Definition

Computerforensik (IT-Forensik)

Computerforensik ist die Anwendung von Untersuchungs- und Analysetechniken, um Beweise von einem bestimmten Computergerät so zu sammeln und zu sichern, dass sie vor Gericht vorgelegt werden können. Ziel der Computerforensik ist es, eine strukturierte Untersuchung durchzuführen und eine dokumentierte Beweiskette zu führen, um herauszufinden, was genau auf einem Computergerät passiert ist und wer dafür verantwortlich war.

Computerforensik ist im Wesentlichen eine Datenwiederherstellung unter Einhaltung der gesetzlichen Richtlinien, damit die Informationen in Gerichtsverfahren zulässig sind. Die Begriffe digitale Forensik, IT-Forensik und Cyberforensik werden oft als Synonyme für Computerforensik verwendet.

Die digitale Forensik beginnt mit der Sammlung von Informationen in einer Weise, die deren Integrität wahrt. Die Ermittler analysieren dann die Daten oder das System, um festzustellen, ob sie verändert wurden, wie sie verändert wurden und wer die Änderungen vorgenommen hat. Der Einsatz der Computerforensik ist nicht immer mit einem Verbrechen verbunden. Der forensische Prozess wird auch im Rahmen von Datenwiederherstellungsprozessen eingesetzt, um Daten von einem abgestürzten Server, einem ausgefallenen Laufwerk, einem neu formatierten Betriebssystem oder einer anderen Situation zu sammeln, in der ein System unerwartet nicht mehr funktioniert.

Warum ist die Computerforensik so wichtig?

In der Zivil- und Strafjustiz trägt die Computerforensik dazu bei, die Integrität digitaler Beweise zu gewährleisten, die in Gerichtsverfahren vorgelegt werden. Da Computer und andere datenerfassende Geräte immer häufiger in allen Bereichen des Lebens eingesetzt werden, sind digitale Beweise - und die forensischen Verfahren zu ihrer Erfassung, Aufbewahrung und Untersuchung - bei der Aufklärung von Verbrechen und anderen Rechtsfragen immer wichtiger geworden.

Der Durchschnittsbürger bekommt viele der von modernen Geräten gesammelten Informationen nie zu Gesicht. So sammeln die Computer in Autos beispielsweise ständig Informationen darüber, wann ein Fahrer bremst, schaltet oder die Geschwindigkeit ändert, ohne dass der Fahrer es merkt. Diese Informationen können sich jedoch als entscheidend für die Lösung einer Rechtsangelegenheit oder eines Verbrechens erweisen, und die Computerforensik spielt oft eine Rolle bei der Identifizierung und Sicherung dieser Informationen.

Digitale Beweise sind nicht nur bei der Aufklärung von Verbrechen in der digitalen Welt nützlich, zum Beispiel bei Datendiebstahl, Netzwerkverletzungen und illegalen Online-Transaktionen. Sie werden auch verwendet, um Verbrechen in der physischen Welt aufzuklären, wie beispielsweise Einbrüche, Überfälle, Unfälle mit Fahrerflucht und Mord.

Unternehmen verwenden oft eine mehrschichtige Strategie für Datenmanagement, Data Governance und Netzwerksicherheit, um kritische Informationen zu schützen. Gut verwaltete und sichere Daten können dazu beitragen, den forensischen Prozess zu rationalisieren, sollten diese Daten jemals Gegenstand einer Untersuchung sein.

Abbildung 1: Diese sechs Schritte sollte jede Firma unternehmen, um einen robusten Schutz für digitale Werte zu schaffen.
Abbildung 1: Diese sechs Schritte sollte jede Firma unternehmen, um einen robusten Schutz für digitale Werte zu schaffen.

Unternehmen nutzen die Computerforensik auch, um Informationen im Zusammenhang mit einer System- oder Netzwerkkompromittierung aufzuspüren, die zur Identifizierung und Verfolgung von Cyberangreifern verwendet werden können. Unternehmen können auch auf Experten und Verfahren der digitalen Forensik zurückgreifen, um im Falle eines System- oder Netzwerkausfalls, der durch eine Natur- oder andere Katastrophe verursacht wurde, Daten wiederherzustellen.

