RA Koll @Twitter

Artikel-Schlagworte: „Untersuchungsmethoden“

Live Response und Post-Mortem-Analyse

Unterschiedliche Analysemethoden In der IT-Forensik geht es um die Sicherung und Auswertung digitaler Spuren. Dabei werden zwei grundlegend verschiedene AnsÀtze bei der Untersuchung von Computersystemen unterschieden. Die sog. Live-Response und die Post-Mortem-Analyse. Die Post-Mortem-Analyse ist im Bereich strafrechtlicher Ermittlungsverfahren die Regel. Es geht dabei um die Auswertung von DatentrÀgern ausgeschalteter IT-Systeme. Viele Daten kann man aber nur im laufenden IT-System wahrnehmen, bzw. nur zur Laufzeit sind diese dort vorhanden. Solche Spuren kann man in folgende Kategorien Einteilen:

FlĂŒchtige Daten: Informationen, die beim geordneten Herunterfahren oder Ausschalten des IT-Systems verloren gehen könnten (Inhalt von Cache und Hauptspeicher, Status der Netzverbindungen, laufende Prozesse, angemeldete Benutzer etc.)

Fragile Daten: Informationen, die zwar auf der Festplatte des IT-Systems gespeichert sind, deren Zustand sich aber beim unsachgemĂ€ĂŸen Zugriff Ă€ndern kann.

TemporĂ€r zugĂ€ngliche Daten: Informationen, die sich auf der Festplatte befinden, aber nur zu bestimmten Zeitpunkten zugĂ€nglich sind, z. B. wĂ€hrend der Laufzeit einer Anwendung oder Nutzung einer bestimmten AnwendungsfunktionalitĂ€t. BSI Maßnahmenkatalog M 6.126

TemporĂ€r zugĂ€ngliche Daten kann der IT-Forensiker oft durch schlichte Inbetriebnahme einer Kopie des sichergestellten Systems untersuchen. Bei fragilen Daten kann aber bereits diese Maßnahme zu deren VerĂ€nderung oder Vernichtung fĂŒhren. FlĂŒchtige Daten sind beim ausschalten des Systems unwiederbringlich verloren.

Wann immer möglich sollte daher bei laufenden Systemen eine Live-Response-Analyse erfolgen, um die flĂŒchtigen Daten zu sichern und die fragilen nicht unbrauchbar zu machen. Dabei gibt es aber ein grundlegendes methodisches Problem:

Eines der Hauptprobleme bei der Live Response Analyse ist allerdings, dass die Reihenfolge der Sicherung der flĂŒchtigen Daten nicht immer zweifelsfrei festgelegt werden kann, da jede TĂ€tigkeit am verdĂ€chtigen System auch das verdĂ€chtige System selbst verĂ€ndert. So tauchen beispielsweise bei der Sicherung der Liste der gerade auf dem verdĂ€chtigen IT-System laufenden Prozesse auch die fĂŒr den Sicherungsvorgang verwendeten Befehle auf. Bei unsachgemĂ€ĂŸem Tooleinsatz besteht auch die Gefahr, dass weitere Daten zerstört werden bzw. relevante Informationen durch auf dem System installierte Rootkits verschleiert werden können.BSI Maßnahmenkatalog M 6.126

Bei der spĂ€teren Verwendung im Rahmen einer Live-Response-Analyse gewonnener Daten sind diese Möglichkeiten der VerĂ€nderung der Daten durch die forensische Untersuchung stets im Auge zu behalten und kritisch zu hinterfragen. Kritiker fordern fĂŒr auf diese Weise gewonnene Daten wegen des methodischen Problems sogar ein Beweisverwertungsverbot, da die IntegritĂ€t der Daten praktisch nicht mehr gewĂ€hrleistet ist.

Das ist deswegen ein Problem, weil die erste Untersuchung der Daten bereits deren VerĂ€nderung bewirkt. Das wĂ€re kein Problem, wenn es eine nicht-kompromittierte Version der Daten gĂ€be. Denn eine Zerstörung von Beweismaterial durch sachverstĂ€ndige Untersuchung ist nichts ungewöhnliches, man denke an die gaschromatographische Untersuchung von BetĂ€ubungsmitteln zur Bestimmung des Wirkstoffgehalts oder die Zerstörung von Zellmaterial zur DurchfĂŒhrung einer DNA-Analyse. Bei diesen Untersuchungen bleibt aber immer ein Rest des ursprĂŒnglichen Spurenmaterials erhalten, damit ggf. ein weiterer SachverstĂ€ndiger die Analyse wiederholen kann, um die QualitĂ€t und Richtigkeit der Arbeit des ersten SachverstĂ€ndigen zu ĂŒberprĂŒfen.

Ein (weiterer) SachverstĂ€ndiger hat im Falle eine Live-Response-Analyse methodisch bedingt nicht mehr das gleiche – unverfĂ€lschte – Beweismaterial zur VerfĂŒgung. Eine Kontrolle durch einen anderen SachverstĂ€ndigen kann daher nur dann erfolgen, wenn eine minutiöse Dokumentation der Live-Response-Analyse durch den die Beweise sichernden SachverstĂ€ndigen erfolgt. Fehlt eine solche Dokumentation, hat ein solcher Beweis vor Gericht nichts zu suchen!