Einführung in die digitale Forensik [DigiFor] fileBachelorstudiengang Informatik/IT-Sicherheit...

Bachelorstudiengang Informatik/IT-Sicherheit

Einführung in die digitale Forensik[DigiFor]

Autoren:

Prof. Dr. Harald Baier

Sebastian Gärtner, M.Sc.

Hochschule Darmstadt

Einführung in die digitale Foren-sik[DigiFor]

Studienbrief 1: EinleitungStudienbrief 2: Grundlagen der digitalen ForensikStudienbrief 3: IT-forensische SoftwareStudienbrief 4: DatenträgerforensikStudienbrief 5: DateisystemforensikStudienbrief 6: Analyse des FAT-DateisystemsStudienbrief 7: Analyse des NTFS-DateisystemsStudienbrief 8: ProzessmodelleReading Guide 9: Hash functions in digital forensics

Autoren:Prof. Dr. Harald BaierSebastian Gärtner, M.Sc.

3. Auflage

Hochschule Darmstadt

© 2019 Hochschule DarmstadtFachbereich InformatikSchöfferstraße 8b64295 Darmstadt

3. Auflage (2019-06-28)

Autoren früherer Auflagen:Björn Roos, M.Sc.Frank Breitinger, M.Sc.Denise Muth, M.Sc.Georgios StivaktakisDieses Werk ist lizenziert unter einer CreativeCommons „Namensnennung – Weitergabe untergleichen Bedingungen 3.0 Deutschland“ Lizenz.Um die Lesbarkeit zu vereinfachen, wird auf die zusätzliche Formulierungder weiblichen Form bei Personenbezeichnungen verzichtet. Wir weisen des-halb darauf hin, dass die Verwendung der männlichen Form explizit alsgeschlechtsunabhängig verstanden werden soll.

https://creativecommons.org/licenses/by-sa/3.0/deed.de




Inhaltsverzeichnis Seite 3

Inhaltsverzeichnis

Einleitung zu den Studienbriefen 6I. Abkürzungen der Randsymbole und Farbkodierungen . . . . . . . . . . . . . . . . . . . . . . . 6II. Zu den Autoren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7III. Modullehrziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

Studienbrief 1 Einleitung 13

Studienbrief 2 Grundlagen der digitalen Forensik 192.1 Lernziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192.2 Advance Organizer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192.3 Forensische Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192.4 Digitale Forensik und digitale Spuren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

2.4.1 Digitale Spuren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232.4.2 Klassifikation digitaler Spuren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252.4.3 Praktiken der digitalen Forensik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

2.5 Das digitale Austauschprinzip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282.6 Vor- und Nachteile digitaler Spuren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292.7 Post-Mortem- und Live-Forensik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312.8 Darstellungen von Datenstrukturen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

Studienbrief 3 IT-forensische Software 373.1 Lernziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373.2 Advance Organizer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373.3 Grundsätzliche Eigenschaften IT-forensischer Werkzeuge . . . . . . . . . . . . . . . . . . . . . 373.4 Kryptographische Hashfunktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393.5 Open-Source Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

3.5.1 dd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423.5.2 File Carver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433.5.3 Strings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453.5.4 Sleuthkit und Autopsy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473.5.5 DFF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483.5.6 IT-forensische Live-CDs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

3.6 Kommerzielle Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493.6.1 X-Ways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493.6.2 EnCase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

Studienbrief 4 Datenträgerforensik 534.1 Lernziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534.2 Advance Organizer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534.3 Speichermedien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534.4 Datensicherung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

4.4.1 Post-Mortem-Datensicherung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 564.4.2 Writeblocker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

4.5 Reservierte Bereiche auf Datenträgerebene . . . . . . . . . . . . . . . . . . . . . . . . . . . . 604.5.1 Host Protected Area (HPA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 604.5.2 Device Configuration Overlay (DCO) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

4.6 Partitionierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 634.7 DOS Partitionsschema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 664.8 GPT-Partitionsschema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74

Studienbrief 5 Dateisystemforensik 815.1 Lernziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 815.2 Advance Organizer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

Seite 4 Inhaltsverzeichnis

5.3 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 815.4 Referenzmodell von Carrier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 825.5 Grundlagen der Dateisystem Analyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

Studienbrief 6 Analyse des FAT-Dateisystems 956.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 956.2 Dateisystemdaten (reservierter Bereich) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 976.3 Metadaten in File Allocation Tables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1026.4 Metadaten in Verzeichnissen im FAT-Dateisystem . . . . . . . . . . . . . . . . . . . . . . . . . 1066.5 Dateinamen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1176.6 Abschlussbetrachtungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119

Studienbrief 7 Analyse des NTFS-Dateisystems 1237.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1237.2 Dateisystemdaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1267.3 Metadaten in der MFT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1307.4 Metadaten in Attributen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1357.5 Dateinamen und Verzeichnisse in NTFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1447.6 Inhaltsdaten in NTFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1507.7 Vertraulichkeit in NTFS – das Encrypted File System . . . . . . . . . . . . . . . . . . . . . . . . 1547.8 Abschlussbetrachtungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159

Studienbrief 8 Prozessmodelle 1638.1 Lernziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1638.2 Advance Organizer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1638.3 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1638.4 S-A-P Modell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1638.5 Computer Forensics Field Triage Process Model . . . . . . . . . . . . . . . . . . . . . . . . . . . 1658.6 BSI Modell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1658.7 Casey’s Investigation Process Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1688.8 NIST Modell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1708.9 Diskussion der Begriffe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172

Reading Guide 9 Hash functions in digital forensics 1759.1 Cryptographic hash functions and approximate matching . . . . . . . . . . . . . . . . . . . . . 175

9.1.1 Cryptographic hash functions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1769.1.2 Bloom filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1779.1.3 Approximate matching: the concept . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1789.1.4 Bytewise approximate matching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1799.1.5 Semantic approximate matching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182

9.2 Authenticity and integrity of digital traces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1829.3 Identification of known digital objects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185

9.3.1 Whitelisting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1869.3.2 Blacklisting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187

9.4 Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189

Liste der Lösungen zu den Kontrollaufgaben 191

Verzeichnisse 213I. Abbildungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213II. Beispiele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214III. Definitionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215IV. Exkurse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215V. Kontrollaufgaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215VI. Tabellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216VII. Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217

Glossar 219

Inhaltsverzeichnis Seite 5

Stichwörter 221

Seite 6 Einleitung zu den Studienbriefen

Einleitung zu den Studienbriefen

I. Abkürzungen der Randsymbole und Farbkodierungen

Beispiel BDefinition DExkurs EKontrollaufgabe KMerksatz MÜbung Ü

Zu den Autoren Seite 7

II. Zu den Autoren

Harald Baier promovierte 2002 an der TU Darmstadt über eine Arbeit zur effizien-ten Erzeugung elliptischer Kurven. Er war Mitarbeiter in einem Sicherheitsprojektder Deutsche Bank AG und baute das Darmstädter Zentrum für IT-Sicherheit auf.Nach einer Professorentätigkeit an der FH Bingen (2004-2009) ist er seit 01.04.2009an der h_da auf dem Gebiet der Internet-Sicherheit tätig. Schwerpunkte seiner Ar-beit sind Computerforensik, Anomaliedetektion sowie Sicherheitsinfrastrukturen.

Sebastian Gärtner studierte Informatik an der h_da. Im Masterstudiengang spezia-lisierte er sich auf IT-Sicherheit und ist seit Sommer 2013 als Modulentwickler imOpen C3S Projekt für CRISP/Hochschule Darmstadt tätig.

Seite 8 Einleitung zu den Studienbriefen

III. Modullehrziele

Die Studierenden sollen folgende Fähigkeiten erlangen:

• Grundlegendes Verständnis forensischer Wissenschaften.• Sicherung, Analyse und Auswertung von unbekannten Datenträgern.• Bewerten digitaler Beweise und deren juristische Relevanz.• Forensische Analyse gängiger Dateisysteme (FAT, NTFS).• Einsatz und Bewertung gängiger Werkzeuge im Bereich der digitalen Forensik.• Kenntnisse über Vorgehensmodelle der digitalen Forensik und Gutachtenerstellung.• Funktionsweise kryptographischer Hashfunktionen und deren Rolle in der digitalen Forensik.

Studienbrief 1 Einleitung Seite 13

Studienbrief 1 Einleitung

In Wachsende Informations-menge

den letzten Jahren hat die Verbreitung und der Gebrauch von elektronischenGeräten drastisch zugenommen. Traditionelle Informationsträger wie Bücher, Fo-tos, Briefe und Schallplatten wurden durch E-Books, digitale Fotografie, E-Mailsund MP3s ersetzt. Dieser Wandel geht einher mit der wachsenden Speicherkapazi-tät von heutigen Datenträgern, die von ein paar Megabyte auf mehrere Terabyteanwuchsen. Somit können Anwender ihre kompletten Informationen auf einereinfachen Festplatte speichern anstelle einer analogen Ablage in Hunderten Kar-tons auf dem Dachboden. Auch wenn der physikalisch eingenommene Platz sichum ein Vielfaches verringert, so bleibt die Informationsmenge zumindest dieselbe.Oftmals übersteigt sie diese aber um ein Vielfaches. Zur Sicherung, Selektion, Ana-lyse und Auswertung dieser enormen digitalen Datenmenge bedarf es geschultenPersonals – eines IT-Forensikers.

Die Forensikdeutschsprachige Seite der Online-Enzyklopädie Wikipedia beschreibt denallgemeinen Begriff Forensik als ’Sammelbegriff für wissenschaftliche und techni-sche Arbeitsgebiete, in denen z.B. kriminelle Handlungen systematisch untersuchtwerden. Der Begriff stammt vom lateinischen forum „Forum, Marktplatz“, da Ge-richtsverfahren, Untersuchungen, Urteilsverkündungen sowie der Strafvollzug imantiken Rom öffentlich und meist auf dem Marktplatz durchgeführt wurden.’1.

