Digitale (Computer-) Forensik

Der Fachbereich “Digitale Forensik” (forensisch=kriminaltechnisch bzw. gerichtlich) beschäftigt sich mit der Spurensuche und Dokumentation von Beweisen im Falle eines kriminellen IT-Delikts wie z.B. Einbruch in Computersysteme mit Diebstahl von Daten oder zerstörerischen Folgen, Installation von kostenintensiven Dialern, Missbrauch der Internetverbindung, illegales Kopieren urheberrechtlich geschützter Daten etc.

Tritt der “Worst Case” ein, erfolgt die Beweisführung methodisch, exakt und detailliert und wird anschließend für den ”Otto-Normal-Verbraucher” in eine verständliche Sprache “übersetzt”. Denn auch die Gerichtsbarkeit hat i.d.R. nicht das erforderliche Fachwissen, um den komplexen IT-Vorgängen folgen zu können. Auch ist die Exekutive oft nicht in der Lage die Beweisführung korrekt abzuschliessen.

Auch das Gebiet der Datenrettung in scheinbar hoffnungslosen Fällen (z.B. formatierte Datenträger, korrupte Dateisysteme oder gelöschte Daten ) gehört zur digitalen Forensik.

Problematik: Oft begeht der private Computer-User oder Administrator eines Firmennetzwerks den Fehler, das System sofort, nach Endeckung eines Hackereinbruchs oder Installation von Einwahlsoftware (Dialer) o.ä., reparieren zu wollen. Die digitalen Spuren werden dabei so verwischt, dass eine gerichtsverwertbare Beweisführung u. U. nicht mehr erfolgen kann. Z.B. werden Zeit und Datum des letzten Zugriffs bestimmter (System)Daten verändert.

Die erste Maßnahme sollte deshalb aus der Trennung von jeglichen Netzwerkverbindungen (auch wireless) bestehen. Bevor nun mit der System-Reparatur begonnen wird, müssen unbedingt Kopien aller Daten (auch Meta-Daten) angefertigt werden, ohne diese dabei zu verändern. Die Ereignisse sind jetzt genauestens zu protokollieren. Spätestens zu diesem Zeitpunkt beginnt unser Aufgabenbereich wie nachstehend beschrieben.



Unsere Lösung:

