überschriebene Bereiche älterer Daten. Diesen lebenswichtigen Datenfragmenten kann unter Umständen entscheidende Bedeutung zukommen; häufig verbergen sie sich in den Tiefen des Dateiverwaltungssystems des Computers.
Die Abbildung ist eine exakte Replik oder ein Klon des verdächtigen Computers. Sie kann daher an Stelle des Originalcomputers untersucht werden. Durch die Verwendung des Abbilds kann der Ermittler alle Datenbereiche nach Beweismitteln oder Spuren und Hinweisen durchsuchen, ohne das Original zu verändern oder in Mitleidenschaft zu ziehen. Der Ermittler kann die zuletzt besuchten Internetsites aufsuchen, gespeicherte E-Mail-Dateien lesen und sich innerhalb des Abbilds bewegen, wie im Originalcomputer selbst - ein Fortschritt von grundlegender Bedeutung für die Bekämpfung der Computerkriminalität.
Das Abbild wird von den Strafverfolgungsbehörden dazu verwendet, EDV-Beweismittel in den Ermittlungsablauf einzubringen. Es gilt dabei als ebenso aussagekräftig, wie die Daten auf dem Originalcomputer selbst.



Aufarbeiten der EDV-Beweismittel

Auf die Gewinnung der Daten aus dem verdächtigen Rechner mit Methoden, die gewährleisten, dass gefundene Informationen später als Beweismittel verwendet werden können, folgt als zweiter Schritt die Aufbereitung der EDV-Beweismittel. Mit der großen Erfahrung, die wir aus dem Expertenwissen auf den Gebieten der Datenrettung und -konvertierung gewonnen haben, können praktisch alle Dateisysteme aufgearbeitet werden. Ein Abbild kann in Abhängigkeit vom konkreten Fall und von den Anforderungen des Kunden auf unterschiedliche Weise bearbeitet werden. In manchen Fällen ist die Extrahierung von bestimmten Dateien die beste Lösung, in anderen empfiehlt sich das Anlegen eines Datenindexes, der anschließend von unseren leistungsfähigen Suchwerkzeugen durchforstet werden kann.



Durchsuchen der Daten

Wie geht es nach dem Sicherstellen und Aufarbeiten der Daten weiter?
Wir haben leistungsstarke Werkzeuge zur Suche von möglichen Beweisdaten und deren Analyse entwickelt, die eine Information schnell und effizient lokalisieren können. Beim Suchvorgang kann nach einer Reihe von Wörtern oder einem ganzen Katalog von Worten oder Zeichen gesucht werden, so dass beim Durchsuchen des Speichermediums nur ein Bruchteil der Zeit benötigt wird, die eine konventionelle Suche erfordern würde.



EDV-Ermittlung

In Gigabytes nach ein oder zwei Worten zu suchen, entspricht ein wenig der sprichwörtlichen Suche nach der Nadel im Heuhaufen. Erfahrene EDV-Ermittler verwenden dafür Hochleistungstools, die in vielen Fällen nicht auf dem Markt erhältlich sind. Diese Werkzeuge sind in der Lage, die gefragte Information in sekundenschnelle ausfindig zu machen. Wortsuche und Texterkennungstechnologie gepaart mit dem scharfen Blick eines erfahrenen Ermittlers bringen die Jagd zu einem schnellen Abschluss.
Mit den richtigen Werkzeugen kann ein gesamtes Computernetzwerk nach bestimmten Wörtern oder Zeichenreihen durchforstet werden. Die Suche offenbart jedes einzelne Vorkommen der betreffenden Wörter oder Zeichenreihen, selbst wenn die Daten vom Täter inzwischen gelöscht wurden, um Spuren zu verwischen.



Die Bandbreite unserer Erfahrung

Mit unserem großen Erfahrungsschatz im Bereich der Datenrettung von Plattenmedien und Magnetbändern sind wir in der Lage, nahezu alle Typen und Formate von Speichermedien zu bearbeiten, die sich in aktivem Betrieb befinden. Falls ein ungebräuchliches oder seltenes Format auftaucht, sind wir in der Lage, maßgeschneiderte Softwarewerkzeuge zu programmieren, die auch den besonderen Anforderungen des Falles gewachsen sind.



Was können wir Ihnen bieten?

