Innovationen und aktuelle Themen in der IT-Forensik

Die wachsenden Datenmengen ändern die Art, wie wir heute IT-Forensik betreiben. Damit eine Untersuchung innerhalb einer vertretbaren Zeit durchgeführt werden kann und Ergebnisse gewonnen werden können, müssen neue Ansätze aus dem Bereich der Datenwissenschaften angewendet werden. Es ist gleichzeitig aber auch ausschlaggebend, dass Daten gezielt nach Untersuchungsrelevanz ausgewählt werden und nicht „alles“ verarbeitet wird. Der nachfolgende Beitrag gibt einen ersten Einblick, mit welchen technischen Herausforderungen IT-Forensiker, Anwälte und Ermittler im Rahmen von forensischen Untersuchungen konfrontiert sind.

Verarbeitung großer Datenmengen

Die Datenvolumina, die in jeder Sekunde entstehen, wachsen weiter exponentiell. Die Coronakrise, hat diesen Trend nochmals verstärkt. Dies stellt auch die IT-Forensik vor neue Herausforderungen. Dies macht es umso wichtiger, bereits zu Beginn die Datenquellen gezielt zu identifizieren und zu selektieren, die tatsächlich relevant sind. Hierzu ist es erforderlich vor Datenabzug (es sei denn die Situation erfordert einen sofortigen Datenabzug; dann vor der Datenverarbeitung), mit der Unternehmens-IT die vorhandenen Datenquellen zu identifizieren und gemeinsam mit den inhaltlich betreuenden der Untersuchung (bspw. den Forensikern oder Anwälten), die Relevanz zu bewerten. Die Datenquellen sollten zusätzlich auch nach Relevanz priorisiert werden. So können die Datenquellen mit Priorität 1 möglicherweise bereits die notwendige Aufklärung geben.

Die Identifizierung relevanter Datenquellen kann sich dann als schwierig gestalten, wenn sich der Untersuchungszeitraum für einen Fall weit in die Vergangenheit zurück erstreckt. Dann sind intensive Gespräche mit der Unternehmens-IT und verantwortlichen Abteilungen notwendig. Ist es gar nicht möglich zu identifizieren, auf welchen Servern sich relevante Daten befinden, bleibt ggf. in einzelnen Fällen nur die Möglichkeit ganze Server zu verarbeiten. So kann nach der Datenverarbeitung gezielt nach untersuchungsrelevanten Begriffen gesucht werden.

Das Verarbeiten eines ganzen Servers ist jedoch sehr zeit- und datenintensiv. Der Server muss forensisch kopiert werden, in eine Datenverarbeitungsplattform geladen und aufwendig verarbeitet werden. Ein innovativer Ansatz hier ist das Indexieren eines Servers in Echtzeit. Hierzu wird in der IT-Umgebung des Unternehmens ein Indexierungssystem aufgesetzt und installiert. Das Indexierungssystem befindet sich hierbei in einer isolierten Umgebung bzw. „Box“ innerhalb der IT-Umgebung des Unternehmens. Die Daten auf dem Server werden in Echtzeit indexiert. Das heißt, der Server verleibt zu jeder Zeit im produktiven Zustand und muss nicht temporär abgeschaltet werden. Nach der Indexierung sind die Daten auf dem Server, inklusive Inhalt, durchsuchbar. Daten bzw. Dokumente, die auf einen untersuchungsrelevanten Suchbegriff treffen, können forensisch extrahiert und auf einer separaten Datenverarbeitungsplattform verarbeitet werden.

Relevanz von Clouds

Immer mehr Unternehmen verlagern kritische Infrastruktur in die Cloud. Dies gilt seit den letzten Jahren vermehrt auch für die E-Mail-Server der Unternehmen. Bis vor etwa fünf Jahren war es vor allem bei größeren Unternehmen und Konzernen üblich, einen eigenen E-Mail-Server zu unterhalten (am besten im konzerneigenen Rechenzentrum). Dies hat sich in den letzten Jahren stark geändert. Unternehmen führen ihre E-Mail-Umgebungen in einer Cloud (wie bspw. O365). Dies bedeutet gleichzeitig, dass sich die E-Mail-Umgebungen physisch dem Zugang entziehen und nur eine Fernextraktion bleibt.