Diese Forensic scienceBeschreibung von Forensik ist mittlerweile ganz passend, da kriminelleHandlungen nur beispielhaft erwähnt werden (das war in früheren Wikipedia-Darstellungen anders). Die englischsprachige Seite von Wikipedia verwendetfolgende Beschreibung: ’Forensic science is the application of science to criminaland civil laws. Forensic scientists collect, preserve, and analyse scientific evidenceduring the course of an investigation.’2 Diese Begriffsklärung ist allgemeiner, sieführt den Begriff der forensischen Wissenschaft auf den etablierten Begriff derwissenschaftlichen Methodik zur Untersuchung von Begebenheiten der Vergan-genheit zurück. Und Forensik findet im Kontext des Rechts statt. Das trifft unserVerständnis der Forensik schon ganz gut.

Etwas spezieller für IT-Forensik beschreibt das BSI Definition des BSIden Begriff IT-Forensik so, dasses darum geht, strafbare bzw. anderweitig rechtswidrige oder sozialschädlicheHandlungen nachzuweisen und aufzuklären, indem digitale Spuren gerichtsver-wertbar gesichert und ausgewertet werden3. Die Ziele einer solchen Ermittlungsind nach einem Systemeinbruch oder einem anderen Sicherheitsvorfall in derRegel,

• die Identifikation der Methode oder der Schwachstelle, die zum Systemein-bruch geführt haben könnte,

• die Ermittlung des entstandenen Schadens,• die Identifizierung der Täter/Angreifer und• die Sicherung der Beweise für weitere juristische Aktionen.

Letztlich Eine Frage des Rechtsgeht es bei einer forensischen Untersuchung stets darum, eine Frage desRechts im Zusammenhang mit einer zurückliegenden Begebenheit zu beantwor-ten. Es soll also eine Zeitreise in die Vergangenheit unternommen werden, um

1 de.wikipedia.org, abgerufen am 11.04.20162 en.wikipedia.org, abgerufen am 11.04.20163 https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/m/m06/m06126.html

de.wikipedia.org

en.wikipedia.org

https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/m/m06/m06126.html

Seite 14 Studienbrief 1 Einleitung

eine juristische Frage zu klären. Zur Beantwortung werden dann erprobte wissen-schaftliche Methoden unterschiedlicher Fachdisziplinen herangezogen, so dassder Begriff Forensik viele Teilgebiete umfasst. Einige Beispiele sind:

• ForensischeMedizin / Rechtsmedizin: im Zusammenhangmit einer vermutetennicht-natürlichen Todesursache eines Menschen ist eine typische Fragestel-lung, wann und warum der Tod der Person eingetreten ist. Dazu führt derRechtsmediziner im Auftrag eines Rechtsorgans (z.B. Staatsanwaltschaft,Gericht) eine Autopsie (Leichenschau) durch. Durch den Zeitpunkt desTodes können dann weitere Fragen gestellt werden, z.B. ob eine verdächtigePerson zu diesem Zeitpunkt ein Alibi vorweisen kann oder nicht.

• Forensische Toxikologie: als interdisziplinäres Gebiet zwischen Pharmakologie,Medizin, Chemie und Biologie führt der Rechtsmediziner oft auch toxikolo-gische Untersuchungen durch. Eine mögliche Fragestellung ist, ob ein unna-türlicher Tod durch eine Vergiftung herbeigeführt wurde und falls ja, durchwelche Stoffe. Eine andere typische Frage beschäftigt sich mit der Schuldfä-higkeit eines Angeklagten, z.B. ob dieser auf Grund von Drogenmissbrauchszu einem bestimmten Zeitpunkt überhaupt bewusst handlungsfähig war.

• Ballistik: im Zusammenhang mit forensischen Fragestellungen bezeichnetdie Ballistik die Untersuchung von Geschossen. Eine typische Aufgabe derBallistik ist die Beantwortung der Frage, ob ein an einem Tatort gefunde-nes Geschoss zu einer bereits bekannten Waffe passt. Dadurch kann derErmittler dann die Zuordnung zu einer bestimmten Person (etwa dem Ei-gentümer der Waffe) oder zu anderen Verbrechen vornehmen, die mit dergleichen Waffe begangen wurden. Die Ballistik ist eine klassische Aufga-be der Kriminalistik und wird oft von Kriminaltechnikern innerhalb einerStrafverfolgungsbehörde durchgeführt.

• Daktyloskopie: Lehre vom Identitätsnachweis mittels Fingerabdruckverfah-ren. Die Daktyloskopie nutzt die allgemein akzeptierte Meinung aus, dassder menschliche Fingerabdruck individuell ist, d.h. wir können (praktisch)eindeutig von einem Fingerabdruck auf die zugehörige Person schließen. Da-hinter steckt die Annahme, dass die Wahrscheinlichkeit, zwei verschiedenePersonen mit dem gleichen Fingerabdruck zu finden, praktisch vernachläs-sigbar ist.

• IT-Forensik / Computerforensik: diese Disziplin hat sich innerhalb der Infor-matik entwickelt. Sie beantwortet Fragen des Rechts, wenn IT-Systeme Zieloder Tatmittel in einer forensischen Untersuchung sind. Ein IT-System kanndabei ein Computer eines Endanwenders sein (z.B. um die Frage zu beant-worten, ob auf dem Computer kinderpornographische Schriften gespeichertoder gar verbreitet wurden), ein Server (z.B. weil dieser kompromittiertwurde, um Malware auszuliefern) oder ein Smartphone (z.B. um Kontakteeines Beschuldigten zu extrahieren oder ein Bewegungsprofil von diesemzu erstellen).

WährendIT-Forensik vs.Computerforensik

vor einigen Jahren noch der Begriff ’Computerforensik’ als Standardbe-griff verwendet wurde, so ist dieser auf Grund der wachsenden Bedeutung vonmobilen Geräten wie Smartphones oder Tablets mittlerweile zu speziell. Außerdemerfasst Computerforensik nicht die Teilgebiete Netzwerkforensik oder Cloudforen-sik. Daher bevorzugen wir den allgemeineren Terminus IT-Forensik oder digitaleForensik. Diese beiden Begriffe verwenden wir synonym.

AusgangspunktSpur = hinterlas-senes Zeichen

einer forensischen Untersuchung ist eine Spur. Dieser Begriff istauch gebräuchlich in anderem Zusammenhang, z.B. bei Tieren. Nimmt ein Hundeine Spur auf, so meint man damit, dass er eine Fährte gefunden hat, um etwa einanderes Tier zu verfolgen. Ähnlich ist die Bedeutung in der Forensik. Für unsere


Zwecke bedeutet Spur, dass wir ein hinterlassenes Zeichen gefunden haben, dasAusgangspunkt für eine Untersuchung ist (z.B. ein roter Fleck an einem Tatort(mutmaßlich ein Blutfleck), ein Abdruck in einem Blumenbeet (mutmaßlich einSchuhabdruck) oder eine Bilddatei auf einem Computer). Spuren im kriminalisti-schen Sinne sind also Gegenstände oder Hinweise im Rahmen einer Untersuchung,die eine Theorie über einen Vorgang bestätigen oder widerlegen können. Spurenunterteilt man in materielle Spuren sowie immaterielle Spuren:

• Materielle Spuren Materielle Spurensind physische Spuren und daher gegenständlich. TypischeBeispiele für materielle Spuren sind Fingerabdrücke, Schuhabdrücke, Haare,DNA-Spuren oder Kleiderfasern.

• Immaterielle Spuren Immaterielle Spurensind nicht gegenständlich. Sie ergeben sich daher ausanderen Quellen. Ein typisches Beispiel einer immateriellen Spur ist dasmenschliche Verhalten, zum Beispiel weil eine verdächtige Person sich imRahmen einer Vernehmung auffällig verhält oder sich in Widersprücheverstrickt.

Digitale Spuren Digitale Spurensind Hinweise im Zusammenhang mit einem IT-System. Eine digi-tale Spur kann zum Beispiel eine Datei sein, etwa die History-Datei eines Browsers,aus der sich Informationen über das Surfverhalten eines Nutzers des Computersergeben. Interessant ist die Frage, ob man digitale Spuren auch zu den materiellenSpuren zählt, denn digitale Spuren erfordern eine Interpretation der materiellgespeicherten Bits und Bytes.

Während Indiz = gewürdigte Spurbei einer Spur noch unklar ist, inwiefern eine Frage des Rechts damitbeantwortet werden kann oder nicht, so versteht man unter einem Indiz einenHinweis, der bereits gewürdigt und damit bewertet wurde in dem Sinne, dass ereine Hypothese bestätigt. Beispielsweise liegt ein Indiz vor, wenn ein am Tatortgesicherter Schuhabdruck mutmaßlich zu einem Schuh des Verdächtigen gehört.Durch eine Bewertung lässt ein Indiz zusammen mit anderen Indizien auf dasVorliegen eines Sachverhalts schließen. Damit ist die Zeitreise in die Vergangen-heit mutmaßlich bzw. vermutlich geglückt. Das Adverb mutmaßlich bzw. vermutlichbringt zum Ausdruck, dass Indizien eine Hypothese stützen, nicht aber beweisenkönnen.

Der Beweisstärkste Begriff in diesem Zusammenhang ist der eines Beweises, denn ein Be-weis bezeichnet die Feststellung eines Sachverhalts als Tatsache in einem Gerichts-verfahren aufgrund richterlicher Überzeugung. Damit wird zumindest juristischdie Wahrheit ermittelt. Inwiefern es sich dabei auch um die tatsächliche Wahrheithandelt, ist dabei unerheblich.

Die Untersuchungsziele,Integrität von Spuren

Ziele einer forensischen Untersuchung sind das Identifizieren, Sicherstellen,Vorverarbeiten, Selektieren, Analysieren und Korrelieren von Spuren, die im weite-ren Verlauf der Ermittlungen zu Indizien und Beweisen werden können. Dabei sollder Forensiker so wenig wie möglich in den Untersuchungsgegenstand eingreifen.Grundsätzlich gilt das Paradigma der Integrität von Spuren, also der Unverändert-heit des Untersuchungsgegenstandes. Im Bereich der IT-Forensik bedeutet dasbeispielsweise bei der Untersuchung einer Festplatte, dass diese unverändert blei-ben muss. Dazu haben sich geeignete Methoden etabliert, die wir ausführlich indiesemModul beschreiben werden. In einigen Bereichen der IT-Forensik ist es abernicht möglich, den Untersuchungsgegenstand während der IT-forensischen Unter-suchung nicht zu verändern, z.B. im Bereich der Smartphone-, Hauptspeicher- oderNetzwerkforensik. Dann gilt es, minimalinvasiv in das System einzugreifen undjeden Untersuchungsschritt zu dokumentieren, um die durch den IT-Forensikerdurchgeführten Veränderungen später nachvollziehen zu können.

