Unterschiedliche Analysemethoden
In der IT-Forensik geht es um die Sicherung und Auswertung digitaler Spuren. Dabei werden zwei grundlegend verschiedene Ansätze bei der Untersuchung von Computersystemen unterschieden. Die sog. Live-Response und die Post-Mortem-Analyse. Die Post-Mortem-Analyse ist im Bereich strafrechtlicher Ermittlungsverfahren die Regel. Es geht dabei um die Auswertung von Datenträgern ausgeschalteter IT-Systeme. Viele Daten kann man aber nur im laufenden IT-System wahrnehmen, bzw. nur zur Laufzeit sind diese dort vorhanden. Solche Spuren kann man in folgende Kategorien Einteilen:
Flüchtige Daten: Informationen, die beim geordneten Herunterfahren oder Ausschalten des IT-Systems verloren gehen könnten (Inhalt von Cache und Hauptspeicher, Status der Netzverbindungen, laufende Prozesse, angemeldete Benutzer etc.)
Fragile Daten: Informationen, die zwar auf der Festplatte des IT-Systems gespeichert sind, deren Zustand sich aber beim unsachgemäßen Zugriff ändern kann.
Temporär zugängliche Daten: Informationen, die sich auf der Festplatte befinden, aber nur zu bestimmten Zeitpunkten zugänglich sind, z. B. während der Laufzeit einer Anwendung oder Nutzung einer bestimmten Anwendungsfunktionalität.
BSI Maßnahmenkatalog M 6.126
Temporär zugängliche Daten kann der IT-Forensiker oft durch schlichte Inbetriebnahme einer Kopie des sichergestellten Systems untersuchen. Bei fragilen Daten kann aber bereits diese Maßnahme zu deren Veränderung oder Vernichtung führen. Flüchtige Daten sind beim ausschalten des Systems unwiederbringlich verloren.
Wann immer möglich sollte daher bei laufenden Systemen eine Live-Response-Analyse erfolgen, um die flüchtigen Daten zu sichern und die fragilen nicht unbrauchbar zu machen. Dabei gibt es aber ein grundlegendes methodisches Problem:
Eines der Hauptprobleme bei der Live Response Analyse ist allerdings, dass die Reihenfolge der Sicherung der flüchtigen Daten nicht immer zweifelsfrei festgelegt werden kann, da jede Tätigkeit am verdächtigen System auch das verdächtige System selbst verändert. So tauchen beispielsweise bei der Sicherung der Liste der gerade auf dem verdächtigen IT-System laufenden Prozesse auch die für den Sicherungsvorgang verwendeten Befehle auf. Bei unsachgemäßem Tooleinsatz besteht auch die Gefahr, dass weitere Daten zerstört werden bzw. relevante Informationen durch auf dem System installierte Rootkits verschleiert werden können.BSI Maßnahmenkatalog M 6.126
Bei der späteren Verwendung im Rahmen einer Live-Response-Analyse gewonnener Daten sind diese Möglichkeiten der Veränderung der Daten durch die forensische Untersuchung stets im Auge zu behalten und kritisch zu hinterfragen. Kritiker fordern für auf diese Weise gewonnene Daten wegen des methodischen Problems sogar ein Beweisverwertungsverbot, da die Integrität der Daten praktisch nicht mehr gewährleistet ist.
Das ist deswegen ein Problem, weil die erste Untersuchung der Daten bereits deren Veränderung bewirkt. Das wäre kein Problem, wenn es eine nicht-kompromittierte Version der Daten gäbe. Denn eine Zerstörung von Beweismaterial durch sachverständige Untersuchung ist nichts ungewöhnliches, man denke an die gaschromatographische Untersuchung von Betäubungsmitteln zur Bestimmung des Wirkstoffgehalts oder die Zerstörung von Zellmaterial zur Durchführung einer DNA-Analyse. Bei diesen Untersuchungen bleibt aber immer ein Rest des ursprünglichen Spurenmaterials erhalten, damit ggf. ein weiterer Sachverständiger die Analyse wiederholen kann, um die Qualität und Richtigkeit der Arbeit des ersten Sachverständigen zu überprüfen.
Ein (weiterer) Sachverständiger hat im Falle eine Live-Response-Analyse methodisch bedingt nicht mehr das gleiche – unverfälschte – Beweismaterial zur Verfügung. Eine Kontrolle durch einen anderen Sachverständigen kann daher nur dann erfolgen, wenn eine minutiöse Dokumentation der Live-Response-Analyse durch den die Beweise sichernden Sachverständigen erfolgt. Fehlt eine solche Dokumentation, hat ein solcher Beweis vor Gericht nichts zu suchen!