Für Standarddatenquellen wie ein E-Mail-Postfach ist die Extraktion bei den bekannten Providern bereits standardisiert. E-Mail-Postfächer einzelner Personen lassen sich unkompliziert extrahieren. Darf aus datenschutzrechtlichen Gründen keine Vollextraktion erfolgen oder dauert die Extraktion aufgrund der Datenvolumina Tage oder Wochen, so bieten Cloud-Anbieter inzwischen umfangreiche eDiscovery-Funktionalitäten. So kann bspw. die Extraktion auf nur solche E-Mails eingeschränkt werden, welche eine bestimmte E-Mail-Adresse enthalten. Müssen komplexere Abfragen durchgeführt werden, so können auch individuell geschriebene Skripte in die Cloud-Umgebung eingespielt werden.

Zugriff auf Untersuchungsrelevante Mobiltelefone

Die IT-forensische Untersuchung von Mobiltelefonen und anderen mobilen Endgeräten erhält auch in Deutschland zunehmend Bedeutung. Die IT-forensische Extraktion von Daten aus solchen Endgeräten wird hier in verschiedenen Punkten erschwert.  Mobiletelefone sind heute in den meisten Fällen verschlüsselt durch eine persönliche PIN, die vom Nutzer vergeben wird. Dies macht eine Kooperation des Betroffenen bereits alternativlos.

Wurde die PIN zur Verfügung gestellt, so zeigen sich bereits die nächsten Fallstricke: Das Extrahieren der Daten aus dem Mobiltelefon kann in einigen Fällen durch eine zusätzliche PIN oder durch eine von der Unternehmens-IT installierte App eingeschränkt sein. Hier stoßen bei der Freischaltung zum Teil die IT-Abteilungen der betroffenen Unternehmen auf Neuland und müssen für ein einzelnes Mitarbeitermobiltelefon zentral gesteuerte Policies aufheben. Dies kann sich als alles andere als trivial herausstellen und den Prozess nochmals zusätzlich verzögern.

Das macht eine frühzeitige Abstimmung mit der Unternehmens-IT sehr wichtig. Die nächsten Problemfelder zeigen sich anschließend nach der Datenextraktion. Die schiere Menge verschiedener Apps – vor allem verschiedener Messaging-Apps – bilden eine dritte Sicherheitsschicht. Häufig sind solche Apps nochmals lokal verschlüsselt und verhindern das Auslesen der Daten, bspw. der Nachrichten, aus diesen Apps. Hier hat auch die Unternehmens-IT keine Möglichkeiten das Auslesen freizugeben.

Das FBI hat erst kürzlich ein Dokument veröffentlicht, welches eine Übersicht zu verschlüsselten Messaging-Apps gibt.[1] Die Übersicht zeigt auf, inwieweit Daten zu einer jeweiligen App extrahiert oder falls die Daten auch in der Cloud gespeichert werden beim Softwarehersteller durch einen Gerichtsbeschluss angefragt werden können. Es zeigt sich schnell, dass die meisten Messaging-Apps selbst für staatliche Ermittlungsbehörden keinerlei Möglichkeiten des Zugriffs bieten. Einige Messaging-Softwarehersteller geben auch keinerlei Auskünfte zu betreffenden Nutzern. Solche Apps sind unüberwindbare Mauern. Um zu verhindern, dass sich unternehmensrelevante Daten dem Zugriff entziehen können, bleibt der Unternehmens-IT als einzige Option durch Policy-Einstellungen das Installieren von beliebigen Apps zu unterbinden.

Datenschutz aus der Sicht der IT-Forensik

Die Menge der personenbezogenen Daten, die zu jeder Zeit erhoben werden, steigt kontinuierlich weiter. Dies trifft auch auf die Berufswelt zu: Das geschäftliche Mobiltelefon, der Firmenwagen mit Boardcomputer und GPS, das Firmennotebook mit privaten Dokumenten oder ein persönlicher Ordner auf den Firmenservern. Dies macht es wichtig, vor Einbeziehung von untersuchungsrelevanten Daten zu evaluieren, inwieweit in den relevanten Datenquellen personenbezogene Daten enthalten sind.

