Remote Control System (RCS) “Galileo” – Neuer Staatstrojaner für Handy’s

Sicherheitsspezialist Kaspersky warnt vor einem neuen Smartphone-(Staats-)Trojaner mit dem Namen "Galileo", der von Geheimdiensten und Strafverfolgungsbehörden eingesetzt wird. Die Spionagesoftware lässt sich auf iPhones (mit Jailbreak) und Android-Handys sowie WindowsMobile und Blackberry gleichermassen einsetzen.

Der Staatstrojaner wird den Berichten von Kaspersky zufolge von Ländern in der ganzen Welt verwendet und wurde in der Vergangenheit bereits gegen  Menschenrechtler, Politiker und Journalisten eingesetzt. Der Betrieb erfolgt über ein Netzwerk weltweit verteilter Kommandoserver in den USA, Kasachstan, Ecuador, England und Kanada. Insgesamt sollen es mehrere hundert Server in über 40 Ländern sein.

 

Er ermöglicht die Ortung des Handys, kann Fotos aufnehmen und versendet Informationen über die im Handy genutzte SIM- Karte. "Galileo" kann die gesamte Kommunikation (WhatsApp, Viber, Skype und SMS), die über ein Smartphone läuft, abfangen, und das Gerät sogar zur mobilen Wanze machen. Ja sogar Telefonate kann die RCS des Herstellers ”HackingTeam” abhören.

 

Heise bezeichnet den Funktionsumfang als “erschreckend”. Eine informative Grafik von Spiegel Online zeigt, welche Staaten Software des Herstellers HackingTeam und damit möglicherweise auch das Tool einsetzen.

Datenschutz – IT/Forensik – Compliance: ein magisches Dreieck?

In der Fortbildungsreihe Update! – Bundesdatenschutzgesetz findet am 23.09.2013, 09:00-17:00 Uhr, eine Fachtagung im Dorint Pallas Hotel in Wiesbaden statt.

Datenklau, Sabotage, Spionage: alles Horrorvisionen für Unternehmen,die gerade in ihrer IT verwundbar sind. Doch was tun, um im Rahmen der Vorsorge oder bei ersten Anzeichen von Pannen schnell und richtig zu reagieren? Gefragt sind hier auch Datenschutzbeauftragte, IT-Forensiker und Compliance-Beauftragte. Die Tagung dient dazu, deren Möglichkeiten und Zusammenspiel auf der Basis neuester technischer Erkenntnisse und datenschutzrechtlicher Grenzen zu beleuchten. Top-Referenten zeigen praktische Lösungen auf.

Die Tagung wird durchgeführt in Kooperation mit dem Bundesverband mittelständischer Wirtschaft e.V..

 

Interessierte finden weitere Informationen auf der Homepage des Veranstalters. Die Tagung kann nach Auskunft des Veranstalters  nach § 15 FAO für Fachanwälte Informationstechnologierecht und Fachanwälte Strafrecht anerkannt werden.

SMS Absender – Fälschung kein Problem beim iPhone

Kürzlich wurde eine Sicherheitslücke im SMS-Protokoll von iOS bekannt, wonach die Angabe einer gefälschten Absenderkennung beim iPhone problemlos möglich ist.

Wie ein Hacker herausgefunden hat, ist es möglich, den Header einer SMS derart zu manipulieren, dass dort statt der eigentlichen Absenderadresse (also der Rufnummer) eine beliebige Antwortadresse eingetragen werden kann. Antwortet der Empfänger der SMS-Nachricht auf die SMS, so geht die Antwort an den gefälschten Absender.

Sicherheitstechnisch ist dies bereits deswegen bedenklich, da so beispielsweise Identitätstäuschungen dazu verwendet werden können, arglose Benutzer zur Übersendung vertraulicher Daten an Kriminelle zu veranlassen.

Die Möglichkeit der Manipulation des SMS-Headers besteht bei allen iOS-Versionen, sie ist sogar noch in einer aktuellen Beta-Version von iOS 6 vorhanden. Apple hat diesbezüglich verlauten lassen es handele sich nicht um ein Problem unmittelbar beim iPhone, sondern des SMS-Protokolls insgesamt. Die sichtbare Absenderadresse auszutauschen sei auch bei vielen Smartphones anderer Hersteller möglich. Von daher verweist Apple auf den eigenen iMessage-Dienst, da bei diesem derartige Attacken unmöglich seien. Dies wird damit begründet, dass iMessage über eine integrierte Verifizierungsfunktion verfüge, die den Absender einer Nachricht zweifelsfrei identifiziere.

