Domain 5

5.4. Unterstützung der digitalen Forensik

Alles, was wir bis zu diesem Abschnitt gelernt haben, verfolgte ein einziges Ziel: Wie können wir unsere Infrastruktur effizienter und vor allem sicherer gestalten?

Und jetzt sind wir an einem sehr unangenehmen Punkt für jedes Unternehmen angelangt: Unser System war nicht sicher, wir wurden erfolgreich angegriffen und unsere möglicherweise wertvollen Informationen wurden gestohlen.

Die digitale Forensik sollte uns dabei helfen, folgende Fragen zu beantworten:

  • Wer hat unsere IT angegriffen?
  • Wie wurde der Angriff durchgeführt?
  • Was wurde genau gestohlen?
  • Und vor allem: Haben wir Beweise dafür?

Die digitale Forensik ist allerdings nicht nur Spurensuche nach einem Hackerangriff, sondern auch E-Discovery. Dabei werden Informationen bei Zivilklagen, Compliance-Untersuchungen, HR-Vorfällen oder Vertragsstreitigkeiten gesammelt.

Methoden der forensischen Datenerhebung

Die digitale Beweissicherung ist ein Prozess der Sammlung, Erhaltung, Analyse und Bereitstellung der digitalen Informationen, die später für ein juristisches Verfahren genutzt werden dürfen, in der Fachsprache E-Discovery genannt.

In der Theorie ist ein E-Discovery der klassischen physischen Beweissicherung sehr ähnlich, aber mit einem wesentlichen Unterschied: Die digitalen Daten sind flüchtig (ephemeral), da sie leicht verändert, überschrieben oder gelöscht werden können. Schon eine leichte Abweichung von den Standards kann die Beweismittel rechtlich unzulässig machen.

Für eine rechtssichere E-Discovery gibt es bewährte Methoden und Standards: EDRM, NIST SP 800-86 und ISO/IEC 27050.

EDRM (Electronic Discovery Reference Model).

EDRM ist das Referenzmodell speziell für E-Discovery. Dieses Model besteht aus sieben Phasen, die teileweise miteinander verknüpft sind.

1. Preservation Aufbewahrungspflicht. Bei drohender juristischer Auseinandersetzung beginnt die erste kritische Phase: die Sicherstellung aller relevanten Informationen durch einen Legal Hold – eine formelle Anordnung an alle betroffenen Personen und Abteilungen, relevante Daten weder zu löschen noch zu verändern. Alle automatischen Löschroutinen (Retention Policies) für Logs, E-Mails, Backups und Archivierungen müssen ausgesetzt werden.

2. Collection – Systematische Datensammlung. Der weitere Schritt wäre eine systematische und kontrollierte Sammlung von Information, oft ist das eine Zusammenarbeit zwischen IT- und Rechtsabteilung. Dabei werden die gesammelten Daten mit Hash-Werten versehen, um ihre Integrität nachweisen zu können. Spezialisierte E-Discovery-Tools wie Relativity, Nuix oder Exterro kommen zum Einsatz.

3. Production – Herausgabe der Beweise. Die gesammelten Daten werden von Juristen bewertet – nur für den Streitfall relevante Informationen werden weitergegeben. Teile davon müssen anonymisiert werden, was den Prozess zeitaufwendig macht. Das Ergebnis ist ein ESI (Electronically Stored Information), ein standardisierter elektronischer Datensatz (z. B. EDRM XML, PDF/A), der der Gegenseite oder dem Gericht übermittelt wird.

Das vollständige EDRM besteht aus:

  1. Information Governance – Datenverwaltung und Richtlinien vorab
  2. Identification – relevante Datenquellen identifizieren
  3. Preservation – Legal Hold, Aufbewahrungspflicht
  4. Collection – systematische Datensammlung
  5. Processing – Daten aufbereiten, filtern, deduplizieren
  6. Review – juristische Bewertung der Relevanz
  7. Production – Herausgabe als ESI

NIST SP 800-86

Der Leitfaden des National Institute of Standards and Technology definiert vier Schritte aus technischer Perspektive. Er passt sowohl zu „Data Collection Methodologies“ als auch zum letzten Punkt „Collect, acquire, and preserve digital evidence“:

1. Identifikation und Sammlung. Im ersten Schritt werden alle relevanten Daten identifiziert und erfasst, ohne die Originaldaten zu verändern.

2. Forensische Beschaffung (Imaging). In diesem Schritt wird ein bit-genaue Kopie des Datenträgers, inklusive gelöschter Daten und freiem Speicher erstellt. Ein Write Blocker (primär als Hardware-Tool, z. B. Tableau oder WiebeTech) verhindert, dass das Originalmedium bei der Kopie verändert wird. Das forensische Image wird in Formaten wie E01 (EnCase) oder dd gespeichert. Typische Tools: FTK Imager, EnCase, Autopsy.

3. Sicherstellung der Integrität. Die Integrität von Beweismitteln wird durch Hash-Werte (MD5, SHA-256) gewährleistet. Stimmen der Hash-Wert des Originals und der Kopie überein, ist die Integrität bewiesen, d. h., die Daten wurden nicht verändert.

4. Chain of Custody (Beweiskette). Alle oberen Schritte müssen lückenlos dokumentiert sein: Wer hat wann die Beweise gesammelt? Wer hat wann darauf zugegriffen? Nur eine lückenlose Beweiskette wird vom Gericht zugelassen.