In dem Maße, in dem die Welt für die Kernfunktionen des Lebens immer stärker auf die Digitaltechnik angewiesen ist, nimmt auch die Cyberkriminalität zu. Daher haben Computerforensiker nicht länger ein Monopol auf diesem Gebiet. Auch Kriminalbehörden nutzen computerforensische Techniken, um mit der zunehmenden Internetkriminalität Schritt zu halten.

Arten der Computerforensik

Es gibt verschiedene Arten von computerforensischen Untersuchungen. Jede befasst sich mit einem bestimmten Aspekt der Informationstechnologie. Einige der wichtigsten Arten sind die folgenden:

  • Datenbank-Forensik. Die Untersuchung der in Datenbanken enthaltenen Informationen, sowohl der Daten als auch der zugehörigen Metadaten.
  • E-Mail-Forensik. Die Wiederherstellung und Analyse von E-Mails und anderen in E-Mail-Plattformen enthaltenen Informationen wie Terminkalender und Kontakte.
  • Malware-Forensik. Durchsuchen von Code, um mögliche Schadprogramme zu identifizieren und ihre Nutzlast zu analysieren. Solche Programme können Trojanische Pferde, Ransomware oder verschiedene Viren sein.
  • Memory-Forensik. Sammeln von Informationen, die im Arbeitsspeicher (RAM) und Cache eines Computers gespeichert sind.
  • Mobile Forensik. Die Untersuchung mobiler Geräte, um die darin enthaltenen Informationen wie Kontakte, eingehende und ausgehende Textnachrichten, Bilder und Videodateien abzurufen und zu analysieren.
  • Netzwerk-Forensik. Die Suche nach Beweisen durch die Überwachung des Netzwerkverkehrs mit Hilfe von Tools wie einer Firewall oder einem Intrusion Detection System.
Abbildung 2: Es gibt ein breites Spektrum an Malware-Typen, denen sich Unternehmen gegenüber sehen.
Abbildung 2: Es gibt ein breites Spektrum an Malware-Typen, denen sich Unternehmen gegenüber sehen.

Wie funktioniert die Computerforensik?

Forensische Ermittler folgen in der Regel Standardverfahren, die je nach Kontext der forensischen Untersuchung, dem untersuchten Gerät oder den gesuchten Informationen variieren. Im Allgemeinen umfassen diese Verfahren die folgenden drei Schritte:

  1. Elektronisch gespeicherte Informationen müssen so erfasst werden, dass ihre Integrität gewahrt bleibt. Dazu muss das zu untersuchende Gerät oft physisch isoliert werden, um sicherzustellen, dass es nicht versehentlich kontaminiert oder manipuliert werden kann. Die Prüfer erstellen eine digitale Kopie der Speichermedien des Geräts, die auch als forensisches Abbild bezeichnet wird, und schließen das Originalgerät in einem Tresor oder einer anderen sicheren Einrichtung ein, um seinen einwandfreien Zustand zu erhalten. Die Untersuchung wird anhand der digitalen Kopie durchgeführt. In anderen Fällen können öffentlich zugängliche Informationen für forensische Zwecke verwendet werden, um Beispiel Facebook-Posts oder öffentliche Venmo-Buchungen für den Kauf illegaler Produkte oder Dienstleistungen, die auf der Vicemo-Website angezeigt werden.
  2. Ermittler analysieren digitale Kopien von Speichermedien in einer sterilen Umgebung, um die Informationen für einen Fall zu sammeln. Zur Unterstützung dieses Prozesses werden verschiedene Tools eingesetzt, darunter Autopsy von Basis Technology für Festplattenuntersuchungen und der Netzwerkprotokollanalysator Wireshark. Ein Mouse Juggler ist bei der Untersuchung eines Computers nützlich, um zu verhindern, dass dieser einschläft und flüchtige Speicherdaten verloren gehen, wenn der Computer in den Ruhezustand übergeht oder die Stromversorgung unterbrochen wird.
  3. Präsentation. Die forensischen Ermittler präsentieren ihre Ergebnisse in einem Gerichtsverfahren, in dem ein Richter oder eine Jury anhand dieser Ergebnisse über den Ausgang eines Rechtsstreits entscheidet. Bei einer Datenwiederherstellung präsentieren die forensischen Ermittler, was sie von einem kompromittierten System wiederherstellen konnten.