Seite 16 Studienbrief 1 Einleitung

ÜberhauptDokumentation ist Dokumentation eine der wichtigsten Tätigkeiten eines Forensikers,um gegenüber Dritten jeden Schritt von der Sicherstellung von Spuren über dieDatenakquise bis zum Analyseergebnis nachzuweisen.

EineChain of Custody wichtige Aufgabe der Dokumentation ist die Darstellung, wer wann wie aufSpuren zugreifen konnte. Unter dem Begriff Chain of Custody versteht man dieseDokumentation über Spuren bzw. Indizien. Im Deutschen bedeutet dieser BegriffAufbewahrungskette.

Schon immerLocardsches Aus-tauschprinzip

treibt dieMenschen die Frage um, ob es das ’perfekte Verbrechen’ gibt.Für die reale physische (also nicht-digitale)Welt gibt der französische Kriminologeund Forensiker Edmond Locard die Antwort. Er formulierte 1920 das LocardscheAustauschprinzip, wonach es immer zu einem Austausch von Spuren zwischenTäter, Opfer und Tatort kommt, d.h. sowohl Täter als auch Opfer bringen etwaszum Tatort hin, nehmen etwas mit und tauschen untereinander Spuren aus (sieheAbbildung 1.1).

Abb. 1.1: Das LocardscheAustauschprinzip Tatort

Opfer Täter

physische Spuren

LocardZitat zum Aus-tauschprinzip

beschreibt sein Austauschprinzip wie folgt:Wherever he steps, whatever hetouches, whatever he leaves, even unconsciously, will serve as a silent witness against him.Not only his fingerprints or his footprints, but his hair, the fibers from his clothes, the glasshe breaks, the tool mark he leaves, the paint he scratches, the blood or semen he deposits orcollects. All of these and more, bear mute witness against him. This is evidence that does notforget. It is not confused by the excitement of the moment. It is not absent because humanwitnesses are. It is factual evidence. Physical evidence cannot be wrong, it cannot perjureitself, it cannot be wholly absent. Only human failure to find it, study and understand it,can diminish its value.

DiesesDigitales Aus-tauschprinzip?

axiomatische Prinzip von Locard gilt aber nur für die physische Welt, esbesagt damit, dass es das perfekte Verbrechen bei klassischen, nicht-digitalen Tatennicht gibt, sondern dass die Aufklärung am Nichtentdecken von Spuren scheitert.Die Übertragung auf digitale Taten ist nicht einfach, vermutlich gilt das LocardscheAustauschprinzip aber auch in der IT-Forensik.

DieArbeitgeber wachsende Bedeutung der IT-Forensik spiegelt sich auch in einem immer brei-teren Angebot an Arbeitgebern wider. Typische Arbeitsplätze eines IT-Forensikerssind neben Strafverfolgungsbehörden wie dem Bundeskriminalamt (BKA), denLandeskriminalämtern (LKA) und Polizeipräsidien auch immer mehr speziali-sierte IT-Forensikunternehmen. Weiterhin unterhalten die großen Wirtschaftsprü-fungsgesellschaften wie Ernst&Young, Deloitte, PricewaterhouseCoopers oderKPMG eigene IT-Forensik-Abteilungen, die typischerweise bei Wirtschaftskrimi-nalität zum Einsatz kommen. Insbesondere Alexander Geschonneck von KPMG


gilt als einer der Pioniere der IT-Forensik im deutschsprachigen Raum. Schließlicharbeiten IT-Forensiker auch als unabhängige Sachverständige.

KKontrollaufgabe 1.1

Erläutern Sie den Begriff Forensik und nennen Sie drei forensische Teildiszi-plinen.


Erläutern Sie den Unterschied zwischen Spuren, Indizien und Beweisen.


Was besagt das Locardsche Austauschprinzip?

Studienbrief 2 Grundlagen der digitalen Forensik Seite 19

Studienbrief 2 Grundlagen der digitalen Forensik

2.1 Lernziele

Nach der Durcharbeitung dieses Studienbriefs besitzen Sie allgemeine theoretischeKenntnisse der Forensik sowie insbesondere der digitalen Forensik. Sie verstehenden Unterschied zwischen physischen sowie digitalen Spuren und die Problemstel-lungen der Interpretation digitaler Spuren. Sie können Vor- und Nachteile digitalerSpuren bewerten und klassifizieren.

2.2 Advance Organizer

In diesem Kapitel lernen Sie Grundlagen der digitalen Forensik kennen. Wir be-ginnen in Abschnitt 2.3 mit allgemeinen forensischen Grundlagen zum Ermitt-lungsprozess. Anschließend legen wir in Abschnitt 2.4 den Fokus auf die digitaleForensik sowie digitale Spuren. In Abschnitt 2.5 übertragen wir das LocardscheAustauschprinzip auf digitale Spuren. Die Vor- bzw. Nachteile digitaler Spurenim Vergleich zu analogen Spuren betrachten wir in Abschnitt 2.6. Danach ler-nen Sie mit der Post-Mortem- sowie Live-Forensik in Abschnitt 2.7 die beidenzentralen Vorgehensweisen der digitalen Forensik kennen. Wir schließen diesesGrundlagenkapitel mit Darstellungen von Datenstrukturen in Abschnitt 2.8 ab.

2.3 Forensische Grundlagen

In Ausgangspunkt ist Fragedes Rechts

Kapitel 1 haben Sie kennengelernt, dass Forensik die Beantwortung von Fragendes Rechts durch wissenschaftliche Methoden einer wissenschaftlichen Teildiszi-plin bedeutet. Ohne einen Rechtsrahmen gibt es keine Frage des Rechts und damitauch keine Forensik. Wichtige forensische Teildisziplinen haben wir in Kapitel 1erläutert, zum Beispiel forensische Medizin, Ballistik, Daktyloskopie oder digitaleForensik.

Die Übersetzung rechtlicheFrage in forensischeFrage

Antwort auf eine Frage des Rechts dient typischerweise dazu, ein rechtswidri-ges Verhalten zu belegen oder zu widerlegen. In der Forensik geht es dann darum,die Frage des Rechts in passende wissenschaftliche Fragen zu übertragen unddiese wissenschaftlichen Fragen mittels wissenschaftlich akzeptierter Methodenzu beantworten. Diese Antworten sind dann im wissenschaftlichen Sinn richtig,inwiefern sie zur Beantwortung der zugrundeliegenden Frage des Rechts beitra-gen, ist aber Aufgabe der Ermittler (z.B. Strafverfolger, interne Ermittler, Gerichte).Beispiel 2.1 stellt dies für Blutspuren in einem nicht-natürlichen Todesfall dar.

BBeispiel 2.1: Übersetzung rechtliche Frage in forensische Frage

Als Beispiel sei die Frage des Rechts erwähnt, ob ein Beschuldigter tatsäch-lich den ihm vorgeworfenen Mord begangen hat – also die Schuldfrage amTod zu klären. Im Rahmen des Ermittlungsverfahrens werden mutmaßlichBlutspuren am Beschuldigten sichergestellt. Die rechtliche Schuldfrage wirdübersetzt in die Frage an die forensische Medizin, ob die mutmaßlichenBlutspuren am Beschuldigten tatsächlich Blutspuren sind und falls ja, ob sievomOpfer stammen. Nehmenwir an, die Antwort der forensischenMedizinlautet jeweils ’ja’, d.h. der Beschuldigte trägt Blutspuren des Opfers. Ob derBeschuldigte aber tatsächlich der Täter ist, ergibt sich nicht alleine aus dieserAntwort.

Grundlegende Entstehung von SpurenBegriffe im Kontext der Forensik wie Spuren, Indizien sowie Be-weise kennen Sie aus Kapitel 1. Unter einer Spur verstehen wir ein hinterlassenes

Seite 20 Studienbrief 2 Grundlagen der digitalen Forensik

Zeichen. Eine Spur kann eine materielle oder eine immaterielle Spur sein. In derklassischen Forensik sind typische Beispiele für eine materielle Spur ein Fuß- oderSchuhabdruck, Haare, Hautpartikel, Blut, Kleiderfasern bzw. ein Kleidungsstück,ein Messer oder eine Pistole. Da unsere Realität aus praktisch beliebig vielen Spu-ren besteht, müssen im Rahmen der Ermittlung die für die Beantwortung derzugrundeliegenden Frage des Rechts relevanten Spuren identifiziert werden.

UmBehandlung von Spuren die richtige Antwort auf die Frage des Rechts zu geben, gibt es Anforderungenan die Behandlung von Spuren:

• ZunächstSpurensicherung muss der Ermittler am Tatort nach solchen Spuren suchen, dieim Zusammenhang mit der aufzuklärenden Tat stehen. Interessant für dieErmittlung sind solche Spuren, die unbeabsichtigt durch den Täter hinterlas-sen werden, z.B. weil er sie nach dem Locardschen Austauschprinzip nichtvermeiden kann. Die relevanten Spuren müssen unverändert gesichert wer-den (bitte denken Sie an das forensische Prinzip der Integrität von Spurenaus Kapitel 1). Das ist eine schwierige Aufgabe, die eine spezielle Ausbil-dung und Erfahrung voraussetzt. Der Vorgang der Sicherung von Spurenwird daher von den Spezialisten der Spurensicherung durchgeführt.

• AusSpurenanalyse, KTU Kapitel 1 wissen Sie, dass ein Indiz eine gewürdigte Spur ist, alsoim Rahmen der Ermittlung als für die Tat relevant eingestuft wurde. DieseEinstufung geschieht im Rahmen der Spurenanalyse. Auch die Spurenanalyseerfordert Spezialwissen und Erfahrung, sie geschieht typischerweise inspeziellen Laboren. In Strafverfolgungsbehörden hat sich das Kürzel KTUfür kriminaltechnische Untersuchung zur Bezeichnung der Spurenanalysedurchgesetzt.

• KannBeweismittel eine Spur eine Hypothese über den Tathergang stützen oder widerle-gen, bezeichnen wir im Rahmen dieses Moduls diese Spur als Indiz. In derLiteratur finden Sie oft auch den Begriff Beweismittel für unseren Begriff In-diz. Bitte beachten Sie, dass ein Beweismittel in jedem Fall von einem Beweisin unserem Sinne als Feststellung der legalen Wahrheit zu unterscheiden ist.

