RA Koll @Twitter

Live Response und Post-Mortem-Analyse

Unterschiedliche Analysemethoden
In der IT-Forensik geht es um die Sicherung und Auswertung digitaler Spuren. Dabei werden zwei grundlegend verschiedene Ansätze bei der Untersuchung von Computersystemen unterschieden. Die sog. Live-Response und die Post-Mortem-Analyse. Die Post-Mortem-Analyse ist im Bereich strafrechtlicher Ermittlungsverfahren die Regel. Es geht dabei um die Auswertung von Datenträgern ausgeschalteter IT-Systeme. Viele Daten kann man aber nur im laufenden IT-System wahrnehmen, bzw. nur zur Laufzeit sind diese dort vorhanden. Solche Spuren kann man in folgende Kategorien Einteilen:

Fl√ľchtige Daten: Informationen, die beim geordneten Herunterfahren oder Ausschalten des IT-Systems verloren gehen k√∂nnten (Inhalt von Cache und Hauptspeicher, Status der Netzverbindungen, laufende Prozesse, angemeldete Benutzer etc.)

Fragile Daten: Informationen, die zwar auf der Festplatte des IT-Systems gespeichert sind, deren Zustand sich aber beim unsachgemäßen Zugriff ändern kann.

Temporär zugängliche Daten: Informationen, die sich auf der Festplatte befinden, aber nur zu bestimmten Zeitpunkten zugänglich sind, z. B. während der Laufzeit einer Anwendung oder Nutzung einer bestimmten Anwendungsfunktionalität.
BSI Maßnahmenkatalog M 6.126

Tempor√§r zug√§ngliche Daten kann der IT-Forensiker oft durch schlichte Inbetriebnahme einer Kopie des sichergestellten Systems untersuchen. Bei fragilen Daten kann aber bereits diese Ma√ünahme zu deren Ver√§nderung oder Vernichtung f√ľhren. Fl√ľchtige Daten sind beim ausschalten des Systems unwiederbringlich verloren.

Wann immer m√∂glich sollte daher bei laufenden Systemen eine Live-Response-Analyse erfolgen, um die fl√ľchtigen Daten zu sichern und die fragilen nicht unbrauchbar zu machen. Dabei gibt es aber ein grundlegendes methodisches Problem:

Eines der Hauptprobleme bei der Live Response Analyse ist allerdings, dass die Reihenfolge der Sicherung der fl√ľchtigen Daten nicht immer zweifelsfrei festgelegt werden kann, da jede T√§tigkeit am verd√§chtigen System auch das verd√§chtige System selbst ver√§ndert. So tauchen beispielsweise bei der Sicherung der Liste der gerade auf dem verd√§chtigen IT-System laufenden Prozesse auch die f√ľr den Sicherungsvorgang verwendeten Befehle auf. Bei unsachgem√§√üem Tooleinsatz besteht auch die Gefahr, dass weitere Daten zerst√∂rt werden bzw. relevante Informationen durch auf dem System installierte Rootkits verschleiert werden k√∂nnen.BSI Ma√ünahmenkatalog M 6.126

Bei der sp√§teren Verwendung im Rahmen einer Live-Response-Analyse gewonnener Daten sind diese M√∂glichkeiten der Ver√§nderung der Daten durch die forensische Untersuchung stets im Auge zu behalten und kritisch zu hinterfragen. Kritiker fordern f√ľr auf diese Weise gewonnene Daten wegen des methodischen Problems sogar ein Beweisverwertungsverbot, da die Integrit√§t der Daten praktisch nicht mehr gew√§hrleistet ist.

Das ist deswegen ein Problem, weil die erste Untersuchung der Daten bereits deren Ver√§nderung bewirkt. Das w√§re kein Problem, wenn es eine nicht-kompromittierte Version der Daten g√§be. Denn eine Zerst√∂rung von Beweismaterial durch sachverst√§ndige Untersuchung ist nichts ungew√∂hnliches, man denke an die gaschromatographische Untersuchung von Bet√§ubungsmitteln zur Bestimmung des Wirkstoffgehalts oder die Zerst√∂rung von Zellmaterial zur Durchf√ľhrung einer DNA-Analyse. Bei diesen Untersuchungen bleibt aber immer ein Rest des urspr√ľnglichen Spurenmaterials erhalten, damit ggf. ein weiterer Sachverst√§ndiger die Analyse wiederholen kann, um die Qualit√§t und Richtigkeit der Arbeit des ersten Sachverst√§ndigen zu √ľberpr√ľfen.

Ein (weiterer) Sachverst√§ndiger hat im Falle eine Live-Response-Analyse methodisch bedingt nicht mehr das gleiche – unverf√§lschte – Beweismaterial zur Verf√ľgung. Eine Kontrolle durch einen anderen Sachverst√§ndigen kann daher nur dann erfolgen, wenn eine minuti√∂se Dokumentation der Live-Response-Analyse durch den die Beweise sichernden Sachverst√§ndigen erfolgt. Fehlt eine solche Dokumentation, hat ein solcher Beweis vor Gericht nichts zu suchen!

Kommentieren