Disk-Forensik/ Richtlinien/ Das SAP-Modell

Grundsätzlich wird bei der Beweissicherung immer das SAP-Modell (Sichern, Analysieren, Präsentieren) angewendet. Die Beweissicherung sollte vom Incident-Response-Team durchgeführt werden. Das Incident-Response-Team ist für den Umgang mit Einbruchsspuren auf IT-Systeme geschult. Wenn die Beweissicherung nicht durch fachkundiges Personal vorgenommen wird, ist es wahrscheinlich, dass Daten verändert werden und damit die Beweiskraft verloren geht.

Das Erste, was nach der Feststellung eines Einbruchs in ein IT-System geschehen sollte, ist, wie auch bei einem "normalen" Einbruch, die Sicherung von Spuren und Tatort. Nachfolgend sind die wichtigsten Punkte angeführt, die beachtet werden müssen:

  • "Tatort" und Untersuchungsbereich absichern
  • Beweisspuren sorgfältig sichern
  • Integrität der Daten bewahren, Vieraugenprinzip, Protokollierung, Rechtmäßigkeit
  • Die Sicherung muss eine nachvollziehbar genaue Kopie sämtlicher an der Schnittstelle eines Originaldatenträgers verfügbaren Daten sein.
  • Die Sicherung hat so zu erfolgen, dass die Originaldaten nicht verändert werden.

Die Absicherung des Tatorts bei Computerkriminalität klingt im ersten Moment vielleicht etwas ungewöhnlich, da sich im Normalfall keine Person physischen Zugang verschafft hat, ist aber trotzdem relevant. Unberechtigte könnten bei vergessener Absicherung Daten bewusst oder unbewusst verändern. Im einfachsten Fall reicht es aus, dass sie ein System starten, das untersucht werden sollte. Dadurch würden relevante Daten verändert oder zerstört werden.

Wie bei der Sicherung der Daten vorgegangen wird hängt von verschiedenen Umständen ab. Wenn das System noch läuft muss anders vorgangen werden, als wenn es bereits ausgeschaltet und vom Netz getrennt wurde. Wenn das System noch läuft, können die sogenannten flüchtigen Daten gesichert werden (mehr dazu in einem späteren Kapitel). Es muss den untersuchenden Personen klar sein, dass jede Aktion am laufenden System den Systemstatus ändert. Grundsätzlich gilt, dass unkontrolliertes Herunterfahren oder Neustarten zu unterbinden ist. Herunterfahren sollte man ein kompromittiertes System grundsätzlich nicht, da dabei Daten überschrieben, oder logische Bomben des Angreifers gestartet werden könnten. Die sinnvollste Möglichkeit, sich vor logischen Bomben und anderen Nebenwirkungen des Herunterfahrens zu schützen, ist den Netzstecker zu ziehen und die Stromversorgung so zu unterbrechen.

Wenn das System bereits ausgeschaltet ist gibt es klare Richtlinien zur Post-Mortem Analyse. Post-Mortem bedeutet, dass Daten eines nicht mehr laufenden Systems untersucht werden. Die Integrität der Daten muss dabei unter allen Umständen gewahrt werden. Das Vieraugenprinzip und die umfassende Protokollierung garantieren dies. Niemals dürfen Originaldaten verändert werden. Deshalb werden die Untersuchungen immer auf einer 1:1 Kopie ausgeführt. Würde man am Original untersuchen, wären Manipulationen schwer nachweisbar. Auch wäre es bei Fehlern kaum möglich, noch einmal ein aussagekräftiges Untersuchungsobjekt zu bekommen.

Analysieren

Bearbeiten

Nachdem die Daten forensisch korrekt gesichert wurden, müssen sie analysiert werden. Dabei sollten die nachfolgenden drei Punkte beachtet werden:

  • Spuren sorgfältig auswerten
  • Ergebnisse objektiv bewerten
  • Schlüsse kritisch hinterfragen

Die gefundenen Spuren müssen sorgfältig ausgewertet werden. Fehler bei der Analyse können bei einer späteren Verhandlung vor Gericht zu Fehlurteilen führen. Dies muss jedem bewusst sein. Daher ist eine objektive Bewertung der Ergebnisse nötig und die gezogenen Schlüsse müssen kritisch hinterfragt werden.

Bei der Analyse müssen mehrere Fragen gestellt werden. Die klassischen W-Fragen "wer, was, wo, wann, womit, wie und weshalb" sind auch bei der forensichen Analyse heran zu ziehen. Als Erstes ist interessant, wer unberechtigt Zugang zu einem System erlangt hat. Um die Folgen eines Einbruchs in ein System einzuschätzen, ist es wichtig, Hinweise auf mögliche Täter zu erhalten. Für die weiteren Ermittlungen ist ebenfalls es interessant, ob es sich um einen mit Insiderwissen ausgestatteten Angreifer handelt, oder ob der Angriff von Außen kam.

