Was ist Cyberforensik?

Unternehmen und Einzelpersonen nutzen heute mehr Technik als je zuvor und sind damit auch anfälliger für Cyberkriminalität. Doch Cyberkriminellen das Handwerk zu legen, ist alles andere als ein Kinderspiel.

Dabei hinterlassen Kriminelle auf Computern und Mobilgeräten, die sie zuvor angriffen haben, oft Spuren – digitales Beweismaterial, das für die Verbrechensaufklärung und Strafverfolgung entscheidend sein kann. Und genau hier kommt die Cyberforensik ins Spiel. Cyberforensik ist ein wichtiger Bereich der Cybersecurity, der die Identifikation, Konservierung, Analyse und Präsentation digitaler Beweismittel einschließt.

In diesem Artikel befassen wir uns mit den Grundlagen der Cyberforensik: Wozu dient sie, wie läuft sie ab, welche Herausforderungen sind damit verbunden und warum ist sie weit mehr als bloßes Auditing?

Was ist Cyberforensik?

Cyberforensik beschreibt den Prozess des Extrahierens von Informationen, der Analyse der Daten und der Gewinnung von Erkenntnissen. Die gewonnenen Daten beziehen sich auf Aktivitäten, die einem Gericht als strukturierte Beweiskette vorgelegt werden können.

Die Cyberforensik, auch als Computerforensik bekannt, ist seit den 1980er-Jahren allgemein anerkannt. Damals boomte der Personal Computer und damit einhergehend auch erstmals die digitale Kriminalität. Herkömmliche forensische Methoden reichten nicht mehr aus, um digitale Spuren zu sichern, und so entstand die Computerforensik.

Hier seht ihr die wichtigsten Meilensteine der frühen Cyberforensik:

• 1986 Computer Fraud and Abuse Act (CFAA)
• 1989 Gründung der International Association of Computer Investigative Specialists (IACIS)
• 1992 offizielle Gründung des Computer Analysis and Response Team (CART) des FBI
• 1995 International Organization on Computer Evidence (IOCE)
• 2000 Einrichtung des Regional Computer Forensic Laboratory (RCFL) des FBI

Seitdem hat die Cyberforensik viele Fortschritte gemacht.

Cyberforensik ist wichtig für die Einhaltung rechtlicher Vorgaben und die Durchsetzung von Prüfrichtlinien mit dem Ziel, die Integrität von Informationen zu wahren. Außerdem spielt sie eine bedeutende Rolle bei der Korrelation aufeinanderfolgender Aktionen, die zu kriminellem Verhalten beitragen können.

Oft werden forensische Methoden parallel zur Untersuchung von Sicherheitsvorfällen angewandt, was aber nicht zwingend der Fall sein muss, da Untersuchungen auch mit einfacheren Methoden möglich sind.

In der Regel dient Cyberforensik dazu, wichtige Informationen wie diese zu erlangen:

• Benutzer, die an bestimmten Aktionen mitwirken können
• Details zu ausgeführten, genehmigten oder mit dem Benutzer verbundenen Handlungsabfolgen
• Informations-Logs und detaillierte Metadaten wie Uhrzeit, Dateityp, Dateigröße und Datenmenge
• Informative Inhalte wie Audio-, Video- und Textdateien
• Beteiligte Technologien

Wie funktioniert Cyberforensik?

Cyberforensik erfordert Maßnahmen, die weit über die übliche Datenerhebung hinausgehen. Der Grund dafür ist, dass für rechtliche Zwecke benötigte Informationen oft nicht unmittelbar zugänglich sind. Im Klartext: Die nötigen Informationen müssen wiederhergestellt, reproduziert, authentifiziert, verifiziert und schließlich analysiert werden, um die vorhandenen Dateneinblicke den entsprechenden Usern und deren Handlungen zuzuordnen.

Auch wenn die zugrunde liegenden Datensätze zugänglich sind, brauchen InfoSec-Experten oft erweiterten Zugriff. Dazu bedarf es beispielsweise Freigaben seitens leitender Angestellter oder externer Prüfer oder eine gerichtliche Anordnung, Einblicke in einem strukturierten Untersuchungsbericht zusammenzufassen.

Phasen eines cyberforensischen Verfahrens

Cyberforensische Verfahren folgen meist vorgegebenen Schritten zur Gewinnung von Informationen und zur Erstellung eines strukturierten Untersuchungsberichts:

1. Identifikation: Ermittlung, welche Beweise für den Fall zu erbringen sind
2. Konservierung: Entscheidung, wie die Integrität und Sicherheit der extrahierten Beweise gewahrt werden soll
3. Analyse: Verständnis der Erkenntnisse, die sich aus den Informationen ableiten lassen (oder auch nicht ableiten lassen)
4. Dokumentation: Erstellung und Wiederherstellung von Daten, um die Handlungsabfolge darzustellen
5. Präsentation: Erstellung einer strukturierten Übersicht über die gewonnenen Erkenntnisse, die zu einer Schlussfolgerung führen

Die mit der Durchführung betrauten Forensiker müssen sich während des gesamten Prozesses an Regeln halten, um die Vollständigkeit, Objektivität, Echtheit und Integrität der zusammengetragenen Informationen zu gewährleisten.

(Verwandtes Thema: Was ist digitale Forensik?)

Cyberforensik und Auditing: Cyberprozesse im Vergleich

Vielleicht habt ihr euch bisher an Auditing erinnert gefühlt, doch zwischen einem üblichen Auditing-Prozess und einer cyberforensischen Untersuchung gibt es wesentliche Unterschiede.

