Aus- & Weiterbildung

Vorgehen eines IT-Forensikers und deren ethischen Grundsätze sowie die Beweisverwertbarkeit der erstellten Analysen in der Schweiz und EU

24. Juni 2020

Zertifizierte Kompetenz, um Angriffe abzuwehren und Werte zu schützen auf der Basis von BSI/ISO. Darum geht es in 15 intensiven Tagen unseres Lehrgangs. Neben Risikoanalysen, Security Frameworks und einem Deep Dive in Cybersecurity-Technologien, schreiben unsere Absolventinnen und Absolventen einen Blogbeitrag. Dieser ist von Dominik Meier.

Mit der fortschreitenden Digitalisierung ist es wichtig, die Daten von Unternehmen und Privatpersonen vor unberechtigten Zugriffen zu schützen. Sollte es zu einem Databreach oder Data Leakage kommen, ist die IT-Forensik gefordert.

Was ist IT-Forensik?
Die Kernkompetenz der IT-Forensik ist die Analyse von Vorfällen, welche sich im IT-Bereich zugetragen haben. Ein IT-Forensiker hat die Aufgabe, verwertbare Beweise für etwaige Gerichtsverhandlungen zu sichern, damit exakt eruiert werden kann, wer dafür verantwortlich, resp. zuständig war.

Wie gehen die IT-Forensiker gemäss Leitfaden IT-Forensik BSI vor?
Gemäss Empfehlungen des BSI unterteilt sich die forensische Untersuchung in folgende Phasen:

Strategische Vorbereitung
Die strategische Vorbereitung beginnt noch bevor eine forensische Untersuchung notwendig wird. Sie unterstützt uns danach in den nachfolgenden Phasen. Das Ziel ist es, dass wir entsprechende Logging-Mechanismen definieren, um die Vorfälle zu protokollieren.

Operationale Vorbereitung
In dieser Phase wird der forensische Rahmen definiert, indem eine Übersicht über die vermuteten betroffenen Netzwerke und Datenquellen erstellt wird (Bestandesaufnahme). Insbesondere unsere zuvor in der strategischen Vorbereitung definierten Mechanismen fliessen hier mit ein. Nachdem wir uns eine Übersicht über die Möglichkeiten der zu sichernden Daten erstellt haben, gilt es nun abzuwägen, welche dieser Daten wir in welcher Art und Weise (Authentizität und Integrität) sichern müssen.

Datensammlung
Die zuvor evaluierten Daten gilt es nun mit den geeigneten forensischen Werkzeugen zu sichern. Bei der Datenerfassung ist ein Augenmerk auf folgende Informationen zu legen:

Erfassung von Systemzeit und Systemdatum
Erfassung der auf dem System laufenden Prozesse
Erfassung der am System geöffneten Netzwerkverbindungen (Sockets)
Erfassung der am System angemeldeten Nutzer
Forensische Duplikation

Damit die Authentizität gewährleistet werden kann, kommt hier das 4-Augen-Prinzip zum Tragen. In sämtlichen Phasen ist zudem eine Dokumentation unabdingbar.

Untersuchung
Nachdem sämtliche notwendigen Daten in der vorhergehenden Phase gesichert wurden, werden in dieser Phase diejenigen Datenquellen extrahiert, welche im aktuellen Fall von Interesse sind. Insbesondere werden hier die Logdateien ausgewertet und für die weitere Prüfung (Phase Datenanalyse) etwaige Daten ausgeschlossen.

Datenanalyse
Gestützt auf die konsolidierte Datenerhebung durch die Untersuchung findet nun eine vertiefte Analyse statt. Es werden unter anderem verschiedene Datenquellen gegeneinander abgeglichen, um gemeinsame Nenner zu finden. In der Regel werden in dieser Phase weitere Datenquellen, welche aus dem eigentlichen System oder von Fremdsystemen stammen können, entdeckt. Sollten sie vom betroffenen System stammen, können diese zur Datensammlung hinzugefügt werden. Führt die Spur jedoch zu einem Fremdsystem, muss dieses auch forensisch untersucht werden. Wie in jeder Phase ist auch hier eine präzise Dokumentation notwendig, damit am Ende der Untersuchung ein Gesamtbild entsteht.

Dokumentation
Aus den erstellten Dokumentationen (Verlaufsprotokoll) wird im Anschluss ein Ergebnisprotokoll generiert. In diesem werden die gewonnen Daten interpretiert und den zuständigen involvierten Stellen unterbreitet. Je nach Adressatenkreis kann sich die Form und Aufbereitung des Protokolls unterscheiden. Das Verlaufsprotokoll ist jedoch bei allen Fällen immer identisch aufgebaut und gibt umfassend Aufschluss über die durchgeführten Massnahmen und deren Ergebnisse.

Sind sie an weiteren Details und Vorgehen bezüglich IT-Forensik interessiert, können Sie den Leitfaden des BSI studieren.

Ethische Grundsätze in der IT-Forensik
Als IT-Forensiker ist man in einer Schlüsselposition, weshalb gewisse ethische Grundsätze zwingend eingehalten werden müssen:

Engagement, Gewissenhaftigkeit und Integrität bei der Erfüllung der zugewiesenen Aufgaben.
Grösstmögliche Objektivität bei allen forensischen Untersuchungen wahren und die Ergebnisse präzise darstellen/dokumentieren.
Untersuchungen werden auf der Grundlage etablierter, validierter Verfahren und Methoden durchgeführt.
Vor einem Ausschuss, Gericht oder Verfahren müssen wahrheitsgetreue Aussagen in sämtlichen Angelegenheiten gemacht werden.
Sämtliche Rechtsordnungen der Gerichte müssen befolgt werden.
Gründliche Analyse sämtlicher Beweise im Rahmen des erteilten Auftrages.