 

Apple hat insofern Recht, als dass es auch bisher schon problemlos möglich war, über SMS-Dienste im Internet SMS mit einer gefälschten Absenderrufnummer zu erstellen und zu versenden. So kann man auf dem Internetportal www.fakemysms.com entsprechende Nachrichten erstellen. Wie (kinder)leicht das geht, zeigt dieses YouTube-Video:

Vier Augen sehen mehr als zwei – Beweissicherung im Rahmen computerforensischer Ermittlungen

Das “Vier-Augen-Prinzip”

 

Das “Vier-Augen-Prinzip” (engl. “two-man-rule) in der IT-Forensik ist nichts anderes als eine Form des althergebrachten Mehraugenprinzips, welches in allen Bereichen einer Gesellschaft der Kontrolle und Absicherung von Entscheidungen oder Tätigkeiten dient. Ziel solcher Maßnahmen ist immer, das Risiko von Fehlern und auch von Mißbrauch eingeräumter Kompetenzen zu vermeiden.

 

In der IT-Forensik, also beim Auswerten von digitalen Beweisen, ist das “Vier-Augen-Prinzip” ein wichtiger Bestandteil jeder Ermittlunsmaßnahme. So schreibt auch das BSI in seinen IT-Grundschutz-Katalogen an mehrere Stellen die Vorgehensweise im Vier-Augen-Prinzip vor. Insbesonders im Maßnahmenkatalog M 6 “Notfallvorsorge” ist hinsichtlich einer computer- oder auch digital-forensischen Ermittlung geregelt, dass besonders in der Secure-Phase des SAP-Modells, also im Rahmen der Beweissicherung, wie folgt vorgegangen wird:

 

 

In dieser Phase wird durch geeignete Methoden der Grundstein gelegt, dass die gesammelten Informationen in einer eventuell späteren juristischen Würdigung ihre Beweiskraft nicht verlieren. Auch wenn in dieser sehr frühen Ermittlungsphase oft noch nicht richtig klar ist, ob eine juristische Klärung angestrebt wird, sollte trotzdem das Beweismaterial gerichtsfest sein. Aus diesem Grund müssen alle Tätigkeiten sorgfältig dokumentiert und protokolliert werden. Die gesammelten Daten müssen auch frühzeitig vor versehentlicher oder gar beabsichtigter Manipulation geschützt werden. Von entsprechenden Hash-Verfahren und dem Vier-Augen-Prinzip ist daher ausgiebig Gebrauch zu machen.

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m06/m06126.htmlhttps://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/m/m06/m06126.html

Ähnlich wie bei der Chain-of-Custody dient das Vier-Augen-Prinzip in der IT-Forensik der Qualitätssicherung der erhobenen Beweise. Wie bei der Chain-of-Custody ist jedoch auch hier im deutschen Strafprozess das Problem, dass die freie Beweiswürdigung (§ 261 StPO) des Richters diesem (leider) nicht verbietet, auch solche digitalforensischen Beweise in einem Strafprozeß zu verwerten, die nicht unter Einhaltung des Vier-Augen-Prinzips zustande gekommen sind.

 

Die Grundproblematik, nämlich dass sich deutsche Gerichte keine Beweisregeln aufzwängen lassen wollen, wird besonders deutlich in einer aktuellen Entscheidung zum Verkehrsrecht, die das OLG Hamm (Beschl. v. 19.07.2012 – III 3 RBs 66/12) getroffen hat. Dort heisst es:

 

… Auch in materiell-rechtlicher Hinsicht existiert keine Regelung, die ein „Vier-Augen-Prinzip“ in dem von der Verteidigung geforderten Sinne beinhaltet. Eine entspre­chende materiellrechtliche Regelung käme einer Vorgabe gleich, unter welchen   Vo­raussetzungen der Tatrichter eine Tatsache (hier die Höhe des von dem Messgerät angezeigten Messwertes) für bewiesen halten darf, und enthielte damit eine Beweis­regel. Dem Grundsatz der freien Beweiswürdigung sind Beweisregeln indessen fremd (Meyer-Goßner, StPO, 54. Aufl. [2011], § 261 Rdnr. 11 m. w. N.). Die Frage, welchen Messwert das Messgerät angezeigt hat, betrifft vielmehr allein die tatrichter­liche Beweiswürdigung im Einzelfall …

 

Kritik erfährt diese Entscheidung – unter dem Gesichtspunkt der Lasermessung im Straßenverkehr – auch bei den Kollegen Burhoff und Vetter. Insbesonders die Kommentare beim Kollegen Vetter beweisen, dass das Fehlen von Beweisregeln im deutschen Strafprozeß bei den Bürgern dieses Landes auf völliges Unverständnis stößt.