SpurenRekonstruktion einer Tat spielen die zentrale Rolle zur Rekonstruktion eines Tathergangs. Es ist dieAufgabe eines Ermittlers, eine Menge von Hypothesen über mögliche Tathergängezu formulieren und diese jeweils mit den im Rahmen der Spurensicherung gesi-cherten und im Rahmen der KTU bewerteten Spuren abzugleichen, d.h. ob diejeweilige Hypothese durch die Spuren bestätigt oder widerlegt wird.

NachEreignis dem Locardschen Austauschprinzip kommt es zum Austausch von Spurenzwischen Täter, Opfer und Tatort (siehe Abbildung 1.1). Allgemeiner bezeichnetman in der Kriminalistik die Feststellung der Tatsache, dass zwei Objekte mitein-ander in Kontakt standen, als Ereignis. Zum Beispiel bedeutet ein Fingerabdruckeiner Person auf einem Türgriff, dass beide Objekte (Person und Türklinke) inKontakt standen und die Person daher in dem entsprechenden Raum war.

DerAssoziation Weg im Rahmen der Ermittlung, das Ereignis festzustellen, heißt Assoziation.Eine Assoziation besteht zum Beispiel darin, einen Fingerabdruck auf der Tür-klinke zu entdecken, zu sichern und dem Verdächtigen zuzuordnen. Wichtig füreine Assoziation ist die Erkennungs- bzw. die Irrtumswahrscheinlichkeit, also mitwelcher Wahrscheinlichkeit eine Zuordnung zutrifft bzw. falsch ist. Oft gibt eskaum wissenschaftliche belastbare Aussagen zu diesen Wahrscheinlichkeiten.

UmFeststellung ei-nes Ereignisses

ein Ereignis als Ergebnis einer Assoziation festzustellen, sind einige Schrittenotwendig. Diese sind in Abbildung 2.1 dargestellt, wir erläutern sie kurz. Imoberen Teil von Abbildung 2.1 sehen Sie die Menge aller Objekte an einem Tatort.

2.3 Forensische Grundlagen Seite 21

Abb. 2.1: Weg zur Asso-ziation

Zunächst muss der Ermittler aus dieser Menge alle Spuren erkennen, die rele-vant für den Fall sind, also als Beweismittel in Betracht kommen. Die Menge dermöglichen Beweismittel ist im oberen Teil der Abbildung gelb umrandet.

Im Drei Schritte zur Assozia-tion

unteren Teil von Abbildung 2.1 sehen Sie dann für ein Beweismittel die dreiSchritte zur Assoziation:

1. Der Identifikationerste Schritt besteht in der Identifikation der Spur. Bei der Identifikati-on wird festgestellt, worum es sich vermutlich bei der Spur handelt undfestgestellt, ob diese zur Klärung der Frage des Rechts relevant sein könnte.Zum Beispiel erkennt ein Ermittler rote Flüssigkeit auf dem Fußboden einesTatorts und vermutet, dass es sich um Blutspuren handelt. Daher wird dierote Flüssigkeit durch die Spurensicherung gesichert.

2. Im Klassifikationzweiten Schritt wird die Spur klassifiziert. Dabei wird konkret festgestellt,zu welcher Klasse von Objekten die Spur gehört. Im eben genannten Beispielstellt die KTU fest, dass es tatsächlich um Blut handelt.

3. Im Individualisierungdritten und letzten Schritt erfolgt die Individualisierung der Spur. Da-bei wird die Spur einer konkreten Referenz zugeordnet, zum Beispiel diegesicherte Blutspur zu einer bestimmten Person.

Ermittler 7 W-Fragennutzen zentrale, allgemeine Fragestellungen der Kriminalistik zur Rekon-struktion eines Tathergangs. Das sind die berühmten sieben W-Fragen („7 W’s“)der Kriminalistik, die wir nur verkürzt angeben:

• Wer?• Was?• Wo?• Wann?• Womit?• Wie?• Weshalb?

Bei Legalität der Untersu-chung

forensischenUntersuchungenmüssen einige rechtliche Aspekte von den Ermitt-lern eingehalten werden. Oft ist im Rahmen eines Strafverfahrens eine richterlicheAnordnung notwendig zur Sicherung von Spuren, zum Beispiel im Rahmen einer


Hausdurchsuchung Ähnlich verhält es sich auch bei unternehmensinternen Unter-suchungen, beispielsweise zur Aufklärung von wirtschaftskriminellen Deliktenwie Datendiebstahl oder Korruption. Bei solchen Untersuchungen sollte bereitsvorher der rechtliche Rahmen, wie etwa Datenschutzgesetze, geklärt werden, da-mit aufgefundene Beweise nicht ihre Verwertbarkeit verlieren1. Als Vorbereitungfür forensische Untersuchungen ist es daher unerlässlich, die Vorgehensweise unddie zu verwendenden Methoden auf ihre Legalität hin zu prüfen.

DamitAnforderungen an denErmittlungsprozess

die Resultate einer forensischen Untersuchung als Beweise vor Gerichtoder anderen Auftraggebern verwendet werden können, ist also eine gründlicheund sorgfältige Vorgehensweise nötig. An einen Ermittlungsprozess werden diefolgenden Anforderungen gestellt [11, 10]:

• Akzeptanz: Bei der Untersuchung sollen Verfahren und Methoden einge-setzt werden, die in der Fachwelt beschrieben und allgemein akzeptiert sind.Bei Einsatz von neuen Verfahren oder Methoden muss ein Nachweis überdie korrekte Funktionsweise erbracht werden.

• Glaubwürdigkeit: Die Robustheit und Funktionalität der eingesetzten Me-thoden und Verfahren muss sichergestellt oder bewiesen werden.

• Wiederholbarkeit: Durch Anwendung der gleichen Verfahren, Methodenund Hilfsmittel durch Dritte müssen, ausgehend vom selben Ausgangsma-terial, die gleichen Ergebnisse erzielt werden.

• Integrität: Während einer Untersuchung dürfen Spuren weder bewusstnoch unbewusst geändert werden. Die Integrität und die Sicherung derIntegrität der digitalen Beweise muss dokumentiert werden und zu jederZeit belegbar sein.

• Ursache und Auswirkungen: Mit den verwendeten Verfahren und Metho-den muss es möglich sein, logisch nachvollziehbare Beziehungen zwischenEreignissen, Beweismitteln und Personen herzustellen.

• Dokumentation: Während der Ermittlung müssen alle Arbeitsschritte an-gemessen und detailliert dokumentiert werden.

• Authentizität: Es muss gewährleistet werden, dass zum einen das Vorge-hen der Ermittler und zum anderen die erhobenen und gewonnenen Datenauthentisch sind. Dazu müssen alle Arbeitsschritte der forensischen Unter-suchung sowie die daraus gewonnen Erkenntnisse dokumentiert werden.

• Lückenlosigkeit: Der Verbleib der digitalen Spuren und der Ergebnissemuss ab dem Zeitpunkt der Erfassung lückenlos nachgewiesen werden umjederzeit potentielle Manipulationen ausschließen zu können (engl. „chainof custody“).

UmProzessmodelle diese Anforderungen im Rahmen einer forensischen Untersuchung einzuhal-ten, gibt es etablierte Beschreibungen zur Vorgehensweise bei einem Ermittlungs-prozess. Diese Beschreibungen nennt man Prozessmodelle oder Vorgehensmodelle.Da wir uns für digitale Forensik interessieren und eine standardisierte Vorgehens-

1 Ein Beispiel zur Unwirksamkeit von Spuren auf Grund der Anwendung unzulässi-ger Methoden finden Sie unter http://www.computer-forensik.org/blog/2012/10/05/einsatz-von-ueberwachungssoftware/#more-1303.

http://www.computer-forensik.org/blog/2012/10/05/einsatz-von-ueberwachungssoftware/#more-1303.

http://www.computer-forensik.org/blog/2012/10/05/einsatz-von-ueberwachungssoftware/#more-1303.

2.4 Digitale Forensik und digitale Spuren Seite 23

weise wichtig ist, widmen wir uns intensiv unterschiedlichen Prozessmodellender digitalen Forensik in einem späteren Kapitel.

KKontrollaufgabe 2.1: Weg zur Assoziation

Nennen Sie die drei Schritte zur Assoziation und erläutern Sie diese anHand eines Beispiels.

KKontrollaufgabe 2.2: Anforderungen an den Ermittlungsprozess

Nennen und erläutern Sie drei Anforderungen an den Ermittlungsprozess.

2.4 Digitale Forensik und digitale Spuren

Die Digitale Forensikdigitale Forensik (auch: IT-Forensik) überträgt Prinzipien und Methoden derklassischen forensischen Wissenschaften in die digitale Welt. Das zentrale Zielist daher die Sicherung, Aufbereitung und Analyse von digitalen Spuren in einerWeise, die in einer möglichen späteren Gerichtsverhandlung akzeptiert wird –auch wenn es wie bei internen Ermittlungen nicht immer dazu kommen muss.Die digitale Forensik ist eine noch relativ junge Wissenschaft, die erst mit derDigitalisierung von Informationen und Kommunikation entstand.

Der Digitale Spurwesentliche Unterschied zwischen der digitalen Forensik und den klassi-schen forensischen Wissenschaften besteht in der Art der Spuren. Während in denklassischen Wissenschaften digitale Spuren unbekannt sind, stehen sie in einerIT-forensischenUntersuchung imMittelpunkt. Daher steht der Begriff der digitalenSpur im Mittelpunkt dieses Abschnitts.

Abschnitt 2.4 ist Aufbau dieses Abschnittswie folgt aufgebaut: in Abschnitt 2.4.1 geben wir zunächst einekurze Einführung für den Begriff „digitale Spur“ und erläutern den Zusammen-hang zu physischen Spuren. Wir betrachten auch, wo digitale Spuren entstehen.Anschließend betrachten wir in Abschnitt 2.4.2 Eigenschaften und Klassifikationendigitaler Spuren, insbesondere die Unterscheidung in vermeidbare sowie unvermeid-bare Spuren. Zum Abschluss fassen wir in Abschnitt 2.4.3 die speziellen Praktikender digitalen Forensik zusammen, die sich aus den allgemeinen Anforderungenan den Ermittlungsprozess ergeben.