ISO/IEC 27050

ISO/IEC 27050 ist kein Zertifizierungsstandard – es gibt keine offizielle 27050-Zertifizierung. Es ist ein Leitfaden für die korrekte Durchführung von E-Discovery, an dem sich Organisationen orientieren können:

  • Teil 1 – Begriffe, Grundlagen und Anforderungen
  • Teil 2 – Governance und organisatorische Rahmenbedingungen
  • Teil 3 – Praktischer Verhaltenskodex
  • Teil 4 – Technische Leitlinien für forensische Umsetzung

Management von Beweismitteln (Evidence Management)

Evidence Management befasst sich mit der sicheren Verwaltung digitaler Beweise,  insbesondere mit der bereits in NIST SP 800-86 beschriebenen Chain of Custody.

Aus der Cloud-Perspektive ist die Sammlung forensischer Beweise besonders herausfordernd: Daten können auf gemeinsamer Infrastruktur (Multi-Tenancy) liegen, über entfernte Speicherorte verteilt sein, und Kunden haben keinen direkten Zugriff auf physische Datenträger.

Rules of Evidence

Diese fünf Kriterien wurden unter anderem in diesem Artikel gefunden und sind da detailliert beschrieben: Digital Forensics Investigation Jurisprudence: Issues of Admissibility of Digital Evidence

Authentizität (Authenticity) – Der Ursprung des Beweises ist echt und nachvollziehbar.

Genauigkeit (Accuracy) – Die Daten sind korrekt und unverfälscht.

Vollständigkeit (Completeness) – Der Beweis enthält alle relevanten Informationen.

Zulässigkeit (Admissibility) – Sammlung und Aufbewahrung erfolgten rechtmäßig.

Überzeugungskraft (Convincingness) – Der Beweis ist schlüssig und nachvollziehbar.

Eine ordnungsgemäße Chain of Custody erfordert:

  • Beschriftetes Beweisstück mit:
    • Ort und Zeit der Sicherstellung
    • Name des „Sammlers“
    • Beschreibung des Beweismittels
  • versiegelter Beutel
  • durchgehendes Beweisprotokoll
  • vollständige Dokumentation jedes Handlings

Sammeln, Beschaffen und Sichern digitaler Beweise

In diesem Abschnitt wird die praktische Umsetzung der Beweissicherung, auch DFIR (Digital Forensics and Incident Response) genannt, beschrieben. Während sich E-Discovery primär an rechtlichen Aspekten richtet, ist DFIR technisch orientiert. DFIR beschreibt konkret, wie digitale Beweise gesammelt, gesichert und analysiert werden. DFIR ist kein einzelner Standard, sondern kombiniert zwei eng verwandte Disziplinen: Digital Forensics und Incident Response.

Grundprinzip: Integrität

Eines der wichtigsten Grundprinzipien der Forensik ist die Bewahrung der Integrität. Die Beweise dürfen nicht verändert werden, weshalb die Analyse immer an Images/Kopien und niemals am Original erfolgt.

Order of Volatility

Bei der Beweissicherung ist es extrem wichtig, die korrekte Reihenfolge einer Analyse zu bewahren (Order of Volatility), da unterschiedliche Daten unterschiedlich „flüchtig“ sind. Nach RFC 3227 gilt folgende Reihenfolge (von flüchtig nach permanent):

  1. CPU-Register und Cache
  2. RAM-Inhalt
  3. Netzwerkverbindungen und -traffic
  4. Laufende Prozesse
  5. Temporäre Dateien (Swap/Pagefile)
  6. Festplattendaten und Logs
  7. Archivdaten und Backups

Arten von Beweisen

Die vier unteren Punkte kommen nicht aus der Informatik, sondern aus der Rechtswissenschaft, aber in unserem Kontext sind sie ebenfalls relevant.

  • Real Evidence – physische Objekte (z. B. Festplatten, USB-Sticks)
  • Documentary Evidence – digitale Dateien, Protokolle, Logs
  • Testimonial Evidence – Aussagen von Zeugen oder Sachverständigen
  • Demonstrative Evidence – Grafiken, Diagramme oder Visualisierungen, die einen Sachverhalt erklären

Forensik-Disziplinen

Je nach Untersuchungsgegenstand unterscheidet man:

  • System- und Dateiforensik – Analyse von Dateisystemen, gelöschten Dateien (File Carving)
  • Netzwerkforensik – Analyse von Netzwerktraffic und Verbindungsprotokollen
  • Passwortforensik – Wiederherstellung oder Analyse von Zugangsdaten
  • Software-Forensik – Analyse von Malware oder schadhaftem Code oder Urheberrechtsstreit

Physische Aufbewahrung

Gesammelte digitale Beweismittel müssen unmittelbar nach der Sicherstellung angemessen geschützt aufbewahrt werden. Dies ist je nach Gerätetyp unterschiedlich:

Smartphones, Tablets oder sonstige funkfähige Geräte müssen in einer Faraday Box oder einem Faraday Bag aufbewahrt werden, um elektromagnetische Beeinflussung zu verhindern

HDDs und SSDs benötigen eine antistatische Verpackung, um sie vor elektrostatischer Entladung zu schützen, sowie einen physischen Schutz vor Erschütterungen und Magnetfeldern.

Für die langfristige Aufbewahrung aller Beweismittel gelten wie immer gesicherte Räume mit Zugangsprotokollen sowie eine lückenlose Dokumentation im Rahmen der Chain of Custody.

, , , , , , , , , ,