“Chain-of Custody-(CoC) – Was ist das?

Im Bereich der forensischen Wissenschaften stolpert man immer wieder über den Begriff der “Chain of Custody”. Auch im Rahmen der EDV-Beweissicherung/IT-Forensik wird dieser Begriff immer wieder verwendet.

 

Diesbezüglich ist zunächst festzuhalten, dass der Begriff aus dem anglo-amerikanischen Rechtssystem stammt. Chain of Custody bedeutet in etwa “Kette des Gewahrsams” oder “Gewahrsamskette”. Gemeint ist also die Präsentation der einzelnen Beweismittel gegenüber dem Gericht in der Weise, dass die Authentizität (also Echtheit im Sinne von “als Original befunden”) des übermittelten Beweismaterials für das Gericht plausibel wird. Mit anderen Worten, die CoC soll sicherstellen, dass dem Gericht nur der “originale” Beweis präsentiert wird und keinerlei Verfälschung stattgefunden hat in dem z.B. echte Beweismittel “gepflanzt” worden sind oder sogar falsche Beweismittel geschaffen worden sind.

 

Der Gedanke und der dahinter stehende Vorgang ist eigentlich simpel. Die Chain of Custody setzt voraus, dass von dem Zeitpunkt an, in dem ein Beweisstück sichergestellt wird, jede weitere Übermittlung des Beweisstücks von Mensch zu Mensch dokumentiert werden muss. Es muss beweisbar sein, dass niemand (unberechtigt oder auch nur unbemerkt) auf das Beweismittel zugegriffen haben kann und Manipulationen vorgenommen haben könnte.

 

Jede Transaktion, beginnend mit der Sicherstellung der Beweisstücke bis zur endgültigen Vorlage im Gerichtssaal vor Gericht, sollte vollständig und chronologisch dokumentiert werden. Gleichzeitig sollten die Bedingungen und genauen Orte unter denen das Beweismittel gefunden wurde, eingesammelt wurde, verpackt wurde, transportiert, gelagert und eventuell untersucht wurde, dokumentiert werden. Jede Übergabe des Beweismittels an eine andere Person (z.B. PHK A >> KHK B >> Asservatenstelle Polizei >> Asservatenstelle StA >> StA X >> Gerichtswachtmeister Y) muss zudem mit einem Übergapeprotokoll dokumentiert werden, welches von den beteiligten Personen zu unterschreiben ist.

 

Das anglo-amerikanische Recht legt sehr viel Wert auf die Chain-of-Custody. Kann die Gewahrsamskette nicht lückenlos dargelegt werden, weil z.B. Unterschriften auf den Übergabeformularen fehlen oder fehlen solche Protokolle insgesamt, so kann die Verteidigung die Nicht-Zulassung des Beweismittels beantragen.

 

Das deutsche Recht kennt derart strikte Beweisregeln (leider) nicht. Obwohl auch die deutschen Strafverfolgungsbehörden Übergabeprotokolle ausfüllen, wenn Asservate – also Beweismaterial – übergeben werden, so wird der Dokumentation der Chain-of-Custody nur wenig Aufmerksamkeit geschenkt. Regelmäßig fehlen Unterschriften auf den Übergabeprotokollen, die Bezeichnung der Gegenstände ist oft ungenau oder pauschal.   Dieser Umstand ist überaus bedauerlich, da in der Praxis Gerichte die Möglichkeit einer – bewussten oder unbewussten – Beweismittelverfälschung regelmäßig überhaupt nicht in Betracht ziehen. Und selbst wenn die Verteidigung Möglichkeiten einer Verfälschung aufzeigt,  beeindruckt dies die Gerichte im Regelfall nicht. Auch wenn die Gewahrsamskette Lücken aufweist, so kann sich das Gericht im Rahmen freier Beweiswürdigung (§ 261 StPO) dennoch davon überzeugen, dass das Beweismittel authentisch ist, oft mit dem Bemerken, die Verteidigung habe wohl zuviel Fernsehen geschaut oder leide unter paranoiden Vorstellungen. Das Vertrauen der Gerichte in die Ermittlungsbehörden scheint dabei oft grenzenlos. Auch wenn ein Beamter ein paar Unterschriften vergessen hat, wird die Beweissicherung doch schon in Ordnung gewesen sein, schließlich ist der Mann doch Polizeibeamter …