Wir gehen auf die individuellen Bedürfnisse unserer Kunden ein und stimmen die Dienstleistungen auf die konkreten Anforderungen ab. Auch falls nur ein enges Zeitfenster für einen Auftrag zur Verfügung steht - unser Service ist 24 Stunden am Tag und 365 Tage im Jahr verfügbar.
Unsere Beweismittelsicherungsteams sind häufig in der ganzen Welt unterwegs, um Abbilder zu erstellen und Ermittlungen durchzuführen. Wir können daher kurzfristig auf Ihren Bedarf reagieren.
Bei Bedarf kann ein vollständiges Sachverständigengutachten erstellt werden, das allen rechtlichen Anforderungen entspricht. Unser Verfahren gewährleistet, dass die Beweiskette lückenlos bleibt, während wir die Daten untersucht.
Die bisherigen Einsätze der Ermittler decken das ganze Spektrum der Computerkriminalität ab, inklusive Betrug, Verbreitung von Inhalten, die gegen strafrechtliche Bestimmungen verstoßen und geschäftsschädigende Nutzung von Computer- oder E-Mail-Systemen in Unternehmen. Die zu untersuchende Datenmenge kann hierbei ebenso nur einige Kilobyte auf einer Diskette umfassen wie Hunderte von Gigabyte auf einem RAID-System.

Sicherheit

Wir verfügt über ein strenges System der Zugangskontrolle und nehmen alle Sicherheitsaspekte ausgesprochen ernst.
Das gesamte Personal, das Zugang zu Beweismittelvorgängen hat, wurde Sicherheitsüberprüfungen unterzogen. Jedes unserer Labore ist speziell für die Datenrettung und Beweismittelaufbereitung ausgestattet und verfügt über feuersichere Lagerbereiche.
Der Datenschutz ist selbstverständlicher Teil unserer allgemeinen Geschäftsbedingen, gerne zeichnen wir aber auch separate Geheimhaltungsvereinbarungen.

Heutzutage sind die meisten Daten in elektronischer Form gespeichert. So finden sich Beweise für Computerkriminalität, aber auch Delikte wie Betrug, Diebstahl und Mord oft in digitaler Form auf Festplatten, Bändern und anderen Medien, wie Speicherkarten aus Fotokameras oder Mobiltelefonen.

Die Sachverständigen sichern wertvolle Spuren von diesen Medien und werten sie aus. Ganz unabhängig davon, ob sie zur Aufklärung eines Sachverhaltes oder zur juristischen Auseinandersetzung bei kriminellem oder vorsätzlichem Fehlverhalten dienen.

Wir benutzen dazu unsere eigenen forensischen Hardware- und Softwaresysteme. Diese wurden mit der langjährigen Erfahrung aus der Datenrettung für Festplatten- und Bandmedien entwickelt und sind weltweit bei Strafverfolgungsbehörden im Einsatz.
Unter Computer Forensik verstehen wir aber auch, sie präventiv zu beraten.
So untersuchen die Ermittler das Firmennetzwerk bei Ihnen vor Ort auf Sicherheitslücken und empfehlen gegebenenfalls Verbesserungen. Oder besuchen Sie eines der angebotenen Seminare und lernen Sie, z.B. frühzeitig die Anzeichen für Wirtschaftskriminalität zu erkennen.

Beweismittelsicherung bei Betrugsfällen, mißbräuchlicher Nutzung von Internet/E-mail, Hacker-Angriffen, Verbreitung von Pornographie sowie bei der Ermittlung in Mordfällen oder gegen terroristische Aktivitäten.

Die Arbeit des Expertenteams und der Einsatz der von uns entwickelten Technologie ermöglicht das Auffinden von Beweisdaten auf Datenträgern. Zu unseren Kunden zählen neben Behörden, Konzernen und Privatpersonen auch viele führende Wirtschaftsunternehmen.

Wir entwickeln und produzieren Systeme und Anwendungen zur Sicherstellung von EDV-Beweismitteln und deren Analyse.

Computer-Forensik. Systemeinbrüche erkennen, ermitteln, aufklären

Inhaltsverzeichnis

Einleitung
Wer sollte dieses Buch lesen?
Was lernt man in diesem Buch?
Was lernt man in diesem Buch nicht?
Wie liest man dieses Buch?