Oft werden bei forensischen Untersuchungen mehrere Tools eingesetzt, um die Ergebnisse zu validieren, die sie liefern. So gibt es beispielsweise ein Open-Source-Forensik-Tool, das aus der Ferne Beweise für Malware sammelt, ohne die Systemintegrität zu gefährden.

Von forensischen Ermittlern verwendete Techniken

Ermittler setzen eine Vielzahl von Techniken und proprietären forensischen Anwendungen ein, um die Kopie zu untersuchen, die sie von einem kompromittierten Gerät erstellt haben. Sie suchen in versteckten Ordnern und nicht zugewiesenem Speicherplatz nach Kopien von gelöschten, verschlüsselten oder beschädigten Dateien. Alle Beweise, die auf der digitalen Kopie gefunden werden, werden sorgfältig in einem Befundbericht dokumentiert und mit dem Originalgerät abgeglichen, um sich auf Gerichtsverfahren vorzubereiten, die eine Offenlegung, Zeugenaussagen oder einen tatsächlichen Rechtsstreit umfassen.

Bei computerforensischen Untersuchungen wird eine Kombination von Techniken und Expertenwissen eingesetzt. Zu den gängigen Techniken gehören folgende

  • Umgekehrte Steganografie. Steganografie ist eine gängige Taktik, um Daten in jeder Art von digitaler Datei, Nachricht oder Datenstrom zu verstecken. Computerforensiker machen einen Steganografieversuch rückgängig, indem sie das Daten-Hashing analysieren, das die betreffende Datei enthält. Wenn ein Cyberkrimineller wichtige Informationen in einem Bild oder einer anderen digitalen Datei versteckt, kann es für das ungeschulte Auge vorher und nachher gleich aussehen, aber der zugrundeliegende Hash oder die Datenkette, die das Bild darstellt, ändert sich.
  • Stochastische Forensik. Hier analysieren und rekonstruieren die Ermittler die digitale Aktivität ohne die Verwendung digitaler Artefakte. Artefakte sind unbeabsichtigte Veränderungen von Daten, die durch digitale Prozesse entstehen. Zu den Artefakten gehören Hinweise auf ein digitales Verbrechen, zum Beispiel Änderungen von Dateiattributen bei Datendiebstahl. Stochastische Forensik wird häufig bei Ermittlungen zu Datenschutzverletzungen eingesetzt, bei denen der Angreifer vermutlich ein Insider ist, der möglicherweise keine digitalen Artefakte hinterlässt.
  • Laufwerkübergreifende Analyse. Diese Technik korreliert und vergleicht Informationen, die auf mehreren Computerlaufwerken gefunden wurden, um für eine Untersuchung relevante Informationen zu suchen, zu analysieren und aufzubewahren. Ereignisse, die Verdacht erregen, werden mit Informationen auf anderen Laufwerken verglichen, um nach Ähnlichkeiten zu suchen und einen Zusammenhang herzustellen. Dies wird auch als Anomalieerkennung
  • Live-Analyse. Bei dieser Technik wird ein Computer vom Betriebssystem aus analysiert, während der Computer oder das Gerät läuft, wobei System-Tools auf dem Computer verwendet werden. Bei der Analyse werden flüchtige Daten untersucht, die oft im Cache oder RAM gespeichert sind. Viele Tools zur Extraktion flüchtiger Daten setzen voraus, dass sich der Computer in einem forensischen Labor befindet, um die Legitimität der Beweiskette zu gewährleisten.
  • Wiederherstellung gelöschter Dateien. Bei dieser Technik werden das Computersystem und der Speicher nach Dateifragmenten durchsucht, die teilweise an einer Stelle gelöscht wurden, aber an anderer Stelle auf dem Computer Spuren hinterlassen haben. Dies wird manchmal auch als File Carving oder Data Carving bezeichnet.