 

Dabei wird natürlich übersehen, dass die Verteidigung selten mehr als die Möglichkeit einer Verfälschung der Beweismittel aufzeigen kann. Zugleich wird der Verteidigung – und damit letztlich dem Angeklagten – auferlegt, den Nachweis für eine Manipulation oder Verfälschung  zu erbringen. Dieser Zustand ist mit dem Verständis eines Rechtsstaates nicht in Einklang zu bringen! Denn wenn eine Möglichkeit der Beweismittelverfälschung – mag sie auch noch so fernliegend sein – überhaupt erst durch unsaubere Dokumentation auf Seite der Ermittlungsbehörden geschaffen wird, dann ist de lege ferenda in solchen Fällen ein (unselbständiges) Beweisverwertungsverbot zu konstituieren. Erst wenn dies der Fall ist, wird Schlamperei der Ermittlungsbehörden wirksam vorgebeugt, das Beweisverwertungsverbot würde gleichzeitig, unmittelbar und wirksam der Qualitätssicherung der Arbeit der Ermittlungsbehörden dienen.

 

Dass eine Qualitätssicherung angebracht ist, da auch Polizeibeamte und Staatsanwälte nicht unfehlbar sind, wird nicht zuletzt an einem pressewirksamen Beispiel in einem der wohl spektakulärsten ungeklärten Mordfälle in der Geschichte der Bundesrepublik deutlich. So titelten die Lübecker Nachrichten am 7.10.2011:

 

Der Umgang der Lübecker Staatsanwaltschaft mit Beweisstücken im Barschel-Fall weitet sich zum Justiz-Skandal aus. Erst ging es nur um ein verschwundenes Haar. Gestern wurde bekannt, dass der Barschel-Chefermittler und ehemalige Leiter der Lübecker Staatsanwaltschaft, Heinrich Wille, eines der Beweisstücke einfach mit zu sich nach Hause genommen hat.

 

http://www.ln-online.de/lokales/luebeck/3256264

Mobile Forensics – Forensik an mobilen Endgeräten

Smartphones, Oganizer und Handys haben rasanten Einzug in unseren Alltag gefunden. Angesichts der Vielzahl von persönlichen Daten des Benutzers, die auf solchen Geräten zu finden sind, wurden diese Geräte für Ermittler im Strafverfahren zu einem äußerst begehrten Beweismittel. „Kennst du sein Smartphone, kennst du den Menschen“ ist eine sicherlich plakative Formulierung mancher Ermittler, schlussendlich jedoch zutreffend.

Mobile Endgeräte wie Handy, Smartphones, iPhone, iPad etc. werden zunächst beschlagnahmt wie sonstige bewegliche Sachen und Gegenstände auch, nach den §§ 94 ff. StPO. Anschließend können diese Gegenstände von IT-Forensikern untersucht werden.

 

Live-Analyse

Zunächst kann der Forensiker ein Gerät, welches noch eingeschaltet ist, im Betrieb durchsehen. Bereits darüber erhält er einen weitgehenden Einblick in Nutzerdaten, z.B. in das Telefonbuch, die Liste der letzten Anrufe, SMS, E-Mails etc. Zudem ermöglicht dieser Zustand des Gerätes den Ermittlern, auch flüchtige Daten (also solche Daten, welche nach Ausschalten des Gerätes gelöscht werden) zu sichern. Da dies ein sehr aufwändiges Verfahren ist und je nach mobilem Endgerät andere Schritte und Techniken erforderlich sind, wird es in der Praxis selten angewandt, nicht zuletzt auch, weil der Zugriff auf das laufende Gerät vom Verdächtigen oft in letzter Minute verhindert wird.

 

Post-mortem-Analyse (Untersuchung eines Speicherabbildes)

Sofern das sichergestellte Endgerät ausgeschaltet ist, kann immer noch der Speicherinhalt untersucht werden. Dabei unterscheidet sich die Untersuchung von mobilen Endgeräten kaum von der Untersuchung von Computerfestplatten.