2.4.1 Digitale Spuren

Nach Definition nach Caseyder Definition von Eoghan Casey basieren digitale Spuren auf Daten, die inComputersystemen gespeichert sind oder zwischenComputersystemenübertragenwerden [8]. Digitale Spuren basieren immer auf physischen Spuren, beispielswei-se der Magnetisierung einer Festplatte, dem Ladezustand von Transistoren imflüchtigen Speicher oder elektromagnetischen Wellen auf Kabeln. Dies bedeutet,dass zuerst physische Spuren gefunden werden müssen, bevor man weiter nachdigitalen Spuren suchen kann. Durch die enge Bindung von physischen und digi-talen Spuren können auch die Prinzipien der klassischen Forensik auf die digitaleForensik übertragen werden.

Bei Wo entstehen digitaleSpuren?

der Datenverarbeitung in IT-Systemen fallen überall digitale Spuren an. Es istquasi nicht möglich, mit einem IT-System zu interagieren, ohne digitale Spuren zuhinterlassen. Beispielsweise werden schon beim Einschalten des Geräts digitaleSpuren hinterlassen, wie etwa Zeitstempel im Dateisystem, Logdateien des Be-triebssystems oder durch Laden von Daten in den Arbeitsspeicher. Digitale Spuren


entstehen an verschiedenen Stellen, die wir zunächst in lokale digitale Spuren sowienicht-lokale digitale Spuren untergliedern (eine weitere Unterteilung nehmen wir inAbschnitt 2.4.2 vor):

1. Lokale digitale SpurenLokale digitale Spuren entstehen auf dem Gerät selbst, sie können durchdie Analyse des Geräts gesichert und analysiert werden. Als Gerät kom-men dabei IT-Systeme oder Datenträger in Frage, also etwa ein Computer,ein Smartphone, eine Digitalkamera oder Datenträger wie USB-Sticks, SD-Karten, DVDs oder CDs. Beispiele für lokale digitale Spuren sind:

• Inhaltsdaten einer Datei (z.B. doc-Datei, sqlite-Datei)• Dateisystem (z.B. Zeitstempel, Journal)• Dateinamen• ’Komfortdaten’ von Applikationen (z.B. Browser-History, Browser-

Cache, ’recently used’)• Windows-Registry• Log-Dateien (von lokalen Diensten)• Temporäre Dateien• Lokale Daten von Diensten (z.B. soziale Netzwerke, Instant Messen-

ger)• Backups

2. Nicht-lokale digitale SpurenNicht-Lokale di-gitale Spuren

entstehen nicht auf demGerät selbst, sie fallenan einem anderen Ort an, also etwa bei einemDienst (Webserver, Mailserver,soziales Netzwerk), in der Cloud, dem Internet Service Provider (ISP) oderdem Mobilfunkanbieter. Beispiele für nicht-lokale digitale Spuren sind:

• Verkehrsdaten bei Internet Service Provider• Inhaltsdaten bei Online-Speicherdiensten• Daten bei Diensten (z.B. soziale Netzwerke, Suchmaschinen, Bahn,

Buchungsanbieter wie HRS oder fluege.de)• Firewalls• SIEM (Security Information and Event Management)• Digitale Überwachungskamera (CCTV)• Geldausgabeautomat• Daten des Mobilfunkanbieters (Abrechnungsdaten, Standortdaten)

DigitaleInterpretationsebenen Spuren können nicht ohne Weiteres aus den zugehörigen physischenSpuren vomMenschen gelesen und verstanden werden, stattdessen müssen diezugehörigen physischen Spuren mit Hilfe von forensischen Werkzeugen oderanderen Anwendungen interpretiert werden. Erst nach der Interpretation durchdiese Werkzeuge kann ein Ermittler die digitalen Daten verstehen und einschätzen.In IT-Systemen ist es üblich, dass mehrere Interpretationsebenen durchlaufenwerden müssen. Dies soll anhand von Beispiel 2.2 und Abbildung 2.2 für eineBilddatei kurz erläutert werden.

B Beispiel 2.2: Interpretationsebenen einer digitalen Spur

Wir erläutern die Interpretationsebenen einer digitalen Spur aus Abbil-dung 2.2 für eine Bilddatei. Auf der untersten Ebene befindet sich die physi-


Physische Speicherung der Bits(z.B. Magnetisierung einer HDD)

Interpretation als Bytesequenz einerDatei (via Partitionen und Dateisystem)

Interpretation der Datei als Bilddateiim jpg-Format (z.B. via Magic Numbers)

Anzeige der Bilddatei mit einer geeigneten Anwendung

Physische Spur

Digitale Spur

.

Abb. 2.2: Beispiel fürInterpretationsebenen:Bilddatei

sche Spur als gespeicherte Bits auf demDatenträger (z.B. dieMagnetisierungeiner HDD, der Ladezustand eines Transistors). Die für die betrachtete Dateirelevanten Bits müssen durch unterschiedliche Interpretationswerkzeugein die richtige Reihenfolge der Bytes der Bilddatei transformiert werden.Typischerweise muss dazu das Partitionsschema des Datenträgers bestimmtwerden, in der betroffenen Partition das Dateisystem. Mit Hilfe von Infor-mationen aus dem Dateisystem kann dann die richtige Bytesequenz derBilddatei bestimmt werden. Im nächsten Schritt wird die Datei als Bilddateiim jpg-Format identifiziert, zum Beispiel durch die ersten charakteristischenBytes der Datei, die sogenannten Magic Numbers. Zuletzt nutzt der Ermitt-ler eine geeignete Anwendung, um den Inhalt der Bilddatei menschenlesbarauf dem Bildschirm anzuzeigen und damit die zugehörige digitale Spur.

Der FehlinterpretationErmittler selbst sieht nicht die physischen Spuren, sondern lediglich derenInterpretationen. Bei jeder Interpretation zwischen zwei Ebenen können Fehlin-terpretationen entstehen, welche für den Ermittler nicht direkt erkenntlich sind.Der Ermittler muss sich hier in der Regel auf die korrekte Funktionsweise derWerkzeuge verlassen (z.B. weil diese allgemein als zuverlässig gelten) oder diesein aufwändigen Verfahren für jede Ebene selbst nachprüfen.

2.4.2 Klassifikation digitaler Spuren

In KlassifikationsschemataAbschnitt 2.4.1 haben Sie bereits die Unterscheidung digitaler Spuren in diebeiden Kategorien lokale digitale Spuren bzw. nicht-lokale digitale Spuren kennenge-lernt. In diesem Abschnitt verfeinern wir diese Kategorisierung, indem wir Spurenzunächst nach zwei Klassifikationsmerkmalen unterscheiden, und zwar nach derEntfernung zum Tatort sowie nach der Flüchtigkeit der Spur [9]. Nachfolgend führenwir gemäß Brian Carrier [7] die Unterscheidung digitaler Spuren in die beidenKategorien vermeidbar bzw. unvermeidbar ein. Die drei Klassifikationsschematasind unabhängig voneinander zu betrachtende Eigenschaften, zum Beispiel gibtes unvermeidbare, lokale, nicht-flüchtige Spuren (etwa die Partitionierung einesDatenträgers). Mögliche weitere Klassifikationen (z.B. eine Einteilung nach zuge-hörigen Delikten) nehmen wir hier nicht vor.

Entfernung zum Tatort und Flüchtigkeit digitaler Spuren

Anders Entfernung zum Tatortals in den klassischen forensischen Wissenschaften kann ein Cybertäterdigitale Spuren an Orten hinterlassen, an denen er physisch nie anwesend war. Inder Cybersicherheit werden viele Delikte über digitale Netzwerke wie dem Internetbegangen. Vom heimischen Computer aus können Täter so auch digitale Spuren


in anderen Regionen oder gar Ländern hinterlassen. Wie Dewald und Freiling [9]behaupten, nimmt die Menge der hinterlassenen relevanten Spuren vermutlichmit der Entfernung zum Tatort ab. Unter dem Tatort wird hier der Ort verstanden,von dem aus der Täter handelt. Bei der Einteilung der Entfernung vom Tatortuntergliedern die Autoren grob in drei Bereiche:

1. dem Computer des Täters2. dem lokalen Netzwerk, von dem aus der Täter agiert3. dem externen Netzwerk (Internet) samt aller Geräte.

Dabei ist intuitiv anzunehmen, dass auf dem Computer des Täters die meistenrelevanten digitalen Spuren zu finden sein werden.

DieFlüchtigkeit ei-ner digitalen Spur

Flüchtigkeit bestimmt, wie lange Daten für eine IT-forensische Untersuchungerhalten bleiben. Je nach Speichermedium müssen IT-forensische Ermittler schnellund effektiv handeln, um Verluste digitaler Spuren zu verhindern. Dazu ist Fach-wissen, Erfahrung und Vorsicht nötig – auch um unbeabsichtigte Datenmanipu-lationen zu vermeiden. Es wird im Wesentlichen zwischen drei Kategorien derFlüchtigkeit von Daten unterschieden [9]:

1. Persistente SpurenPersistente Spuren können über eine lange Zeit hinweg auf einem Speicher-medium auch ohne Stromzufuhr erhalten bleiben. Typische Vertreter dieserKategorie sind Spuren, die auf Festplatten, CDs, DVDs, USB-Sticks oderSpeicherkarten liegen. Diese Spuren sind auch nach einem langen Zeitraumnoch auffindbar, weswegen eine Analyse auch zu einem späteren Zeitpunktnoch möglich ist.

2. Dagegen bleiben semi-persistente SpurenSemi-persistente Spuren nur bei aktiver Stromzufuhr übereinen langen Zeitraum erhalten. Wird die Stromzufuhr unterbrochen, sogehen die Spuren nach kurzer Zeit schon vollständig verloren. Um den Ver-lust der Spuren zu vermeiden, sollten diese Daten für eine spätere Analyseauf einen persistenten Datenträger dupliziert werden. Alternativ könnendiese Spuren auch bei der Sicherung des Systems im laufenden Betriebanalysiert werden. Typische Beispiele für semi-persistente Spuren sind derArbeitsspeicher oder aktive Prozesse des Systems.

