IT-Forensik
Unter IT-Forensik oder auch Computerforensik (digitale Forensik) versteht man die Analyse und Bewertung kritischer Daten nach forensischen Grundsätzen. Somit wird unter dem Begriff „Forensik“ alles zusammengefasst, was einen gerichtlichen oder kriminologischen Hintergrund hat.
Aufgaben der IT-Forensik sind die Sicherstellung, Analyse, gerichtsbewertbare Aufbereitung und abschließender Dokumentation von Beweismitteln in den Bereichen der Computerkriminalität.
- Ziele dieser forensischen Auswertungen sind u.A.
- die Aufdeckung krimineller Handlungen
- Beschuldigte zu Be- oder Entlasten
- Täter krimineller Handlungen zu identifizieren
- Wege krimineller Handlungen zu finden
- die Ergebnisse in Form eines Gutachtens neutral, überprüfbar, nachvollziehbar und gerichtsverwertbar darzulegen und zu präsentieren.
Hierbei ist es zwingend notwendig, die gesicherten Daten keinesfalls zu verändern, damit eine Unterbrechung der Beweiskette vermieden wird und die Gerichtsverwertbarkeit gegeben ist.
Diese Sicherheit wird durch spezielle Hardware (z.B. sogenannte Writeblocker) und forensische Software (z.B. X-Ways Forensics, Helix , EnCase Forensic und EnCase portable) gewährleistet.
Einsatzgebiete der IT-Forensik sind z.B.:
Angriffe durch Hacker, private Ermittlungen, Angriffe durch Viren oder Trojaner, Strafverfolgungen, Computerkriminalität, Straftaten gegen die öffentliche Ordnung, Straftaten gegen die sexuelle Selbstbestimmung, Jugendschutzgesetz, Steuerhinterziehung, Verrat von Betriebsgeheimnissen, Verstöße gegen das Datenschutzgesetz, Betrug mit dem Computer als Werkzeug, Missbrauch von Unternehmenseigentum, Software-Piraterie
Mobile IT-Forensik, Auswertung von Mobiltelefonen, Tablet-PCs
In den letzten Jahren ist die Zahl der mobilen Endgeräte als Datenträger stark angestiegen. Nicht zuletzt durch die Anbindung des Internets an moderne Handys führt dazu, dass auch diese Geräte zum Medium zweifelhafter oder rechtswidriger Handlungen werden. Die Statistik der Straftaten mithilfe dieser mobilen Medien zeigt, dass auch hier großer Handlungsbedarf für uns IT-Forensiker besteht.
Nun gestaltet sich die Analyse solcher so genannten Smartphones aber durchaus problematischer, als es etwa eine forensische Auswertung einer Festplatte darstellt. Entgegen dem Trend der heutigen PCs gibt es hierbei kaum einheitliche Betriebssysteme der Mobiltelefone. Jeder Hersteller hat hierbei Handlungsfreiheit, wie sein System aufgebaut wird. Lediglich der Bereich der Smartphones bietet einen Quasi-Standard, aber auch der unterteilt sich auf die Betriebssysteme/Programmiersprachen „iOS, Android oder Symbian“ und deren „Dialekte“.
Die besonderen Herausforderungen für den Sachverständigen und Ermittler im Bereich der mobilen Forensik sind hier vielfältig.
Eine große Anzahl verschiedener Hersteller, die Vielzahl an Betriebssystemen auf mobilen Plattformen, unterschiedliche, herstellerspezifische Dateisysteme und proprietäre Schnittstellen erschweren die Analysearbeiten ungemein. Ein mobiler Speicher unterscheidet sich schon in der Art des Aufbaus von herkömmlichen Speichermedien gängiger PCs. Die meist auf Flash-Technik aufgebauten Speicher müssen besonders ausgewertet werden. Da jeder Hersteller seine eigenen Schnittstellen entwickelt müssen zur Datenextraktion sämtliche am Markt verfügbaren Verbindungskabel beachtet werden. Auch die Kurzlebigkeit von Handys modernerer Bauart erfordert ein hohes Maß an Flexibilität des Forensikers.
Abhilfe schaffen hier nur die marktführenden Hard- und Softwarelösungen, welche für die gängigsten Gerätetypen individuelle Auswertungslösungen anbieten.
Ich hatte mich entschlossen, auf einen der Marktführer auf diesem Segment zu setzen. So laufen Analysen und Reports überwiegend mit dem Hard-/Software-Tool „UFED 4PC“ des Herstellers Cellebrite. Hiermit können zurzeit mehr als 4000 Geräte einer logischen– und ca. 2100 Geräte einer physikalischen Analyse unterzogen werden. Somit steigt die Chance einer Auswertbarkeit der Asservate enorm an.
In den Bereich der Mobilen IT-Forensik fallen:
- Sicherung und Identifikation der Beweismittel
Welche Asservate liegen vor, genaue Hersteller und Typenbezeichnungen - Systemanalyse
Identifikation der im Endgerät eingesetzten und verwendeten Hard- und Software - Analyse des Aufwandes
lohnt sich der Aufwand hinsichtlich Kosten und Nutzen der Ermittlung - Datensicherung, Datenanalyse Verifikation und Reporting
Erstellung eines umfangreichen Reports oder Gutachtens (Privatgutachten oder Gerichtsgutachten) - Data Recovery
Datenrettung und Wiederherstellung gelöschter Daten - Data Security
Sicherheitskonzepte für mobile Endgeräte
Bei allen technischen Möglichkeiten muss allerdings bedacht werden, dass nicht jedes Gerät im gleichen Umfang IT-Forensisch ausgewertet werden kann. Jedoch werden die Tools in diesem Bereich immer umfangreicher und besser…