Zunächst wird ein Speicherabbild erstellt. Dies kann im Vergleich zu normalen Computerfestplatten technisch etwas „kniffliger“ sein. Aufgrund herstellerabhängiger – zumeist proprietärer – Schnittstellen ist zum Teil nur ein logischer Zugriff auf den Handyspeicher möglich. Im Gegensatz dazu werden Festplatten im Regelfall physikalisch abgebildet (d.h. auf der Ebene der einzelnen Bit-Information).

Sobald ein Speicherabbild erstellt wurde, kann dieses vom Forensiker untersucht werden. Bei der Erstellung des Speicherabbildes sind selbstverständlich die allgemeinen Richtlinien und Sorgfaltspflichten im Rahmen der Sicherung von digitialen Beweisen einzuhalten, insbesondere das 4-Augen-Prinzip, die „Chain-of-Custody“ sowie generell die Integrität der gesicherten Daten.

Das einmal erstellte Speicherabbild kann in der Folge beliebig oft als Arbeitskopie vervielfältigt werden, um als Grundlage für diverse Untersuchungen zu dienen. In diesem Stadium läuft der Prozess von Endgerät zu Endgerät äußerst verschieden ab, was an den unterschiedlichen Betriebssystemen (iOS, Android, Symbian, Windows Mobile etc.) sowie an den unterschiedlichen systeminternen Sicherungsmechanismen liegt.

Die größte Herausforderung bei der Untersuchung von mobilen Endgeräten durch den IT-Forensiker liegt sicherlich in der Datenflut, die auch immer weiter zunimmt. Aktuelle Smartphones haben in der Regel Datenspeicher von 16, 32 oder 64 GB. Zum Teil liegen diese Werte noch höher. In der Praxis werden daher in aktuellen Strafverfahren auf Mobiltelefonen Datenmengen sichergestellt, die noch vor wenigen Jahren nicht einmal auf ganzen Festplatten von PCs zu finden waren.  Verfahrensrelevante Daten von nichtrelevanten Daten zu unterscheiden und zu trennen ist damit – wie in allen Bereichen der IT-Forensik – eine der größten Herausforderungen für den Computerforensiker.

Forensik-Distribution DEFT

Im Rahmen der EDV-Beweissicherung werden viele unterschiedliche Werkzeuge eingesetzt, je nach dem Ziel der vorzunehmenden Beweissicherung. Dazu sind oft eine Vielzahl unterschiedlicher Computerprogramme (Tools) erforderlich, die häufig in Tool-Sammlungen (z.B. WindowsForensicToolchest) zusammen gefasst werden, um dem IT-Forensiker die Arbeit zu erleichtern. Solche Tool-Sammlungen werden auch gerne als “Forensic Suite” oder Arbeitumgebung bezeichnet, bestes Beispiel ist die Software X-Ways Forensics der Firma X-Ways Software Technology AG, welche fast flächendeckend von deutschen Strafverfolgungsbehörden eingesetz wird.

 

Allerdings ist der IT-Forensiker nicht auf kommerzielle Software angewiesen, deren Anschaffung zum Teil mit erheblichen Kosten verbunden ist. Es gibt eine Vielzahl frei erhältlicher Forensic Suites, die neben der EDV-Beweissicherung auch zu anderen Zwecken, wie insbesondere Datenrettung und Sicherheitsanalysen (penetration testing) genutzt werden. Eine gute Übersicht findet sich z.B. hier. Zum Teil basieren diese Forensic Suites auf LINUX als quelloffenem Betriebssystem. Bekanntestes Beispiel dürfte in diesem Zusammenhang die Security-Distribution BackTrack Linux sein.

 

Eine interessante Alternative ist die erst Anfang des Jahres in neuer Version 7.1 erschienene italienische Distribution DEFT Linux,  basierend auf Lubuntu.  DEFT Linux 7.1 ist in Form einer Live-DVD erhältlich und verwendet den Kernel 3.0.0-1, womit auch neueste Hardware und insbesondere Dateisysteme zuverlässig unterstützt werden. Daher kann diese Distribution auf fast allen aktuellen Laptops und Desktop-PCs eingesetzt werden. Nach Angaben der Entwickler wurden insbesondere umfangreiche Tests mit Lenovo Laptops sowie aktueller Hardware von Acer, ASUS, Apple, DELL, IBM.