Nachdem diese Fragen gestellt wurden ist es interessant zu erfahren, was der Angreifer auf dem System gemacht hat. Hat er Daten nur gesehen, oder auch kopiert, oder hat er sie gar verändert oder zerstört? Wenn ja, muss festgestellt werden, welche Daten betroffen sind. Viele Angreifer installieren nach einem erfolgreichen Hack Hintertüren, um jederzeit wieder auf den Rechner zugreifen zu können. Diese sogenannten Backdoors oder Rootkits können Hinweise auf den Täter liefern.

Falls der Täter die Homepage eines Webservers verändert hat, lassen sich hier oft Hinweise auf die Herkunft und Motivation des Täters finden. Viele Manipulationen gehen auf das Konto "sportlich" motivierter Angreifer, die sich in Ranglisten mit den meisten Hacks von Webseiten rühmen. Ebenfalls beliebt und medial wirksam sind politisch motivierte Hacks, die eine Politische Botschaft auf der Webseite eines Gegners erscheinen lassen. Neben dem Tathergang an sich und den damit verbundenen Auswirkungen, ist auch der Zeitpunkt des Angriffs wichtig.

Die Uhrzeit ist ein essentielles Kriterium. Die Systemzeit des kompromittierten Systemes muss nicht unbedingt mit der echten Uhrzeit übereinstimmen. Deshalb muss zu Beginn Analyse die Systemzeit mit der wirklichen Uhrzeit verglichen werden. Für die weiteren Ermittlungen ist die echte Zeit wichtig, da nur so, korrekte Datenabfragen bei externen Providern möglich sind. Beispielsweise kann nur so der Name zu einer IP-Adresse gefunden werden, der zum Angriffszeitpunkt eine Verbindung zum kompromittierten System hatte. Aus dem Angriffszeitpunkt kann man ebenfalls schließen, ob der Angreifer theoretisch auch weitere Systeme kompromittieren konnte.

Falls die Annahme besteht, dass weitere Systeme angegriffen wurden, müssen diese ebenfalls untersucht werden. Dies ist nötig, um den entstandenen Schaden festzustellen. Je mehr Systeme kompromittiert wurden, desto höher ist die Wahrscheinlichkeit, dass mehr Spuren und Beweise gefunden werden können.

Neben den bisher gestellen Fragen und Vermutungen ist es auch interessant zu erfahren, warum gerade dieses System angegriffen wurde. Wenn das Motiv bekannt ist, lässt sich der Kreis der potentiellen Täter einschränken. Möglich wäre, dass der Angreifer zufällig eine Lücke im System gefunden hat und einfach nur aus Langeweile gehandelt hat. Ebenfalls ist es möglich, dass der Täter vom kompromittierten System aus weitere Systeme angreifen wollte und der Angriff nur Mittel zum Zweck war, um seine Identität zu verschleiern.

Damit sich erfolgreiche Angriffe nicht wiederholen, muss festgestellt werden, wie der Angreifer überhaupt Zugriff erlangen konnte. Interessant ist dabei zum einen die Technik oder Vorgehensweise, zum Anderen aber auch die verwendeten Tools. Die Art des Angriffs kann Hinweise auf die Fähigkeiten und Möglichkeiten des Täters geben. Wenn für den Angriff firmeninternes Wissen nötig ist, lässt dies auf einen Insider, oder zumindest auf einen Helfer innerhalb des Unternehmens schließen.

Wenn, durch die Analyse, die Angriffswege bekannt sind, ist es möglich festzustellen, welche Fehler beim Systembetreiber lagen. Dieses Wissen sollte es ermöglichen, die Sicherheitslücken zu stopfen und weitere erfolgreiche Angriffe zu verhindern. Dies setzt natürlich voraus, dass die Betreiber eines Systems die gemachten Fehler nicht wiederholen.

Präsentieren

Bearbeiten

Mit der Analyse ist die Untersuchung nicht abgeschlossen. Die Ergebnisse müssen danach aufbereitet werden. Dazu gehören sowohl Dokumentation als auch Präsentation der Ergebnisse. Kurz gesagt:

  • Erkenntnisse schlüssig und nachvollziehbar dokumentieren
  • Erkenntnisse überzeugend und zielgruppenorientiert präsentieren

Damit auch Nicht-Fachleute die Ergebnisse einer forensischen Analyse verstehen, müssen die Informationen verständlich aufbereitet werden. Nur so ist es z.B. möglich, dass ein Richter in einer Gerichtsverhandlung ein objektives Urteil fällen kann. Wenn die Materie für ihn nicht verständlich aufbereitet ist, kann es zu Fehlurteilen kommen.