Definition

Auditing ist ein Prozess, bei dem Daten auf ihre Korrektheit und Genauigkeit untersucht werden. Dagegen ist der Cyberforensik-Prozess weitaus detaillierter: Es werden Informationen extrahiert, die sich als zuverlässige Beweismittel für bestimmte Benutzer- oder Systemaktionen verwenden lassen.

Ziel

• Beim Auditing geht es um die Einhaltung betrieblicher Regeln zur Datenerfassung und -speicherung. 
• Cyberforensik dient dazu, aus Informationen Erkenntnisse zu gewinnen, um eine Handlungs- oder Ereigniskette zu rekonstruieren.

Umfang

Auditing umfasst Aktivitäten zur Risikominimierung sowie vordefinierte Prüfverfahren. Dabei bestehen Einschränkungen hinsichtlich:

• Zeit 
• Organisatorischer Funktion

Cyberforensik ist ein umfassender Untersuchungsprozess, der die Erfassung, Analyse und Dokumentation von Daten, deren Analyse zur Erkenntnisgewinnung, die Berichterstellung und die Präsentation in einem akzeptablen Format einschließt. All dies erfolgt nach Maßgabe eines Gerichts oder einer Organisation.

Zeitpunkt

Auditing ist ein standardisierter Geschäftsprozess, der wiederkehrend in bestimmten Zeitabständen durchgeführt wird.

Im Gegensatz dazu sind cyberforensische Untersuchungen in der Regel anlassbezogen und unabhängig. Behörden können solche Untersuchungen ad hoc anordnen, meist in Reaktion auf:

• Einen Gesetzesverstoß oder ein Fehlverhalten
• Einen externen juristischen Untersuchungsprozess
• Compliance
• Risikominimierung
• Beschränkung der Haftung auf geltende Gesetze

Methodik

Der Auditing-Prozess unterliegt externen Standards, beispielsweise den Generally Accepted Accounting Principles (GAAP). Demnach werden Informationen gesammelt und auf ihre Genauigkeit und Zuverlässigkeit überprüft.

Eine cyberforensische Untersuchung bedarf zunächst einer Begründung. Danach werden die Auswirkungen bewertet und erforderliche Informationen eingeholt, bevor weitere Daten erhoben werden können.

Berichterstellung und Präsentation

Schriftliche Audit-Berichte müssen bestimmte Formvorgaben erfüllen und werden den betreffenden Entscheidungsträgern und Führungskräften vorgelegt. Für die Erstellung cyberforensischer Berichte sind das geltende Recht und die Art des jeweiligen Vergehens maßgeblich. Der Abschlussbericht kann Folgendes enthalten:

• Inhalt der Beweismittel
• Schlussfolgerungen basierend auf einer gründlichen Analyse

Herausforderungen bei der Cyberforensik

Cyberforensiker extrahieren Daten aus verschiedensten technologischen Quellen, die von Endnutzern verwendet werden. Das können Mobilgeräte, Cloud-Services, IT-Netzwerke oder Software-Anwendungen sein.

Diese Technologien werden von verschiedenen Anbietern entwickelt und betrieben. Dabei gibt es technische und datenschutzrechtliche Grenzen, die die Untersuchungsmöglichkeiten einschränken können. Hier die wichtigsten Herausforderungen, denen InfoSec-Experten oft begegnen:

• Datenwiederherstellung: Wenn es sich um verschlüsselte Daten handelt, kann der Forensiker sie nur entschlüsseln, wenn er Zugriff auf die entsprechenden Kodierungsschlüssel hat. Bei neueren Speichergeräten wie SSD-Festplatten ist mitunter kein sofortiger Werkszugriff möglich, um verloren gegangene Daten wiederherzustellen. Anders ist dies bei herkömmlichen Magnetbändern und Festplattensystemen.
• Einblicke in das Cloud-System: Ermittler können möglicherweise nur auf Metadaten zugriffen, aber nicht auf den eigentlichen Inhalt der Dateien. In solchen Fällen müssen die zugrunde liegenden Ressourcen freigegeben und dynamisch zugewiesen werden. Wenn kein Zugriff auf physische Speichersysteme möglich ist, können externe Ermittler verloren gegangene Daten unter Umständen nicht wiederherstellen.
• Umfangreiche Netzwerk-Logdaten: Netzwerk-Logdaten wachsen exponentiell und erreichen daher schnell Größenordnungen, die sich nur mit komplexen Analysen und KI-Tools auf relevante Zusammenhänge zwischen Netzwerkaktivitäten untersuchen lassen.
• Datenspeicherung in anderen Rechtsräumen: Sind Daten an einem geografischen Standort gespeichert, der außerhalb des Zuständigkeitsbereichs der Forensiker liegt, dürfen diese die nötigen Informationen eventuell nicht abrufen.

Cyberforensik bringt also einige Schwierigkeiten mit sich, die aber mithilfe geeigneter Ressourcen auf ein Minimum reduziert oder ganz umgangen werden können.

Ressourcen für Cybersecurity und Forensik

Zum Glück gibt es jede Menge kostenlose Ressourcen, die euch bei Cybersecurity- und Forensikaufgaben weiterhelfen können. Hier einige der geläufigsten:

• SANS Institute
• National Institute of Standards and Technology (NIST)
• Open Web Application Security Project (OWASP)
• Cybrary
• EC-Council
• Digital Forensics Framework
• Autopsy
• The Sleuth Kit

Cyberforensik auf dem Vormarsch?

Die Gesetzes- und Normenlandschaft in Datenschutzfragen wird immer komplexer, weshalb auch der Bedarf an Cyberforensik zunehmen dürfte.

Will etwa ein Unternehmen rechtliche Schritte gegen Cyberkriminelle einleiten, muss es eine cyberforensische Untersuchung vornehmen, um den Tätern auf die Schliche zu kommen und die Methoden und Folgen des Angriffs zu dokumentieren.