 

Die Distribution bringt eine große Zahl an Analysewerkzeugen mit. Neben den verbreiteten Linux-Tools werden als Besonderheit jedoch auch zahlreiche Windows-Tools mitgeliefert. Diese werden per WINE-Emulator ausgeführt.  Die Distribution wendet sich nach Herstellerangaben neben Privatanwendern insbesondere an professionelle Nutzer wie Militär, Polizei und andere staatliche Organisationen. Unter anderem nutzt auch die italienische Anti-Mafia-Behörde, die DIA (Direzione Investigativa Antimafia) DEFT Linux.

Professionelle Cyberkriminelle – Trojaner-Programmierer entwickeln eigene Programmiersprache

Die Programmierer des Duqu-Trojaners haben nach Angaben von Experten von Kaspersky Lab Teile des schädlichen Codes in einer bislang unbekannten Programmiersprache verfasst. Die gleichen Programmierer haben im Übrigen den Stuxnet-Wurm programmiert.

Die Analysen des Anti-Viren-Herstellers Kaspersky haben ergeben, dass die Sprache objektorientiert ist und insbesondere im Bereich der Netzwerkbefehle mit einem eigenen Befehlszeichensatz arbeitet. Nach Angaben der Analysten nannte sich der Teil des Trojaners, der in der bislang unbekannten Programmiersprache abgefasst ist, „Duqu-Framework“.

Laut Chief Security Expert Alexander Gostev zeigt die gesamte Vorgehensweise, wie professionell die Entwickler bei der Programmierung des Duqu-Trojaners vorgegangen sind. Dazu müssen erhebliche technische und auch finanzielle Ressourcen für das Projekt zur Verfügung gestanden haben.

Dies zeigt deutlich, dass Internet-Kriminelle immer professioneller vorgehen. Angesichts des erheblichen Finanzbedarfs, den solche Projekte mit sich bringen, ist zudem davon auszugehen, dass organisierte Strukturen als Auftraggeber hinter solchen Aktivitäten stehen.

Der Duqu-Trojaner wurde erstmals im September 2011 entdeckt. Die Analyse des Programmcodes ergab jetzt jedoch, dass das Stuxnet-Projekt in direkten Zusammenhang mit diesem Trojaner steht.

Duqu war insbesondere bei Angriffen auf industrielle Kontrollsysteme aufgefallen, wurde also im Rahmen von Industriespionage eingesetzt. Populärstes Ziel waren dabei Atomkraftwerke im Iran.

ComputerStrafrechtBLOG jetzt auch bei JuraBlogs!

Seit letzten Samstag, den 18.02.2011, ist dieses Blog auch bei den JuraBlogs gelistet. Das freut mich sehr und hoffe, dass sich darüber neue Leser dieses Blogs einfinden, die Interesse am Computerstrafrecht, Datenschutz und IT-Forensik haben.

In den letzten Wochen war es hier auf dem Blog serh ruhig, was sicherlich zum einen an der beschaulichen Stimmung zum Jahreswechsel gelegen hat, aber auch daran, dass ich auf meinem anderen Blog STRAF!Verteidiger etwas aktiver war. Besetzungsrügen am BGH, soviel sei gesagt. Wer Kollege ist, und sich interessiert, der darf sich das andere Blog gerne mal ansehen. Dort finden sich diverse Themen, die einen Strafverteidiger in seinem Alltag beschäftigen. Alles was Computerstrafrecht im weiteren Seinne ist, also alles was mit neuen Medien, Datenbeschlagnahme, IT-Forensik etc. zu tun hat, steht (auch in Zukunft) hier.

Danke an die JuraBlogs für die Aufnahme, ich denke, dies verschafft mir die nötige Motivation, in den nächsten Wochen und Monaten hier einiges an neuem Content zu bloggen!