Bauser-Enterprises IT hilft Ihnen im Schadensfalle bei der Aufklärung und Auffindung von Indizien bzw. gerichtsverwertbaren Beweisen sowie der anschliessenden Dokumentation. Zur Durchsetzung Ihrer Interessen empfehlen wir Ihnen einen auf IT-Kriminalität spezialisierten Rechtsanwalt. Nachstehend ein kleiner Ausschnitt unserer Möglichkeiten:
  • Klonen von ganzen Datenträgern oder Partitionen (in DOS, FAT, NTFS, Ext2/3, ReiserFS, CDFS, UDF) bzw. Erstellung eines kompletten computerforensischen Fingerprints mit Zeitstempel zum Zeitpunkt des “Vorfalls”. Anschliessend kann das System repariert und damit weitergearbeitet werden. Die Analyse - oft in “Kleinstarbeit” - erfolgt indessen mit dem Replik (siehe folgend)
  • verschiedene Datenrettungs-Techniken, selbst von endgültig gelöschten Daten, auch von zuvor formatierten Festplatten
  • Analyse von Datenträgern bis auf die physikalische Ebene
  • Sicherung von Netzwerkprotokollen
  • Auslesen/Extraktion von Slack Space (Schlupfspeicher), freiem Laufwerksspeicher, Text auf Datenträgern und Imagedateien, Partitionslückenspeicher
  • Hash-Berechnungen für Datenträger und Dateien (CRC32, MD5, SHA-1, SHA-256....)
  • Abgleich von Dateien mit Hash-Datenbanken (NSRL RDS 2.x, HashKeeper und ILook)
  • Erkennung von ADS (Alternative Datenströme) unter NTFS
  • Erkennung von ATA bzw. HPA (Host Protected Areas) und Aufhebung eines ATA-Passwortschutzes
  • Komplette Verzeichnisstruktur-Untersuchung von Imagedateien, selbst wenn diese auf mehrere Imagesegmente verteilt sind
  • Trace-Route-Verfolgung: Über welche Server kam der Angreifer ? Welchen Provider nutzte er ? Herausfiltern der kompletten Internetspur.
  • Aufspüren und Loggen (Beweisführung) von Wireless LAN-Hacks. Evtl. mit sofortigem Hinzuziehen der Polizei, um den von uns lokalisierten Täter auf frischer Tat zu ertappen (z.B. der Nachbar oder der Unbekannte im Auto in der Nähe....)
  • Hautfarbenerkennung (Stichwort Kinderpornographie, Bilder auf Datenträgern) in allen gängigen Bildformaten (auch bei scheinbar endgültiger Löschung möglich)
  • Auslesen von “Histories” (z.B. zum Internetexplorer): Wir finden besuchte Internetseiten, eingegebene Formulardaten (z.B. Abfragen bei Suchmaschinen), Daten-Download, verwendete Programme etc., auch nach scheinbar endgültiger Löschung
  • verschiedene Techniken zum “Knacken” von passwortgeschützten Daten, Dateien oder ganzen Systemen (auch ATA/HPA, siehe oben)
  • Erkennung von Unstimmigkeiten bzgl. des Dateinamens bzw. des Dateityps (Tarnung von ausführenden Dateien wie z.B. .exe in Bildern wie .jpeg)
  • Erkennung von Application Hijacks: Ein unbekanntes Programm benützt ein bekanntes, vertrauenswürdiges Programm, um sich zu verwirklichen
  • Erkennung von versteckten Applikationen (z.B. Trojaner oder Logsoftware), die bei einer normaler Systemuntersuchung unentdeckt bleiben
  • Prüfung bei Verdachtsmomenten + evtl. Beweisführung (z.B. vermuten Sie einen Angreifer, der über das Internet oder Wireless LAN eindringt, können es aber nicht beweisen)
  • Aufstellen digitaler Fallen und Köder zur Überführung: Wir erstellen eine “Spielwiese” für den Hacker, um diesen live beobachten und seine Arbeits-Schritte speichern zu können. Ihre Daten bleiben hierbei unangetastet, da die Maskierung in einem isolierten Quarantäne-Verzeichnis (Honey-Pot) erfolgt
  • Auffinden versteckter Daten (z.B. in virtuellen Laufwerken), auch sog. heimlichen Container, meist auch, wenn diese nach der Methode “Plausible Deniability” arbeiten
  • und vieles mehr...
Um es erst überhaupt nicht so weit kommen zu lassen, einen Computer-Forensiker bemühen zu müssen, empfehlen wir Ihnen die Erstellung und Umsetzung eines Sicherheitskonzepts (siehe IT-Risk-Management). Privatuser mit Internetverbindung oder WLAN sollten unbedingt entsprechende Sofort-Maßnahmen zur Sicherheit einleiten. oder Sie lassen Ihr(e) System(e) von uns zuverlässig sichern.
Darüber hinaus bieten wir in diesem Zusammenhang:
  • Forensisch sicheres Löschen von Datenträgern, um “Sterilität” bei weiterer Benutzung zu garantieren (z.B. bei Verkauf eines gebrauchten Computer oder dauerhaftes Löschen sensibler Daten). Selbst aus einer physisch verbrannten oder mit einem Wasserschaden versehenen Festplatte kann man in den meisten Fällen noch Daten auslesen, auch wenn diese zuvor formatiert wurde. Für die Zusendung eines Datenträgers verwenden Sie bitte dieses Formular.
  • Datenrettung - Für die Zusendung eines Datenträgers verwenden Sie bitte dieses Formular.
  • Sicherung von Urheberrecht bei Veröffentlichung von Daten oder Grafiken auf Webservern (z.B. Homepage) mittels sichtbarer oder versteckter unsichtbarer Wasserzeichen mit registrierter Identifikations-Nummer
  • Suchen und Finden kopiergeschützter Grafiken oder Texten im “Netz” mittels spezieller Filtersoftware
  • Digitale Fingerprints von Dateien/Daten mit Zeitstempel zur Feststellung des Dateialters bei späteren Urheberrechtsverletzungen Ihrer digitalen Werke. Auf Wunsch mit Hinterlegung eines Datenträgers bei einem Notar oder Anwalt.