1 Bedrohungssituation
1.1 Bedrohung und Wahrscheinlichkeit
1.2 Risikoverteilung
1.3 Motivation der Täter
1.4 Innentäter vs. Außentäter
1.5 Bestätigung durch die Statistik?
1.6 Computerkriminalität

2 Ablauf von Angriffen
2.1 Typischer Angriffsverlauf
2.2 Beispiel eines Angriffs

3 Incident Response als Grundlage der Computer-Forensik
3.1 Der Incident-Response-Prozess
3.2 Organisatorische Vorbereitungen
3.3 Zusammensetzung des Response-Teams
3.4 Incident Detection: Systemanomalien entdecken
3.5 Incident Detection: Ein Vorfall wird gemeldet
3.6 Sicherheitsvorfall oder Betriebsstörung?
3.7 Wahl der Response-Strategie
3.8 Reporting und Manöverkritik

4 Einführung in die Computer-Forensik
4.1 Ziele einer Ermittlung
4.2 Phasen der Ermittlung
4.3 Welche Erkenntnisse kann man gewinnen?
4.4 Wie geht man korrekt mit Beweismitteln um?
4.5 Flüchtige Daten sichern: Sofort speichern
4.6 Speichermedien sichern: forensische Duplikation
4.7 Untersuchungsergebnisse zusammenführen .
4.8 Häufige Fehler

5 Einführung in die Post-mortem-Analyse
5.1 Analyse des File Slack
5.2 MAC-Time-Analysen
5.3 NTFS-Streams
5.4 Auslagerungsdateien
5.5 Versteckte Dateien
5.6 Dateien oder Fragmente wiederherstellen
5.7 Unbekannte Binär-Dateien analysieren
5.8 Systemprotokolle

6 Forensik- und Incident-Response-Toolkits im Überblick
6.1 Sichere Untersuchungsumgebung
6.2 F.I.R.E
6.3 Knoppix Security Tools Distribution
6.4 EnCase
6.5 dd
6.6 Forensic Acquisition Utilities
6.7 AccessData’s Forensic Tool Kit
6.8 The Coroner's Toolkit und TCTUtils
6.9 The Sleuth Kit
6.10 Autopsy Forensic Browser .
6.11 Eigene Toolkits für Unix und Windows erstellen

7 Forensische Analyse im Detail
7.1 Forensische Analyse unter Unix
7.2 Forensische Analyse unter Windows
7.3 Forensische Analyse von PDAs
7.4 Forensische Analyse von Routern

8 Empfehlungen für den Schadensfall
8.1 Logbuch
8.2 Den Einbruch erkennen
8.3 Tätigkeiten nach festgestelltem Einbruch .
8.4 Nächste Schritte

9 Backtracing
9.1 IP-Adressen überprüfen
9.2 Spoof Detection
9.3 Routen validieren
9.4 Nslookup
9.5 Whois
9.6 E-Mail-Header

10 Einbeziehung der Behörden
10.1 Organisatorische Vorarbeit
10.2 Strafrechtliches Vorgehen
10.3 Zivilrechtliches Vorgehen
10.4 Darstellung in der Öffentlichkeit
10.5 Die Beweissituation bei der privaten Ermittlung
10.6 Fazit

Anhang Tool-Überblick


Produktbeschreibungen

Computer-Forensik ist das Bindeglied zwischen der Incident Response, der Bewältigung der Folgen und Schäden eines Vorfalls oder Angriffs, und einer erfolgreichen Strafverfolgung/eines Schadensersatzes: wie waren/sind die technischen Vorgänge, welche Form von Straftat liegt vor, warum konnte es passieren -- Aufklärung, Feststellung und zukünftige Prävention. Mit Computer-Forensik Systemeinbrüche erkennen, ermitteln, aufklären definiert und fokussiert Geschonneck die Ziele und die Arbeit eines IT-Forensikers verständlich mit Hintergrund, Praxisanwendung und Beispielen.
Laut Geschonneck lautet das Mantra eines Forensikers: "Planen -- Beweise sichern -- Beweise schützen -- Untersuchen -- Bewerten -- Dokumentieren." Wichtig ist dabei ein ganzheitliches Sicherheitsverständnis schon in der Planung, denn während etwa die Incident Response eine möglichst schnelle Wiederherstellung arbeitsfähiger Systeme anstrebt, benötigt die Forensik Zeit, Spuren zu sichern.