Beweisverwertbarkeit gemäss Schweizerischer Strafprozessordnung in der Schweiz
Die Schweizerische Strafprozessordnung (StPO) besagt bezüglich Beweisverwertbarkeit im Art 139 Abs. 1 folgendes:

Die Strafbehörden setzen zur Wahrheitsfindung alle nach dem Stand von Wissenschaft und Erfahrung geeigneten Beweismittel ein, die rechtlich zulässig sind.

Dieser Artikel basiert auf dem Prinzip der freien Beweiswürdigung Art. 10 Abs. 2.

Das Gericht würdigt die Beweise frei nach seiner aus dem gesamten Verfahren gewonnenen Überzeugung.

In anderen Worten bedeutet dies, dass zur Wahrheitsfindung alle geeigneten, gesetzlich zulässigen Mittel eingesetzt werden dürfen. Dieser Artikel wird jedoch wiederum durch sogenannte Beweisverbote begrenzt. Hierbei handelt es sich um Bestimmungen, welche die Beweisführung zum Schutz höher zu wertender öffentlicher sowie privater Interessen beschränkt. Die Strafverfolgungsbehörden sind jedoch darauf angewiesen, auf bestimmte Personen und Beweismittel zugreifen zu können. Sollte dies nicht möglich sein, stehen Zwangsmassnahmen (Art. 196-298) zur Verfügung welche das Ziel haben, Beweise zu sichern (Art. 196 lit. a).

Zwangsmassnahmen sind Verfahrenshandlungen der Strafbehörden, die in Grundrechte der Betroffenen eingreifen und die dazu dienen:

Beweise zu sichern;
die Anwesenheit von Personen im Verfahren sicherzustellen;
die Vollstreckung des Endentscheides zu gewährleisten.

Bei der Beweissicherung als IT-Forensiker ist es wichtig, dass nach anerkannten Regeln der Technik gehandelt wird, welche in der international anerkannten ISO / IEC 27037 : 2012 Norm verfasst sind.

Welche Herausforderungen gibt es bezüglich DSGVO in der EU?
Damit IT-Forensiker sich der Aufgabe annehmen können, müssen Firmen die notwendigen Voraussetzungen im Vorfeld schaffen. Private Daten dürfen nicht ohne einen anwaltsgestützten Beschluss eingesehen werden.

Damit das Telekommunikationsgesetz (Art. 88) bei privaten Daten nicht zum Tragen kommt muss unteranderem folgendes definiert werden:

Private Nutzung von E-Mail und Internet nicht gestatten
Kein «Bring-Your-Own-Device» Modell einführen

Ansonsten ist für den Eingriff in das Eigentum des Mitarbeiters ein Gerichtsbeschluss notwendig.

Weiter darf eine it-forensische Analyse nur dann erfolgen, wenn ein begründeter Verdacht im Raum steht (Art. 32 Abs 1). Doch auch hier würde wieder das Telekommunikationsgesetz greifen, welches den Mitarbeiter gegenüber dem Arbeitgeber vor privater Kommunikation gegen aussen schützt.

Aus den obgenannten Gründen ist es ratsam, vor dem Eintritt eines Ernstfalles sogenannte «Forensic Readiness» zu erstellen, welche im Normalfall mit Einbezug des Betriebsrats definiert werden. Er kann festlegen, dass eine forensische Untersuchung mit Einbezug des Datenschutzbeauftragten erfolgen darf.

Fazit
Databreach oder Data Leakage können durch ein IS-Security Framework vermindert, jedoch nicht vollständig verhindert werden. Unteranderem ist dies auch äusseren Faktoren sowie dem Faktor Mensch geschuldet. Beim letzteren ist es deshalb insbesondere wichtig, dass die Mitarbeiter durch entsprechende Schulungen sensibilisiert werden. Wenn alle Stricke reissen, sind die IT-Forensiker gefragt, welche sich an die gesetzlichen Bestimmungen und Normen halten müssen, damit die Beweise vor Gericht verwertet und somit zur Aufklärung des Falles beitragen können.

Quellen:
Was ist IT-Forensik: https://www.security-insider.de/was-ist-it-forensik-a-774063/

BSI Vorgehensmodell: https://it-forensik.fiw.hs-wismar.de/index.php/BSI-Vorgehensmodell

BSI Leitfaden IT-Forensik: https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Dienstleistungen/IT-Forensik/forensik_node.html

ISFCE Ethics: https://www.isfce.com/ethics2.htm

ISO Norm 27037: https://www.iso.org/standard/44381.html

Schweizerische Strafprozessordnung: https://www.admin.ch/opc/de/classified-compilation/20052319/index.html#a139 & https://www.admin.ch/opc/de/classified-compilation/20052319/index.html#a10 & https://www.admin.ch/opc/de/classified-compilation/20052319/index.html#a196

Beweisverwertbarkeit: https://www.ius.uzh.ch/dam/jcr:00000000-09ca-eb9b-0000-0000577c6c39/18_Verwertung_von_Zufallsfunden.pdf

Forensic Readiness: https://www.it-zoom.de/it-director/e/das-verlangt-die-dsgvo-von-der-it-forensik-19825/

Telekommunikationsgesetz: http://www.gesetze-im-internet.de/tkg_2004/__88.html & https://www.datenschutz-wiki.de/E-Mail_und_Internet_am_Arbeitsplatz

BDSG: https://dsgvo-gesetz.de/bdsg/32-bdsg/

Autor: Dominik Meier