Wie wird die Computerforensik als Beweismittel eingesetzt?

Computerforensik wird seit den 1980er Jahren von Strafverfolgungsbehörden und im Straf- und Zivilrecht als Beweismittel eingesetzt. Einige bemerkenswerte Fälle sind die folgenden:

  • Diebstahl von Geschäftsgeheimnissen von Apple. Ein Ingenieur namens Xiaolang Zhang von Apples Abteilung für autonome Autos kündigte seinen Ruhestand an und sagte, er werde zurück nach China ziehen, um sich um seine ältere Mutter zu kümmern. Er teilte seinem Vorgesetzten mit, dass er vorhabe, bei einem Hersteller von Elektroautos in China zu arbeiten, was den Verdacht auf sich zog. Laut einer eidesstattlichen Erklärung des Federal Bureau of Investigation (FBI) überprüfte das Sicherheitsteam von Apple Zhangs Aktivitäten im Unternehmensnetzwerk und stellte fest, dass er in den Tagen vor seiner Kündigung Geschäftsgeheimnisse aus vertraulichen Unternehmensdatenbanken heruntergeladen hatte, zu denen er Zugang hatte. Er wurde 2018 vom FBI angeklagt.
  • In einem der am häufigsten zitierten Bilanzbetrugsskandale gab Enron, ein US-amerikanisches Energie-, Rohstoff- und Dienstleistungsunternehmen, vor seinem Konkurs im Jahr 2001 Einnahmen in Milliardenhöhe falsch an, was vielen Mitarbeitern und anderen Personen, die in das Unternehmen investiert hatten, finanziellen Schaden zufügte. Forensische Computeranalysten untersuchten Terabytes von Daten, um das komplexe Betrugsschema zu verstehen. Der Skandal war ein wichtiger Faktor für die Verabschiedung des Sarbanes-Oxley Act von 2002, der neue Anforderungen an die Einhaltung der Rechnungslegungsvorschriften für öffentliche Unternehmen festlegte. Das Unternehmen meldete im Jahr 2001 Konkurs an.
  • Diebstahl von Geschäftsgeheimnissen bei Google. Anthony Scott Levandowski, eine ehemalige Führungskraft von Uber und Google, wurde 2019 in 33 Fällen des Diebstahls von Geschäftsgeheimnissen angeklagt. Von 2009 bis 2016 arbeitete Levandowski in Googles Programm für selbstfahrende Autos, wo er Tausende von Dateien im Zusammenhang mit dem Programm von einem passwortgeschützten Firmenserver herunterlud. Er verließ Google und gründete Otto, ein Unternehmen für selbstfahrende Lastwagen, das Uber 2016 kaufte, wie die New York Times berichtet. Levandowski bekannte sich in einem Fall des Diebstahls von Geschäftsgeheimnissen schuldig und wurde zu 18 Monaten Gefängnis und 851.499 Dollar Geldstrafe und Rückerstattung verurteilt. Levandowski wurde im Januar 2021 vom Präsidenten begnadigt.
  • Larry Thomas. Thomas erschoss Rito Llamas-Juarez im Jahr 2016. Thomas wurde später mit Hilfe von Hunderten von Facebook-Posts, die er unter dem falschen Namen Slaughtaboi Larro veröffentlichte, überführt. Einer der Posts enthielt ein Bild von ihm, auf dem er ein Armband trug, das am Tatort gefunden wurde.
  • Michael Jackson. Die Ermittler nutzten Metadaten und medizinische Dokumente aus dem iPhone von Michael Jacksons Arzt, aus denen hervorging, dass der Arzt, Conrad Murray, dem 2009 verstorbenen Jackson tödliche Mengen an Medikamenten verschrieb.
  • Mikayla Munn. Munn ertränkte 2016 ihr neugeborenes Baby in der Badewanne ihres Wohnheims an der Manchester University. Die Ermittler fanden auf ihrem Computer Google-Suchanfragen, die den Begriff "Abtreibung zu Hause" enthielten und die zur Verurteilung der Frau führten.