Dies erfordert inzwischen zumeist auch das Führen von technischen Interviews sowohl mit der IT-Abteilung eines betroffenen Unternehmens, als auch mit den betroffenen Personen, deren Endgeräte und Daten gesichert werden. Im Zweifelsfall kann die betroffene Person am besten Auskunft dazu geben, wie und wo ihre personenbezogenen Daten liegen und so ermöglichen, dass die IT-Forensiker gezielt technisch private Daten aus der Datenverarbeitung ausschließen können.

Checkliste Digital Investigation Readiness

Um angemessen auf den Ernstfall vorbereitet zu sein empfiehlt es sich einen Digital Investigation Readiness Plan aufzustellen. Dieser ermöglicht eine schnelle und adäquate Einleitung von Aktivitäten um eine Digital Investigation durchzuführen. Ein solcher Plan sollte in jedem Fall eine Digital Investigation Readiness Checkliste enthalten. Nachfolgend einige Anregungen – ohne Anspruch auf Vollständigkeit- welche Punkte in einer solchen Checkliste zu berücksichtigen sind:

• Definition von Geschäftsrisiko-Szenarien die eine Digitale Untersuchung und Beweissicherung erfordern
• Spezifizierung der Umstände, unter denen die Eskalation einer vollständigen förmlichen digitalen Untersuchung eingeleitet werden sollte
• Beschreibung von Richtlinien und Anweisungen die im Falle einer Digital Investigation in Kraft gesetzt werden
• Gewährleistung einer rechtlichen Überprüfung, um angemessene Maßnahmen als Reaktion auf einen -Sicherheits-Vorfall zu erleichtern
• Etablierung einer Koordinierungsstelle besetzt aus Juristen, Compliance-/Revisionsverantwortlichen, Forensikern, CISO und IT-Experten die im Falle einer Digitalen Untersuchung zeitnah Entscheidungen treffen können
• Klare Festlegung und Kommunikation der Kontaktpersonen zur Sicherstellung der Digital Investigation Readiness einschl. externer Dienstleister
• Anforderungen an die Sammlung von digitalen Beweisen bestimmen
• Sicherstellung einer ordnungsgemäßen und lückenlosen Beweiskette (chain of custody)
• Identifikation von potentiellen digitalen Beweisquellen und Dateiarten
• Beschreibung der intern genutzten IT-Systeme, deren Zweck und der darauf gespeicherten Daten
• Beschreibung der Datenflüsse im Unternehmen und der Schnittstellen
• Klare Festlegung/Zuordnung von Verantwortlichkeiten und Eigentümerschaft für Systeme, Daten (Ownership)
• Inventarisierung von Endgeräten und Sicherstellung deren Aktualität
• Aufbau von Kapazitäten für eine sichere und forensisch fundierte Beweissicherung und -erhebung
• Schulung und Weiterbildung der Mitarbeiter in Bezug auf die Reaktion auf Vorfälle und die Sensibilisierung für diese, um sicherzustellen, dass sie ihre Rolle und Verantwortlichkeiten im Prozess der digitalen Beweisführung und die Bedeutung und Sensibilität dieses Prozesses verstehen
• Sicherstellung der Überwachung zur Aufdeckung größerer Sicherheitsvorfälle

Durch einen reaktiven Ansatz bei digitalen forensischen Untersuchungen kann vor allem bei Ermittlungsbehörden schnell der Eindruck entstehen, das es den Unternehmen an Initiative zur Aufklärung mangelt. Wenn Unternehmen dagegen Strategien und Pläne für Digital Investigations einführen (z.B. zur proaktiven Erfassung potenzieller Quellen digitaler Beweise), stellen sie ihre Fähigkeit zum effektiven Risikomanagement unter Beweis. Es sollte im Interesse jedes Unternehmens und jeder Organisation sein, schnell und angemessen zu reagieren sowie notwendige Schritte zur digitalen Beweissicherung und Aufklärung einzuleiten.