3. Die dritte Kategorie sind die flüchtigen SpurenFlüchtige Spuren . Diese sind selbst bei ak-tiver Stromzufuhr nur für eine kurze Zeit verfügbar. Dazu zählen Inhaltevon Prozessorregistern oder Netzwerkdaten auf einem Datenkabel. DieseDaten müssen im laufenden Betrieb analysiert werden oder zu einer späte-ren Analyse protokolliert und aufgezeichnet sowie auf einem persistentenDatenträger gesichert werden.

DieOrder of Volatility Einstufung einer digitalen Spur nach ihrer Flüchtigkeitseigenschaft ist wichtigfür die Reihenfolge der Sicherung digitaler Spuren. Prinzipiell gilt, dass möglichefallbezogene digitale Spuren mit höherer Flüchtigkeit zuerst gesichert werdensollen. Diese Reihenfolge bezeichnet man als Order of Volatility.

Vermeidbare und unvermeidbare Spuren

In der digitalen ForensikTechnisch ver-meidbare Spuren

unterscheidetman bei digitalen Spuren zwischen technischvermeidbaren und technisch unvermeidbaren digitalen Spuren. Technisch vermeidbareSpuren werden definiert als Spuren, die um ihrer selbst Willen erzeugt wurden[6]. Dazu zählen beispielsweise Log-Dateien, Zeitstempel im Dateisystem oderProtokolldaten aus einer Firewall. Ebenso zählt auch jede Datei oder abgespeicher-te E-Mail dazu [6]. Technisch vermeidbare Spuren sind leichter zu manipulieren,


so können Logdateien direkt in einem Texteditor geändert werden. Carrier [7]nennt technisch vermeidbare Spuren im Kontext von Dateisystemen auch nicht-essentielle („non-essential“ ) Daten. Dies sind Daten, die keine Auswirkungenauf die Funktionsweise des Dateisystems haben. Wenn jemand digitale Spurenverwischen will und Zeitstempel oder Dateien manipuliert, dann kann er das Sys-tem ohne zusätzlichen Aufwand weiter nutzen. Manipulationen sind somit ohnegroße Kosten möglich, wodurch die Glaubwürdigkeit der Echtheit von technischvermeidbaren Spuren in Frage gestellt werden muss.

Technisch Technisch unvermeidbareSpuren

unvermeidbare digitale Spuren sind Spuren, die unweigerlich anfallenund daher nicht durch einfache Veränderungen eines Systems vermieden wer-den können [6]. Dazu zählen etwa die Angabe der Clustergröße im Bootsektoreines Dateisystems oder die Angabe des physischen Speicherorts einer Datei. Bei-spielsweise kann ein Dateisystem nicht mehr korrekt funktionieren, wenn dieClustergröße im Bootsektor manipuliert wurde, da dadurch alle Referenzen aufClusteradressen ungültig werden. Aber auch mit Mitteln des Betriebssystems ge-löschte Dateien2 werden zu den technisch unvermeidbaren Spuren gezählt [6].Diese Einordnung geschieht aufgrund des hohenAufwandes und Fachwissens, dasnötig ist, um gelöschte Dateien endgültig von der Festplatte zu entfernen. Carrier[7] spricht von essentiellen („essential“) Daten eines Dateisystems, die benötigtwerden, um die korrekte Funktionsweise zu gewährleisten. Wenn essentielle Datenmanipuliert werden, dann funktioniert das System nicht mehr korrekt. Für jeman-den, der Spuren manipulieren will, bedeutet das, dass er nach der Manipulationdas System nicht mehr gewöhnlich verwenden kann, sondern die Manipulationerst wieder rückgängig machen muss, bevor das System ordnungsgemäß nutzbarist. Dies bedeutet einen erhöhten Aufwand für Manipulationen. Des Weiteren istfür die Manipulation essentieller Daten auf Dateisystemebene ein höheres Fach-wissen und die Nutzung fortgeschrittener Tools nötig, im Gegensatz zu einemeinfachen Texteditor, mit dem eine Logdatei geändert werden kann.

Da Bezug zur Aussagekrafteiner digitalen Spur

eine Manipulation bei technisch unvermeidbaren digitalen Spuren mit einemhöheren Aufwand verbunden ist, ist die Aussagekraft dieser Spuren auch höher alsbei den technisch vermeidbaren Spuren. Dies macht die unvermeidbaren Spurenfür IT-Forensiker besonders vertrauenswürdig.

2.4.3 Praktiken der digitalen Forensik

Basierend Praktiken der digitalenForensik

auf den Anforderungen an eine Untersuchung haben sich einige Prak-tiken im Bereich der IT-Forensik etabliert. Das Ziel ist es dabei zu verhindern,dass Beweise wegen Fehlern bei der Beweisführung vor Gericht verworfen werdenmüssen. Im Folgenden sind einige dieser Praktiken nach [26] aufgelistet:

• Keine Veränderung an dem Beweismittel: Um Manipulationen auszu-schließen, ist es wichtig, dass während einer IT-forensischen Untersuchungkeine Änderungen am originalen Untersuchungsobjekt erfolgen. Dazu wer-den Hardware-Schreibblocker benutzt, um exakte Kopien der Beweismittelanzufertigen. Die Untersuchung selbst erfolgt anschließend an einer dieserKopien.In einigen Fällen, wie etwa bei einer Untersuchung an einem laufendenSystem oder bei einem Smartphone, kann es erforderlich sein, dass Verände-rungen am Gerät herbeigeführt werden müssen, um digitale Spuren sichernzu können. In diesen Fällenmüssen dieÄnderungen sominimalwiemöglichgehalten werden, um einerseits zu vermeiden, dass digitale Spuren verloren

2 Beim Löschen von Dateien mit Mitteln des Betriebssystems werden Dateien in der Regel nicht vonder Festplatte gelöscht, sondern stattdessen werden lediglich Metainformationen im Dateisystementfernt, wodurch die Dateien vom Dateisystem nicht mehr wiedergefunden werden können. DieDaten selbst verbleiben jedoch auf der Festplatte bis sie überschrieben werden.


gehen, und andererseits Manipulationen der Spuren ausgeschlossen werdenkönnen.

• Dokumentation der Beweisführung: Die gesamte Untersuchung inklusivealler verwendeter Methoden zur Beweissicherung muss ausführlich doku-mentiert werden. Anhand dieser Dokumentation kann die Untersuchung zueinem späteren Zeitpunkt von Dritten nachvollzogen und auch nachgeprüftwerden. Diese Reproduzierbarkeit ist ein wichtiger Faktor der Beweiswürdi-gung vor Gericht.

• Dokumentation aller Veränderungen: Auch wenn grundsätzlich keine Än-derungen an einem Beweismittel vorgenommen werden sollen, lässt es sichin manchen Fällen nicht vermeiden. Beispielsweise bei der Untersuchung aneinem laufenden System oder um Zugriffsrechte auf Smartphone-Speicherzu erhalten. In diesen Fällen müssen aber alle Veränderungen genauestensdokumentiert werden.

• Verwendung einer allgemeinen Checkliste: Zu forensischen Untersu-chungen sollte eine allgemeine Checkliste verwendet werden, um zugarantieren, dass bei verschiedenen Untersuchungen stets die gleichenWiederherstellungs- und Untersuchungsmethoden verwendet werden. Au-ßerdem ist darauf zu achten, dass keine wichtigen Untersuchungsbestand-teile vergessen werden.

• Detaillierte Dokumentation: Zu einer guten gerichtlichen Verwertbarkeitund Reproduktion der Untersuchung sollte eine sehr detaillierte Dokumen-tation vorgenommen werden. Grundsätzlich gilt, dass man lieber zu vielals zu wenig dokumentieren soll. Des Weiteren ist eine handschriftlicheDokumentation empfehlenswert.

K Kontrollaufgabe 2.3: Digitale Spur

Definieren Sie den Begriff digitale Spur. Erläutern Sie dabei ebenfalls denZusammenhang zwischen physischen und digitalen Spuren.

K Kontrollaufgabe 2.4: Vermeidbarkeit digitaler Spuren

Erläutern Sie den Unterschied zwischen technisch vermeidbaren und unver-meidbaren digitalen Spuren.

K Kontrollaufgabe 2.5: Klassifikation digitaler Spuren

Nach welchen Schemata lassen sich digitale Spuren klassifizieren?

2.5 Das digitale Austauschprinzip

InWiederholung Kapitel 1 haben Sie das Locardsche Austauschprinzip für physische Spurenkennengelernt. Danach kommt es stets zu einem Austausch zwischen Täter, Tatortund Opfer, weil die reale Welt nach Locard so komplex ist, dass Spuren immervorhanden sind. In diesem Abschnitt diskutieren wir die Übertragung des Locard-schen Austauschprinzips in die digitale Welt und formulieren abschließend dasdigitale Austauschprinzip.

EineSehr großer Zu-standsraum

zentrale Eigenschaft bei Untersuchungen in der digitalen Forensik ist, dassdie zu untersuchenden Geräte (beispielsweise Computer) eine sehr hohe Anzahl

2.6 Vor- und Nachteile digitaler Spuren Seite 29

möglicher Zustände besitzen. Die genaue Anzahl ist abhängig von der Größe desSpeichers, je größer der Speicher desto komplexer wird ein System. Betrachtenwir beispielsweise einen Hauptspeicher der Speicherkapazität 2 GiB (231 Byte), sowerden

8 ·231 = 234 Bits (2.1)dargestellt. Daraus ergeben sich insgesamt

2234= 217 179 869 184 ≈ 105 Mrd. (2.2)

mögliche Zustände für den Hauptspeicher. Eine Zahl, die von herkömmlichenmathematischen Programmen gar nicht mehr ausgerechnet werden kann undstattdessenmit „unendlich“ gleichgesetzt wird. Im Vergleich dazu wird die Anzahlaller Atome im bisher bekannten Universum auf Größenordnungen von 1078 bis1082 geschätzt [6].

Die Digitales Austauschprin-zip

digitale Forensik muss sich also mit großen Zustandsräumen und sehr kom-plexen Systemen auseinander setzen. Allerdings kommt es einem IT-Forensikerentgegen, dass ein Großteil der möglichen Zustände nicht sinnvoll interpretierbarist, sondern einfach sogenannten Zustandsmüll darstellt. Damit können wir dasdigitale Austauschprinzip in Definition 2.1 beschreiben.

