Tatort digitale Welt – Spuren in der IT-Forensik

it-sicherheit 08
Fachbeitrag

Die Entwicklung forensischer Wissenschaften begann lange vor der Erfindung des Computers. In Abgrenzung zur IT-Forensik wird manchmal der Begriff „klassische“ Forensik verwendet, wenn forensische Wissenschaften abseits bzw. in Zeiten vor der digitalen Welt gemeint sind. Der Beitrag befasst sich mit Gemeinsamkeiten und Unterschieden bei der klassischen und der IT-Forensik.

Es beginnt mit der Spur

Kurz gesagt besteht der wesentliche Unterschied zwischen Forensik im klassischen Sinne und der IT-Forensik in der Natur der Spuren, welche in dem jeweiligen Bereich untersucht werden. Während bei der klassischen Forensik im Wesentlichen physische Spuren mittels wissenschaftlicher Methoden untersucht werden, stehen bei der IT-Forensik digitale Spuren im Fokus. Als Spur im forensischen Sinne wird ein hinterlassenes Zeichen verstanden.

Physische Spuren

Ermittler suchen an einem Tatort nach Spuren, die Aufschluss über den Tathergang geben können. In der physischen Welt sind unabsichtlich hinterlassene Spuren wie z.B. Finger- und Schuhabdrücke, Haare, Fasern oder Sekrete für die Aufklärung einer Straftat interessant.

Digitale Spuren

Digitale Spuren sind hingegen Spuren, die auf Daten basieren, welche in Computersystemen gespeichert oder übertragen worden sind (Casey, Eoghan (2004): Digital Evidence and Computer Crime: Forensic Science, Computers and the Internet; 2. Edition). Digitale Daten sind zunächst physische Spuren wie z.B. die Magnetisierung auf der Festplattenoberfläche oder der Ladezustand von Speicherzellen im Arbeitsspeicher. Im Unterschied zu physischen Spuren liegen digitale Spuren aber regelmäßig nicht in einer unmittelbar zugänglichen Form vor, sondern müssen zunächst extrahiert und in eine lesbare Form übersetzt werden.

Entstehung von Spuren

Edmond Locard (*13.12.1877, † 04.04.1966) beschrieb als erster eines der Grundprinzipien bei der Entstehung von Spuren, nämlich, dass niemand eine Straftat begehen kann, ohne zahlreiche Zeichen zu hinterlassen, entweder dadurch, dass er etwas am Tatort hinterlässt oder dass er etwas vom Tatort mitnimmt (Locardsches Austauschprinzip).

Jenes Austauschprinzip wurde im Laufe der Zeit zu der allgemeineren Theorie des Transfers weiterentwickelt.

Übertragung von Materie

Ein Austausch erfolgt zum einen dann, wenn Materie zerteilbar ist. Der Zusammenhalt der Materie von Objekten erfolgt nach den Regeln der Physik, Chemie und Biologie. Bei Krafteinwirkung auf das Objekt wird dieses zerteilt. Die daraus entstehenden Einzelteile weisen regelmäßig die charakteristischen Eigenschaften des Originals auf. Typische Beispiele für die Übertragung von Materie sind Hautschuppen, Haare oder Schmauchspuren. In der digitalen Welt gibt es jedoch keine Materie, sondern codierte Daten, so dass es auch keine Zerteilbarkeit von Materie und damit keinen physischen Spurentransfer gibt.

Übertragung von Mustern

Sowohl im Hinblick auf physische als auch digitale Spuren findet jedoch eine Übertragung von Mustern, also Informationen, von einem auf das andere Objekt statt. In der realen Welt sind typische Beispiele für die Übertragung von Mustern Fußabdrücke, Reifenspuren oder die Riefen des Waffenlaufs auf der Pistolenkugel. Die Musterübertragung weist zudem eine Analogie in der digitalen Welt auf, z.B. der Austausch von Dateien, das Versenden von E-Mails, Maschineninstruktionen im Prozessor wie mov eax, ebx, das Zuweisen in einer Programmiersprache wie x := i oder jede Kopieroperation auf einem Rechner, zum Beispiel ausgelöst durch einen Befehl in der Komandozeile (Shell) copy file1.txt file2.txt.

Persistente und flüchtige Spuren

Sowohl bei den physischen als auch den digitalen Spuren gibt es persistente wie auch flüchtige Spuren, was bereits beim Vorgehen im Rahmen der Datensicherung zu berücksichtigen ist, um nicht wertvollte Beweise zu verlieren. Temporär existierende physische Spuren sind beispielsweise Gerüche wie von Benzin oder Rauch oder die Temperatur von Gegenständen wie dem Motor oder die Körpertemperatur einer Leiche. Flüchtige digitale Spuren finden sich z.B. im Arbeitsspeicher des Rechners. Hierin befinden sich ausschließlich unverschlüsselte Daten.

Der Tatort

Wie beispielsweise die Wohnung des Opers eines Tötungsdelikts sind angegriffene IT-Systeme als Tatort zu betrachten und dementsprechend zu behandeln. In jedem Fall führen unkoordinierte Handlungen (z.B. Berühren der Tatwaffe oder das Herunterfahren eines kompromittierten IT-Systems) schnell dazu, dass Spuren verändert und hierdurch wichtige Beweismittel vernichtet werden.

Auch im Hinblick auf IT-Systeme ist richtiges Verhalten im Umgang mit dem Tatort daher zur Sicherung von digitalen Spuren und damit Beweisen, aber auch zur Vermeidung weiterer Schäden unerlässlich.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Identifizierung, Sicherung und Auswertung digitaler Spuren und Beweise
  • Untersuchung auf Bedrohungen durch komplexe und gezielte Cyber-Attacken
  • Cyber Security Check zur Schwachstellenanalyse von IT-Systemen

Informieren Sie sich hier über unser Leistungsspektrum: IT-Forensik

Ein Kommentar zu diesem Beitrag

  1. Sehr interessanter Artikel. Hoffe Sie veröffentlichen in regelmäßigen Abständen solche Artikel dann haben Sie eine Stammleserin gewonnen. Vielen Dank für die tollen Informationen.

    Gruß Sandra

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.