Das Feld der IT-Sicherheit ist weit und man kann sich ihm aus der Perspektive eines technischen und sozialen Hintergrunds, wie etwa Bruce Schneier in seinem Klassiker Secrets & Lies IT-Sicherheit in einer vernetzten Welt oder speziell auf der technisch, konkreten Ebene wie etwa Jörg Fritsch und Steffen Gundel mit Firewalls im Unternehmenseinsatz Grundlagen, Betrieb und Produkte annähern.

Geschonneck wendet sich an Administratoren, Sicherheits- und Systemverantwortliche bis hin zu Strafverfolgern und Ermittlern -- dass betrifft sowohl Unternehmen, aber auch Privatpersonen, die mit der Problematik von Systemeinbrüchen oder Datenspionage/- klau konfrontiert werden. Als Grundlage sollte der Leser über gute Kenntnisse zu Firewalls, Intrusion-Detection-Systeme und Verschlüsselung verfügen.

Computer-Forensik Systemeinbrüche erkennen, ermitteln, aufklären ist das deutsche Standardwerk mit der deutsche Sicht der Gesetzgebung und Rahmenbedingungen zum Wer, Was, Wo, Wann, Womit, Wie und Weshalb. Fundierte Übersicht über mögliche Techniken, Täter und Vorgehensweisen. Theorie, Praxis, Beispiele und Einsicht. Unverzichtbar für den deutschsprachigen Ersteinstieg ins Thema! --Wolfgang Treß

IT-Administrator - Ausgabe Dezember 2004
"Alexander Geschonnek, ..., liefert in seinem Buch "Computer-Forensik" einen praktisch nutzbaren Leitfaden, was bei Systemeinbrüchen zu tun ist. ... Selbst wenn man nicht vorhat, auf Kriminellenjagd zu gehen, liefert das Buch interessante Einblicke in das Gebiet der Computerforensik. Der praktische Teil liefert genug Informationen, um als Anreiz für die Vertiefung zu dienen." -- Dieser Text bezieht sich auf eine vergriffene oder nicht verfügbare Ausgabe dieses Titels.

wirtschaftsinformatik.de, 09.12.2005
"Das Buch ist leicht lesbar, enthält die entsprechende Information in ausreichender Tiefe und führt sachgerecht in die Problematik ein. ... Insgesamt ein nicht wegzudenkendes Werk zur verantwortungsvollen Netzwerkadministration und einem eben solchen Sicherheitsmanagement." -- Dieser Text bezieht sich auf eine vergriffene oder nicht verfügbare Ausgabe dieses Titels.

Kurzbeschreibung
Unternehmen, Organisationen und Behörden schützen ihre IT-Systeme heutzutage mit umfangreichen Sicherheitsmaßnahmen. Trotzdem geschieht es immer wieder, dass Hacker erfolgreich einbrechen und Schaden anrichten.

Nach einem solchen Sicherheitsvorfall will man erfahren, welche Systemlücken zum Einbruch führten, welchen Weg der Angreifer nahm und wie folgenreich der Einbruch eigentlich war. Oft ist man auch daran interessiert, wer der Übeltäter ist und wie man ihn zur Verantwortung ziehen kann. Um dies zu ermitteln, bedient man sich der Computer-Forensik.

Dieses Buch gibt einen Überblick darüber, wie man bei der computerforensischen Arbeit vorgeht - sowohl im "Fall der Fälle" als auch bei den Vorbereitungen auf mögliche Angriffe. Ausführlich und anhand zahlreicher Beispiele wird gezeigt, welche Werkzeuge und Methoden zur Verfügung stehen und wie man sie effizient einsetzt. Der Leser lernt dadurch praxisnah:

- wo man nach Beweisspuren suchen sollte - wie man sie erkennen kann - wie sie zu bewerten sind - wie sie gerichtsverwertbar gesichert werden sollten

Ein gesondertes Kapitel befasst sich mit der Rolle des privaten Ermittlers, beschreibt die Zusammenarbeit mit den Ermittlungsbehörden und erläutert die Möglichkeiten der zivil- und strafrechtlichen Verfolgung in Deutschland.

Für die 2. Auflage wurden Werkzeugbeschreibungen, Statistiken sowie Hinweise zu den rechtlichen Rahmenbedingungen aktualisiert. Zusätzlich wurden neue Werkzeuge aufgenommen.

