Cybersecurity: Forensische Analyse: Inhalt und Vorgehen
Die IT bekommt in juristischen Verfahren eine immer grössere Bedeutung. Geräte werden beschlagnahmt, digitale Spuren gesichert, Beweise dokumentiert. Diese Arbeiten nennt man «IT-forensische Analyse» oder «IT-Forensik». Diese gewinnt durch die zunehmende Cyberkriminalität, bei der es ebenfalls digitale Spuren zu sichern gilt, zusätzlich an Bedeutung.
Digitale Helfer sind in der heutigen Zeit nicht mehr wegzudenken. Sowohl privat als auch beruflich leisten sie grosse Unterstützung und sind dadurch zu einem festen Bestandteil unserer Gesellschaft geworden. Entsprechend ist es nicht verwunderlich, dass digitale Spuren auch in der Aufklärung von Rechtsverstössen stetig an Bedeutung gewinnen. Auch im Zusammenhang mit Cyber-Angriffen kennt man die IT-Forensik, die neben der unten beschriebenen Sicherung von Beweisen und der Erkennung des Angreifers (für eine allfällige juristische Weiterverfolgung) vor allem auch die Erkennung a. der Angriffsmethode, b. der eigenen Schwachstelle sowie des c. entstandenen Sachschadens zum Ziel hat. Da die IT-Forensik im Zusammenhang mit Cyber-Angriffen in diesem Blog und auch generell breit adressiert wird, konzentriert sich dieser Beitrag in der Folge auf die gerichtliche IT-Forensik.
Das Vorgehen ist bei der IT-Forensik mit der analogen Beweissicherung in weiten Teilen vergleichbar. Es braucht zur Verwertbarkeit vor Gericht klare Vorgaben, wie die Prozesse abzulaufen haben und wie Beweismaterial vor Veränderung geschützt wird – genauso wie in der analogen Welt, zum Beispiel bei der Ballistik oder DNA-Analyse.
Basis und Inhalt der digitalen Beweissicherung
Im gerichtlichen Fall muss die digitale Beweissicherung streng den gesetzlich akzeptierten Methoden folgen, damit die Ergebnisse als juristisch belastbar gelten. Eine Hilfestellung für solche Methoden ist unter anderem von der Organization for Standardization (ISO) mit der Norm 27050 entwickelt worden. Nicht minder wichtige Ansätze hat das Deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) schon im Jahr 2011 im «Leitfaden IT-Forensik» publiziert. Da der Begriff «IT-Forensik» selbst bei gerichtlichen Fragen ein sehr breites Feld abdeckt, wird er zwischenzeitlich unterteilt. Eine solche Unterteilung kann sein:
- Computerforensik (Rechner und Speichermedien)
- Mobile Forensik (mobile Geräte wie Smartphones)
- Fahrzeugforensik (Infotainment und Telematik-Systeme)
- Social Media (Plattformen wie Facebook, Twitter, LinkedIn etc.)
- Cloud (Cloud-Speicherorte wie OneDrive, Dropbox, AWS, etc.)
- Internet der Dinge IoT (z.B. Schliesssysteme, digitale Armbänder, Heimassistenten wie Alexa etc.).
Allein die Aufzählung zeigt, wie fest sich die digitalen Helfer in unserer Gesellschaft etabliert haben und wieso sie für die gerichtliche Forensik eine stetig zunehmende Bedeutung erlangen.
Vorgehen bei einer forensischen Analyse
Die gerichtliche IT-Forensik hat sich an den gesetzlichen Rahmenbedingungen zu orientieren. Besondere Ansprüche ergeben sich (nicht abschliessend), wenn:
- Personenbezogene Daten analysiert werden müssen;
- die Daten Drittparteien wie Geschäftspartnern, Arbeitgebern, Telefongesellschaften oder Internet Service Providern gehören;
- der Verlust der Daten droht, wie z.B. bei flüchtigen operativen Daten, bevor sie gesichert werden können.
Das Vorgehen unter Einhaltung dieser Rahmenbedingungen ist am Beispiel von ISO 27050-3 in folgende Schritte gegliedert:
- Formalisierte Konservierung der Daten, damit sie zweifelsfrei vor Veränderung, Beschädigung, Verlust oder Austausch gesichert sind;
- Abholung, typischerweise durch physische Entnahme der ursprünglichen digitalen Speichermedien und eventuell zugehöriger physischer Beweismittel, die Fingerabdrücke oder DNA enthalten könnten. Im Falle von verstreuten (z.B. Cloud) oder flüchtigen Daten kann es unpraktikabel oder unmöglich sein, die ursprünglichen Speichermedien zu beschlagnahmen. In diesem Fall müssen die Daten und nicht die Medien forensisch einwandfrei sichergestellt werden;
- Verarbeitung der Daten in eine forensische Bit-Kopie, die spätere Analysen erlaubt. Mit Originaldaten soll zur Verhinderung von Verlust oder Veränderung der rechtlichen Integrität nicht gearbeitet werden;
- Überprüfung der Daten und Suche nach relevanten Informationen für den Gerichtsfall mittels geeigneter Hilfsprogramme;
- Analyse der gefundenen relevanten Informationen hinsichtlich ihrer rechtlichen Eignung, Bedeutung, Relevanz und Gewichtung;
- Aufarbeitung der Analyseergebnisse als formelle Beweismittel für das Gericht unter Vorlage der originalen Speichermedien. Dies muss in einer dem Gericht verständlichen Form übergeben und erklärt werden.
iso27001security.com ergänzt, dass hoffentlich bei einer Erklärung in der Art «Ich erkläre unter Eid, dass wir die ISO/IEC 27050 vollständig eingehalten haben» künftig Anfechtungen von Gerichtsurteilen abnehmen. Dies untermauert die Bedeutung von Methoden und Normen für das Vorgehen bei der gerichtlichen IT-Forensik.
Literaturquellen:
BSI DER.2.2 Vorsorge für die IT-Forensik, Version 14. Juli 2020
BSI Leitfaden «IT-Forensik», Version März 2011
ISO Norm 27050:2016+
Links:
https://www.zg.ch/behoerden/sicherheitsdirektion/zuger-polizei/it-forensik-kompetenzzentrum
Autoren:
André Schmid
Christian Wunderlin
Persönliche Beratung
Sie würden sich gerne persönlich beraten lassen? Senden Sie ein E-Mail an martina.dallavecchia@fhnw.ch und vereinbaren Sie einen Termin.
Dozenten in diesem sehr praxisorientierten Lehrgang sind:
Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Andreas Wisler (goSecurity GmbH)
Kommentare
Keine Kommentare erfasst zu Cybersecurity: Forensische Analyse: Inhalt und Vorgehen