Mord ist nur eine der vielen Arten von Verbrechen, bei deren Bekämpfung die Computerforensik helfen kann. So wird beispielsweise forensische Finanzanalysesoftware zur Betrugsbekämpfung eingesetzt.

Karrieren und Zertifizierungen in der Computerforensik

Die Computerforensik hat sich zu einem eigenen wissenschaftlichen Fachgebiet entwickelt, das mit entsprechenden Kursen und Zertifizierungen einhergeht. Das durchschnittliche Jahresgehalt für einen forensischen Computeranalysten liegt laut Stelleaneigen.de beim Einstieg in die Branche bei 40.000 Euro. Laut Get-in-IT.de sind durchschnittliche Gehälter von 45.000 bis 78.000 Euro erreichbar. Einige Beispiele für Karrierewege in der Cyberforensik sind die folgenden:

  • Forensischer Ingenieur. Diese Fachleute befassen sich mit der Erfassungsphase des computerforensischen Prozesses, sammeln Daten und bereiten sie für die Analyse vor. Sie helfen dabei festzustellen, wie ein Gerät ausgefallen ist.
  • Forensischer Buchhalter. Diese Position befasst sich mit Verbrechen im Zusammenhang mit Geldwäsche und anderen Transaktionen, die zur Verschleierung illegaler Aktivitäten durchgeführt werden.
  • Cybersecurity-Analyst. Diese Position befasst sich mit der Analyse von gesammelten Daten und der Gewinnung von Erkenntnissen, die später zur Verbesserung der Cybersicherheitsstrategie eines Unternehmens verwendet werden können.

Ein Bachelor-Abschluss - und manchmal auch ein Master-Abschluss - in Informatik, Cybersicherheit oder einem verwandten Fachgebiet wird von Computerforensikern verlangt. Es gibt mehrere Zertifizierungen in diesem Bereich, darunter die folgenden:

  • CyberSecurity Institute's CyberSecurity Forensic Analyst. Diese Zertifizierung ist für Sicherheitsexperten mit mindestens zwei Jahren Erfahrung gedacht. Die Prüfungsszenarien basieren auf tatsächlichen Fällen.
  • International Association of Computer Investigative Specialists' Certified Forensic Computer Examiner.Dieses Programm konzentriert sich in erster Linie auf die Validierung der Fähigkeiten, die erforderlich sind, um sicherzustellen, dass Unternehmen die etablierten Richtlinien der Computerforensik einhalten.
  • EC-Council's Computer Hacking Forensic Investigator. Diese Zertifizierung bewertet die Fähigkeit eines Bewerbers, Eindringlinge zu identifizieren und Beweise zu sammeln, die vor Gericht verwendet werden können. Sie umfasst die Durchsuchung und Beschlagnahme von Informationssystemen, die Arbeit mit digitalen Beweisen und andere cyberforensische Fähigkeiten.
  • International Society of Forensic Computer Examiners (ISFCE) Certified Computer Examiner. Dieses Programm für forensische Prüfer erfordert eine Ausbildung in einem zugelassenen Bootcamp-Schulungszentrum, und die Bewerber müssen den ISFCE-Kodex für Ethik und berufliche Verantwortung unterzeichnen.
Diese Definition wurde zuletzt im Oktober 2022 aktualisiert

Erfahren Sie mehr über IT-Sicherheits-Management

ComputerWeekly.de
Close