DDefinition 2.1: Digitales Austauschprinzip

In jedem hinreichend komplexen digitalen System hinterlässt Datenverar-beitung notwendigerweise digitale Spuren.

Analog Folgerungzum Locardschen Austauschprinzip für physische Spuren folgt aus demdigitalen Austauschprinzip, dass es das perfekte Cyberverbrechen nicht gibt.

2.6 Vor- und Nachteile digitaler Spuren

In diesem Abschnitt betrachten wir Vor- und Nachteile digitaler Spuren.

Vorteile

Vorteile digitaler Spuren sind wie folgt: in vielen Fällen können digitale Spurenexakt dupliziert werden, sie sind schwer zu vernichten und sie geben oft Auf-schluss über einen früheren Zustand des Systems. Wir gehen auf diese Vorteile imFolgenden ein.

Bei persistenten digitalen Spuren ist exaktesDuplizieren Exaktes DupliziereneinesOriginaldatenträgersmeist einfach möglich. Während die Duplikation für Festplatten, USB Sticks oderSD-Karten sehr einfach ist, ist die Duplikation von internen Speichermedien einesSmartphones nicht immer möglich. Das exakte Duplizieren bringt eine Reihe vonVorteilen im Umgang mit digitalen Spuren mit sich:

• Der originale Datenträger wird physisch geschont und kann nach der Du-plizierung dauerhaft weggeschlossen bleiben. Damit sind insbesondereungewollte Veränderungen am Beweismittel unwahrscheinlich.

• Die Übereinstimmung des Originals mit einem Duplikat kann einfach nach-gewiesen werden. Typisches Hilfsmittel dazu ist eine geeignete kryptogra-phische Hashfunktion, z.B. SHA-256.


• Eine spätere Veränderung an der Kopie wird erkannt. Sofern es keine ge-wollte, dokumentierte Veränderung ist, kann der IT-Forensiker erneut miteinem exakten Duplikat seine Untersuchungen beginnen.

WährendSchwer zu vernichten digitale Spuren leicht und fast permanent entstehen, ist es weitaus schwie-riger, alle Spuren, die im Zuge einer bestimmten digitalen Handlung entstandensind, wieder zu vernichten. Bereits beim Löschen von Dateien beginnen die Pro-bleme. In der Regel werden dabei vom Dateisystem lediglich Metainformationenentfernt, so dass die Dateien vom Dateisystem nicht mehr gefunden werden kön-nen. Zusätzlich wird der Speicher wieder freigegeben und kann durch neue Datenbeschrieben werden. Die Daten selbst verbleiben aber noch so lange auf der Fest-platte, bis sie durch andere Daten überschrieben werden. In dieser Zeit könneneigentlich gelöschte Daten potenziell (je nach Dateisystem oder Fragmentierungder Daten) wieder hergestellt werden. Des Weiteren fallen digitale Spuren an vie-len Orten an, auch solchen, die der Nutzer nicht unter seiner Kontrolle hat (etwabeim Internet Service Provider). Bitte beachten Sie, dass dies eine Folgerung desdigitalen Austauschprinzips aus Definition 2.1 ist.

DeterminismusDeterminismus in der Informatik bedeutet, dass ein Zustand genau einen gültigenNachfolgezustand besitzt. Viele Anwendungen, mit denen wir arbeiten, sind deter-ministisch. Dann kann man vom aktuellen Zustand des Systems auf vergangeneZustände schließen.

Nachteile

Nachteile digitaler Spuren sind wie folgt: Ermittler finden riesige Datenmengenvor (Datenüberlastung) und die Individualisierung einer Assoziation ist schwierig(d.h. die Verbindung einer digitalen Spur zu einer Person). Wir gehen auf diesebeiden Nachteile im Folgenden ein.

HeutigeDatenüberlastung Festplatten überschreiten oft die Speicherkapazität von 1 TiB, USB Stickssind viele GiB groß. Meist fallen mehrere Festplatten sowie USB Sticks in einerIT-forensischen Untersuchung an, so dass typischerweise mehrere TiB an digitalenDaten zu verarbeiten sind. Die Klassifikation von forensisch irrelevanten Daten(z.B. Systemdateien, nicht strafbare Bilder, ...) bzw. fallbezogen relevanten Da-ten kann schon an der schieren Menge von Daten scheitern. Die IT-forensischeUntersuchung gleicht der sprichwörtlichen Suche nach der Nadel im Heuhaufen.Ermittler sprechen oft vom Problem der Datenüberlastung. Eine mögliche Lösungdieses Problems lernen Sie im Kapitel Hashfunktionen kennen.

DerIndividualisierungeiner Assoziation

Nachweis einer Verbindung zwischen einem Beschuldigten und einem Tather-gang ist im Bereich der digitalen Forensik häufig problematisch. Es muss nachge-wiesen werden, dass eine bestimmte Person eine bestimmte Handlung begangenhat, wobei ausgeschlossen werden muss, dass eine andere Person die Handlungausgeführt hat.Wenn zumBeispiel ein Computer vonmehreren Benutzern zu unre-gelmäßigen Zeiten gemeinsam genutzt wird, ist es schwierig, die Person ausfindigzu machen, die mit diesem Computer eine bestimmte Tat durchgeführt hat. Diesliegt daran, dass digitale Spuren nur selten Merkmale enthalten, mit denen einereale Person eindeutig identifiziert werden kann. Beispielsweise muss eine E-Mail-Adresse nicht den Namen einer Person enthalten, was die Zuordnung erschwert.Wie hoch die Irrtumswahrscheinlichkeit bei einer Zuordnung zwischen einer Per-son und einer Handlung ist, hängt stark von der gegebenen Situation ab. Wennbeispielsweise mehrere Personen den gleichen Rechner benutzen können, sindeffektive Authentifikationsmechanismen sehr nützlich für die Genauigkeit einerAssoziation. Durch Authentifikationsmechanismen kann eindeutig festgestellt wer-den, welcher Nutzer zu welcher Zeit auf dem System eingeloggt war und eine Tat

2.7 Post-Mortem- und Live-Forensik Seite 31

kann mit hoher Wahrscheinlichkeit einem bestimmten Nutzer zugeordnet werden.Allerdings bieten diese Verfahren auch eine Unsicherheit: Zugangsinformationenwie Passwort oder PIN können leicht weitergegeben oder gestohlen werden [6]. Inder digitalen Welt ist es einfacher die Identität einer anderen Person zu stehlen,beispielsweise durch Phishing. Diese Faktoren müssen bei Assoziationen währendeiner Ermittlung beachtet werden.

2.7 Post-Mortem- und Live-Forensik

Bei IT-forensischen Untersuchungen unterscheidet man grundsätzlich zwischenzwei Formen von Vorgehensweisen: Post-Mortem- und Live-Forensik. Der Hauptun-terschied ist folgender: Die Post-Mortem-Analyse findet typischerweise in einemIT-forensischen Labor auf einer Kopie eines sichergestellten Datenträgers statt,während die Live-Analyse an einem laufenden Computersystem (vor Ort bei derSicherstellung) stattfindet.

Die Live-Forensik Live-Forensikwird während des Sammelns und Sicherns von Daten vorgenom-men. Dabei wird die Hard- und oft auch die Software des betroffenen IT-Systemsverwendet. Dies kann beispielsweise während der Beschlagnahme eines Compu-ters in der Wohnung des Beschuldigten geschehen. Die Voraussetzung für eineLive-Analyse ist, dass die Ermittler ein eingeschaltetes und laufendes System vorfin-det. In diesem Fall ist es das Ziel des IT-Forensikers, flüchtige oder semi-persistenteSpuren, die bei einer späteren Untersuchung im Labor bereits verschwunden seinwerden, zu finden und zu sichern. So wird beispielsweise der Arbeitsspeicher(RAM) des Computers ausgelesen, aktive Netzwerkverbindungen protokolliert so-wie geöffnete Dateien, Programme und Prozesse festgestellt. Außerdem haben dieIT-Forensiker hier die Möglichkeit, potentielle Datenverschlüsselungen zu umge-hen. Viele Festplattenverschlüsselungsprogramme wie etwa TrueCrypt3 erfordernlediglich bei Systemstart die Eingabe eines Passwortes. Ist das Verschlüsselungs-passwort eingegeben, so wird es im Arbeitsspeicher gesichert. Bei Zugriffen aufverschlüsselte Datenstrukturen entschlüsselt die Anwendung diese transparent fürden Anwender. Wenn ein IT-Forensiker an einem laufenden System verschlüsselteBereiche erkennt, so kann er diese häufig entschlüsselt auf ein externes Mediumsichern, während es bei einer späteren Analyse im Labor vermutlich unmöglichwäre, die Verschlüsselung zu brechen. Eine Herausforderung stellt sich bei dieserAnalyse aber den Ermittlern: Die Veränderungen am System müssen so mini-mal wie möglich ausfallen. Jede Handlung am System kann zu Änderungen imArbeitsspeicher oder sogar an der Festplatte (z.B. bei Zeitstempeln) führen. DieHandlungen der IT-Forensiker müssen ferner genau dokumentiert werden. Erstwenn alle flüchtigen oder semi-persistenten Spuren gesichert wurden, können dieErmittler das System herunterfahren und zur weiteren Post-Mortem-Analyse insLabor bringen.

Bei der Post-Mortem-Analyse Post-Mortem-Analyse(lateinisch „nach dem Tod“) wird ein ausgeschalte-tes System bzw. ein persistenter Datenträger analysiert. Der Umfang einer Post-Mortem-Analyse richtet sich nach demAuftrag der Untersuchung. Der Datenträgermuss gründlich untersucht werden, dies beinhaltet eine Datenträgeranalyse undeine oder mehrere Dateisystemanalysen. Je nach Untersuchungsauftrag müssenauch nicht-allozierte Bereiche gesondert betrachtet werden. Bei der Post-Mortem-Analyse muss ebenfalls verhindert werden, dass Änderungen am Datenträgervorgenommen werden. Dazu werden häufig unter Verwendung von Hardware-Schreibblockern exakte Kopien der Datenträger erstellt und die Untersuchungenan den Kopien vorgenommen. Der originale Datenträger wird dabei sicher vorunautorisierten Zugriffen aufbewahrt. Die Untersuchungen selbst müssen für einemögliche spätere gerichtliche Verwendung genauestens dokumentiert werden. Teil3 http://www.truecrypt.org/


der Post-Mortem-Analyse ist auch die Untersuchung der sichergestellten flüchti-gen und semi-persistenten Daten aus der Live-Analyse, wie etwa eine Kopie desArbeitsspeichers oder sichergestellte Kopien von verschlüsselten Bereichen.

