Auf digitaler Spurensuche

Nichts berühren! Nichts verändern, bevor die Spurensicherung ihr Werk erledigt hat! Was als oberste Maxime an einem klassischen Tatort gilt, kann auch in die digitale Welt übertragen werden. Firmenanwender, die merken, dass sie gehackt oder sonst wie das Opfer einer Cyberstraftat geworden sind, sollten erst einmal nichts tun und wenn möglich IT-Forensik-Profis beiziehen.

Doch, was ist überhaupt IT-Forensik, die auch unter den Bezeichnungen Digitale Forensik und Computer-Forensik bekannt ist? Ganz generell handelt es sich dabei um einen Teilbereich der klassischen Forensik, die sich mit der Suche nach digitalen Spuren beschäftigt, welche bei einem Angriff oder einer anderen Straftat hinterlassen wurden. Neben der reinen Spurensuche ist auch die Beweissicherung und die Rekonstruktion der Abläufe in IT-Geräten Teil der digitalen Forensik. Sie erstreckt sich dabei auf alle Geräte, die Daten verarbeiten und speichern, also nicht nur auf PC, Server und Laptops, sondern auch auf Mobiltelefone und Smartphones, ja sogar auf Navigationssysteme und Satelliten-Empfangsgeräte. Deshalb greift wohl auch die Verwendung des Begriffs Computer-Forensik zunehmend zu kurz, da diese zu sehr an einzelne PC denken lässt.

Zudem kann die IT-Forensik als Teil des Notfall- und IT-Service- sowie Risikomanagements verstanden werden und umfasst dann auch Methoden zur Vorfallsbearbeitung, besser bekannt unter dem englischen Begriff «Incident Response». Experten verwenden denn auch gern die Abkürzung DFIR (Digital Forensics and Incident Response). Das Konzept ist schliesslich auch die Grundlage für die IT-Forensik-Definition, die das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem «Leitfaden IT-Forensik» (vgl. Kasten zu den «Ressourcen») verwenden. Sie lautet: «IT-Forensik ist die streng methodisch vorgenommene Datenanalyse auf Datenträgern und in Computernetzen zur Aufklärung von Vorfällen unter Einbeziehung der Möglichkeiten der strategischen Vorbereitung insbesondere aus der Sicht des Anlagenbetreibers eines IT-Systems».

Ein weiterer Aspekt, respektive ein wesentliches Element der digitalen Forensik ist zudem die Gerichtsfestigkeit der gesammelten und dokumentierten digitalen Beweismittel. Gerade vor diesem Hintergrund ist die Kopplung von IT-Forensik und Incident Response denn auch für Tobias Ellenberger logisch und in der Praxis sehr sinnvoll. Er ist Chief Operating Officer von Oneconsult, einem in Thalwil beheimateten IT-Security-Spezialisten, der sich unter anderem auf Penetration-Testing Incident Response und IT-Forensik spezialisiert hat. Denn gemäss Ellenberger ist bei einem Vorfall zu Beginn in der sogenannten «Chaos-Phase» oft nicht entscheidbar, ob es zu einer Anklage kommen wird. «Es kann sich oft erst später bei der Untersuchung eines Angriffs herausstellen, was genau geschehen ist. Dass beispielsweise ein Konkurrent Geistiges Eigentum entwendet hat, und man sich dann erst entscheidet, gerichtlich gegen den Mitbewerber vorzugehen», berichtet er. «In diesem Fall ist es wichtig, dass alle gesammelten Beweise vor Gericht verwertbar sind», so Ellenberger.