 

P.S.: Wer den Newsfeed sucht, linke Spalte, ganz unten im Kasten „Meta“…

Live Response und Post-Mortem-Analyse

Unterschiedliche Analysemethoden
In der IT-Forensik geht es um die Sicherung und Auswertung digitaler Spuren. Dabei werden zwei grundlegend verschiedene Ansätze bei der Untersuchung von Computersystemen unterschieden. Die sog. Live-Response und die Post-Mortem-Analyse. Die Post-Mortem-Analyse ist im Bereich strafrechtlicher Ermittlungsverfahren die Regel. Es geht dabei um die Auswertung von Datenträgern ausgeschalteter IT-Systeme. Viele Daten kann man aber nur im laufenden IT-System wahrnehmen, bzw. nur zur Laufzeit sind diese dort vorhanden. Solche Spuren kann man in folgende Kategorien Einteilen:

Flüchtige Daten: Informationen, die beim geordneten Herunterfahren oder Ausschalten des IT-Systems verloren gehen könnten (Inhalt von Cache und Hauptspeicher, Status der Netzverbindungen, laufende Prozesse, angemeldete Benutzer etc.)

Fragile Daten: Informationen, die zwar auf der Festplatte des IT-Systems gespeichert sind, deren Zustand sich aber beim unsachgemäßen Zugriff ändern kann.

Temporär zugängliche Daten: Informationen, die sich auf der Festplatte befinden, aber nur zu bestimmten Zeitpunkten zugänglich sind, z. B. während der Laufzeit einer Anwendung oder Nutzung einer bestimmten Anwendungsfunktionalität.
BSI Maßnahmenkatalog M 6.126

Temporär zugängliche Daten kann der IT-Forensiker oft durch schlichte Inbetriebnahme einer Kopie des sichergestellten Systems untersuchen. Bei fragilen Daten kann aber bereits diese Maßnahme zu deren Veränderung oder Vernichtung führen. Flüchtige Daten sind beim ausschalten des Systems unwiederbringlich verloren.

Wann immer möglich sollte daher bei laufenden Systemen eine Live-Response-Analyse erfolgen, um die flüchtigen Daten zu sichern und die fragilen nicht unbrauchbar zu machen. Dabei gibt es aber ein grundlegendes methodisches Problem:

Eines der Hauptprobleme bei der Live Response Analyse ist allerdings, dass die Reihenfolge der Sicherung der flüchtigen Daten nicht immer zweifelsfrei festgelegt werden kann, da jede Tätigkeit am verdächtigen System auch das verdächtige System selbst verändert. So tauchen beispielsweise bei der Sicherung der Liste der gerade auf dem verdächtigen IT-System laufenden Prozesse auch die für den Sicherungsvorgang verwendeten Befehle auf. Bei unsachgemäßem Tooleinsatz besteht auch die Gefahr, dass weitere Daten zerstört werden bzw. relevante Informationen durch auf dem System installierte Rootkits verschleiert werden können.BSI Maßnahmenkatalog M 6.126

Bei der späteren Verwendung im Rahmen einer Live-Response-Analyse gewonnener Daten sind diese Möglichkeiten der Veränderung der Daten durch die forensische Untersuchung stets im Auge zu behalten und kritisch zu hinterfragen. Kritiker fordern für auf diese Weise gewonnene Daten wegen des methodischen Problems sogar ein Beweisverwertungsverbot, da die Integrität der Daten praktisch nicht mehr gewährleistet ist.

Das ist deswegen ein Problem, weil die erste Untersuchung der Daten bereits deren Veränderung bewirkt. Das wäre kein Problem, wenn es eine nicht-kompromittierte Version der Daten gäbe. Denn eine Zerstörung von Beweismaterial durch sachverständige Untersuchung ist nichts ungewöhnliches, man denke an die gaschromatographische Untersuchung von Betäubungsmitteln zur Bestimmung des Wirkstoffgehalts oder die Zerstörung von Zellmaterial zur Durchführung einer DNA-Analyse. Bei diesen Untersuchungen bleibt aber immer ein Rest des ursprünglichen Spurenmaterials erhalten, damit ggf. ein weiterer Sachverständiger die Analyse wiederholen kann, um die Qualität und Richtigkeit der Arbeit des ersten Sachverständigen zu überprüfen.

Ein (weiterer) Sachverständiger hat im Falle eine Live-Response-Analyse methodisch bedingt nicht mehr das gleiche – unverfälschte – Beweismaterial zur Verfügung. Eine Kontrolle durch einen anderen Sachverständigen kann daher nur dann erfolgen, wenn eine minutiöse Dokumentation der Live-Response-Analyse durch den die Beweise sichernden Sachverständigen erfolgt. Fehlt eine solche Dokumentation, hat ein solcher Beweis vor Gericht nichts zu suchen!