Klappentext
Fast jede Organisation wurde bereits mit den Folgen eines Systemeinbruchs konfrontiert, und auch Privatpersonen, die ihren PC mit dem Internet verbinden, können jederzeit Opfer eines Angriffs werden. Die wenigsten sind aber darauf vorbereitet.

Will man Sicherheitsprobleme lösen oder ermitteln, ob noch andere Systeme der eigenen Umgebung Ziel eines Angriffs geworden sind, ist es sinnvoll, forensische Untersuchungen durchzuführen.

Der Begriff Computer-Forensik oder auch Digitale Forensik hat sich in den letzten Jahren für den Nachweis und die Ermittlung von Straftaten aus dem Bereich der Computerkriminalität durchgesetzt. In Anlehnung an die allgemeine Erklärung des lateinischen Wortes Forensik (forensisch: gerichtlich oder auch kriminaltechnisch) ist die Digitale Forensik ein Teilgebiet, das sich mit dem Nachweis und der Aufklärung von strafbaren Handlungen z.B. durch Analyse von digitalen Spuren beschäftigt. Hierbei geht es u.a. darum herauszufinden, wie erfolgreich ein Angreifer wirklich war, welchen Weg er genommen hat und welche Systemlücken zu diesem Einbruch bzw. der Straftat geführt haben könnten.

Dieses Buch soll nicht nur dem technisch versierten Administrator einen ersten Überblick geben, welche Maßnahmen sinnvoll sind und welche Werkzeuge und Methoden zur Verfügung stehen. Der Leser wird einiges über die Grundlagen und Hintergründe bei der Erkennung und Analyse von Systemeinbrüchen lernen. Weiterhin erfährt man in diesem Buch Wissenswertes über die Zusammenarbeit mit den Ermittlungsbehörden. Dieses Buch zeigt,

- wo man nach Beweisspuren suchen sollte, - wie man sie erkennen kann, - wie sie zu bewerten sind und - wie sie gerichtsverwertbar gesichert werden sollten.

Ein gesondertes Kapitel befasst sich praxisnah mit der Stellung des privaten Ermittlers im Verlauf der Ermittlung eines Systemeinbruchs und erläutert die Möglichkeiten der zivil- und strafrechtlichen Verfolgung der Tatverdächtigen durch die geschädigte Organisation. -- Dieser Text bezieht sich auf eine vergriffene oder nicht verfügbare Ausgabe dieses Titels.

Über den Autor
Alexander Geschonneck ist leitender Sicherheitsberater bei der HiSolutions AG in Berlin. Seit 1993 ist er branchenübergreifend im strategischen und operativen IT-Sicherheitsumfeld tätig. Alexander Geschonneck ist Mitautor des IT-Grundschutzhandbuches des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sowie Autor zahlreicher Publikationen zur Informationssicherheit und Computer-Forensik. Seine Arbeitsgebiete sind u.a. Beratung im Umfeld der Informationssicherheit, Aufbau und Coaching von IT-Sicherheitsmanagementteams, Risiko- und Sicherheitsanalysen, Notfallplanung, Penetrationstests sowie Sicherheitsvorfallsbehandlung.

Über das Produkt
Unternehmen, Organisationen und Behörden schützen ihre IT-Systeme heutzutage mit umfangreichen Sicherheitsmaßnahmen. Trotzdem geschieht es immer wieder, dass Hacker erfolgreich einbrechen und Schaden anrichten.
Nach einem solchen Sicherheitsvorfall will man erfahren, welche Systemlücken zum Einbruch führten, welchen Weg der Angreifer nahm und wie folgenreich der Einbruch eigentlich war. Oft ist man auch daran interessiert, wer der Übeltäter ist und wie man ihn zur Verantwirtung ziehen kann. Um dies zu ermitteln, bedient man sich der Computer-Forensik.
Dieses Buch gibt einen Überblick darüber, wie man bei der computerforensischen Arbeit vorgeht - sowohl im 'Fall der Fälle' als auch bei den Vorbereitungen auf mögliche Angriffe. Ausführlich und anhand zahlreicher Beispiele wird gezeigt, welche Werkzeuge zur Verfügung stehen und wie man sie effizient einsetzt.