Die Post-Mortem- und die Live-Forensik stehen somit nicht in Konkurrenz zuein-ander, sondern sie ergänzen sich. Häufig bleiben Ermittlern die Möglichkeitender Live-Forensik verwehrt, da sie nicht auf ein laufendes System treffen. Wenneine Live-Analyse jedoch möglich ist, können zusätzliche Spuren gefunden undsichergestellt werden und dadurch die spätere Post-Mortem-Analyse erheblicherleichtert werden.

K Kontrollaufgabe 2.6: Post-Mortem- und Live-Forensik

Erläutern Sie den Unterschied zwischen Post-Mortem und Live-Forensik.Nennen Sie hierzu jeweils ein anschauliches Beispiel.

2.8 Darstellungen von Datenstrukturen

InByte-String diesem Abschnitt betrachten wir Darstellungen unterschiedlicher Datenstruktu-ren, die häufig im Rahmen einer IT-forensischen Ermittlung untersucht werden.Eine Datenstruktur wird stets in einem Byte-String B0B1 . . .Bn−1 der Länge n gespei-chert. Dabei ist 0 die niederwertigste relative Speicheradresse der Datenstrukturund n−1 die höchste. Der Byte-String kann unterschiedliche Datentypen darstel-len.

DerGanze Zahl erste Datentyp, denwir betrachten, ist eine ganze Zahl. Für die Darstellung einerganzen Zahl stehen mehrere Zahlensysteme zur Verfügung. Das Dezimalsystemist die übliche Darstellung einer ganzen Zahl für Menschen. Das Dezimalsystemverwendet die üblichen zehn Ziffern 0 bis 9. In der Informatik und im Speziellenin der digitalen Forensik werden Sie das Hexadezimal- und das Binärsystembesonders häufig antreffen:

1. FürBinärsystem die Darstellung einer ganzen Zahl im Binärsystem stehen lediglich zweiZiffern zur Verfügung: 0 und 1. Eine gegebene ganze Zahl wird also bezüg-lich der Basis 2 dargestellt. Das Binärsystem ist eine natürliche Wahl in derInformatik, weil ein Bit als Ziffer einer ganzen Zahl interpretiert wird.

2. FürHexadezimalystem die Darstellung einer ganzen Zahl im Hexadezimalsystem stehen sech-zehn Ziffern zur Verfügung – die üblichen Dezimalziffern 0 bis 9 sowie diesechs weiteren Ziffern A (entspricht der ganzen Zahl 10) bis F (entsprichtder ganzen Zahl 15). Eine gegebene ganze Zahl wird also bezüglich derBasis 16 dargestellt. Um anzuzeigen, dass eine Zahl im Hexadezimalsystemdargestellt wird, stellt man den Ziffern ein 0x voran oder hängt ein h an.

DieUmrechnung vonZahlensystemen

Umrechnung einer ganzen Zahl vom Binär- in das Hexadezimalsystem isteinfach. Sie gruppieren die Bits in Gruppen von jeweils 4 Bit und fassen dieseGruppen jeweils als eineHexadezimalziffer auf. Ebenso einfach ist dieUmrechnungvomHexadezimal- in das Binärsystem. Jede Hexadezimalziffer wird einfach durchdie entsprechenden 4 Bits ersetzt. Etwas mehr Aufwand erfordert die Umrechnungvom Dezimalsystem in das Binär- oder Hexadezimalsystem.

2.8 Darstellungen von Datenstrukturen Seite 33

BBeispiel 2.3: Umrechnung Hexadezimal-, Binär-, Dezimalsystem

Die Umrechnung der ganzen Zahl 0x1AE4 von der gegebenen Hexadezimal-darstellung in die Binärdarstellung ist einfach:

Hexadezimal: 1 A E 4Binär: 0001 1010 1110 0100

Sie müssen einfach jede Hexadezimalziffer in die entsprechenden 4 Bitsumrechnen, also z.B. 0x4 in den Bitstring 0100 oder 0xE in den Bitstring 1110.Die Umkehrung ist ebenso einfach.

Die Umrechnung von 0x1AE4 in das Dezimalsystem ist etwas schwieriger.Es gilt

0x1AE4 = 1 ·163 +10 ·162 +14 ·161 +4 ·160

= 212 +10 ·28 +14 ·24 +4= 4096+10 ·256+14 ·16+4 = 4096+2560+224+4= 6884.

Ein Zeichenketteweiteres gängiges Beispiel eines Datentyps ist eine Zeichenkette oder ein String.Damit man aus dem Byte-String die einzelnen Zeichen richtig interpretieren kann,muss man die zugrundeliegende Kodierung kennen. Gebräuchliche Kodierungenfür Zeichen sind:

• ASCII ASCII(American Standard Code for Information Interchange): Jedes Bytewird als ein Zeichen interpretiert. Allerdings nutzt ASCII nur sieben Bitsaus einem Byte, d.h. es gibt 128 ASCII-Zeichen. Zum Beispiel steht der(hexadezimale)Wert 0x4E für denBuchstaben N, d.h. dessen Bytedarstellungist 4E. Die ersten 32 ASCII-Werte von 0x00 bis 0x1F sind Steuerzeichen (z.B.0x0A für Zeilenumbruch) und damit nicht druckbar.

• Unicode: UTF-8, UTF-16Die Unicode Kodierung hat zum Ziel, Umlaute und weitere spe-zielle Zeichen unterschiedlicher Sprachen zu kodieren. Unicode gibt esin verschiedenen Varianten. Bekannt aus dem Umfeld des Internet ist dieUnicode-Kodierung UTF-8, die ein volles Byte zur Kodierung nutzt. UTF-8ist abwärtskompatibel mit ASCII (d.h. UTF-8 stimmt in den sieben nieder-wertigen Bits in einem Byte mit den entsprechenden ASCII-Werten überein).Im Umfeld der digitalen Forensik ist auch die Unicode-Kodierung UTF-16relevant, zum Beispiel weil das unter Windows gebräuchliche DateisystemNTFS die UTF-16-Kodierung nutzt.

Ein Byte-Orderingwichtiger Punkt bei der Interpretation der Datenstruktur in einem Byte-Stringist die Speicherorganisation bzw. das Byte-Ordering. Auf unterschiedlichen Rechner-architekturen haben sich zwei verschiedene Speicherorganisationen durchgesetzt,die wir kurz beschreiben:

• Systeme Little-Endianmit Speicherorganisation Little-Endian speichern das niederwer-tigste (least significant) Byte der Datenstruktur in der niedrigsten Spei-cheradresse (d.h. der relativen Speicheradresse 0). Die Little-Endian Byte-Reihenfolge nutzen heute gängige x86- und x64-Systeme.

• Systeme Big-Endianmit Speicherorganisation Big-Endian speichern das niederwertigste(least significant) Byte der Datenstruktur in der höchsten Speicheradresse


(d.h. der relativen Speicheradresse n−1). Die Big-Endian Byte-Reihenfolgenutzen zum Beispiel Mainframe Umgebungen.

B Beispiel 2.4: Byte-Ordering (Big-Endian vs. Little-Endian)

Wir betrachten den dreistelligen Hexadezimalwert 0x123456 und gebendessen Darstellung im Big- und Little-Endian an. Wir nehmen an, die Zahlwird ab Adresse 23 gespeichert. Dann gilt:

Absolute Speicheradresse 23 24 25Relative Speicheradresse 0 1 2

Little-Endian 56 34 12Big-Endian 12 34 56

Speichern wir den Wert bezüglich Little-Endian, dann steht das niederwer-tigste Byte 56 an der niedrigsten Adresse, also an der absoluten Adresse 23bzw. der relativen Adresse 0. Speichern wir den Wert bezüglich Big-Endian,dann steht das niederwertigste Byte 56 an der höchsten Adresse, also an derabsoluten Adresse 25 bzw. der relativen Adresse 2.

K Kontrollaufgabe 2.7: Umrechnung Hexadezimal- in Binärsystem

Berechnen Sie die Binärdarstellung der ganzen Zahl mit Hexadezimaldar-stellung 0xAB12D.

K Kontrollaufgabe 2.8: UmrechnungBinär- inDezimal-/Hexadezimalsystem

Es sei die ganze Zahl n = 110100112 im Binärsystem gegeben. Geben Sie nim Dezimal- sowie im Hexadezimalsystem an.

K Kontrollaufgabe 2.9: Länge eines Strings mittels echo

Mit der folgenden Befehlssequenz schreiben Sie einen String in die Dateitext.txt. Vergleichen Sie die Eingabelänge des Textes mit der tatsächlichenDateilänge, was fällt Ihnen auf? Wie erklären Sie sich dies?

$ echo ’Hello world!’ > text.txt

$ ls -l text.txt-rw----- 1 peter pan 13 2016-04-16 13:45 text.txt

$ xxd text.txt0000000: 4865 6c6c 6f20 776f 726c 6421 0a Hello world!.

2.8 Darstellungen von Datenstrukturen Seite 35

KKontrollaufgabe 2.10: Länge eines Byte-Strings

Sie kopieren die Bytes B100 B101 · · ·B1000 von einem Datenträger. Wie vieleByteswerden verarbeitet?Wie viele sind es im allgemeinen FallBn Bn+1 · · ·Bmmit m≥ n?

KKontrollaufgabe 2.11: ASCII-Kodierung

Wie lautet die ASCII-Kodierung des Worts Forensics?

KKontrollaufgabe 2.12: Little- vs. Big-Endian

Ein vorzeichenloser Integer mit einer Länge von 4 Byte wird innerhalb derBytes B2 B3 B4 B5 (d.h. ab Offset 2) gespeichert. Der Byte-String lautet

01A3 B267 287C E632

(Hinweis: Das erste Byte ist B0)

Bestimmen Sie den dezimalen Wert des Integers sowohl in Big-Endian alsauch in Little-Endian.

Einführung in die digitale Forensik [DigiFor] fileBachelorstudiengang Informatik/IT-Sicherheit...

Documents

Transcript of Einführung in die digitale Forensik [DigiFor] fileBachelorstudiengang Informatik/IT-Sicherheit...