Computerforensik – auch bekannt als digitale Forensik oder IT-Forensik – kombiniert Informatik und Forensik, um digitale Nachweise auf eine Art und Weise zu sammeln, die vor Gericht zulässig ist.
So wie Strafverfolgungsbeamte Tatorte nach Hinweisen durchkämmen, suchen Computerforensiker auf digitalen Geräten nach Beweisen, die Anwälte bei strafrechtlichen Ermittlungen, in Zivilprozessen, bei Ermittlungen zur Cyberkriminalität und in anderen Angelegenheiten der Unternehmens- und nationalen Sicherheit verwenden können. Analog zur Strafverfolgung müssen sich auch Ermittler in der Computerforensik nicht nur mit der Jagd nach digitalen Nachweisen auskennen, sondern auch Fachleute im Erfassen, in der Behandlung und in der Verarbeitung dieser Informationen sein, um sicherzustellen, dass sie realitätsgetreu und vor Gericht zulässig sind.
Computerforensik steht in engem Zusammenhang mit Cybersicherheit. Computerforensische Feststellungen können Cybersicherheitsteams dabei helfen, die Erkennung und Auflösung von Cyberbedrohungen zu beschleunigen und zukünftige Cyberangriffe zu verhindern. Die digitale Forensik und Reaktion auf Sicherheitsvorfälle (Digital forensics and incident response, DFIR) ist eine neu entstehende Disziplin im Bereich Cybersicherheit. Sie integriert Computerforensik und Aktivitäten zur Reaktion auf Vorfälle, um die Behebung von Cyberbedrohungen zu beschleunigen und gleichzeitig sicherzustellen, dass alle damit verbundenen digitalen Nachweise nicht beeinträchtigt werden.
Erstmalig bekannt wurde die Computerforensik in den frühen 1980er-Jahren mit der Erfindung des Personal Computer (PC). Technologie wurde daraufhin immer mehr zu einem festen Bestandteil des täglichen Lebens. Kriminelle erkannten hier eine Gelegenheit und fingen an, Verbrechen mit elektronischen Geräten zu begehen.
Bald darauf wurde das Internet fast über Nacht quasi für alle Menschen zugänglich: Es ermöglichte E-Mail- und Remote-Zugriff auf Computernetze von Unternehmen und Organisationen und öffnete die Tür für komplexere Malware und Cyberangriffe. Als Reaktion auf dieses neue Gebiet der Cyberkriminalität benötigten die Strafverfolgungsbehörden ein System, um elektronische Daten zu untersuchen und zu analysieren. Das war die Geburtsstunde der Computerforensik.
Zunächst fand man die meisten digitalen Nachweise auf Computersystemen und IT-Geräten – auf Personal Computers (PCs), Servern, Handys, Tablets und elektronischen Speichermedien. Inzwischen erzeugen und speichern jedoch immer mehr industrielle und kommerzielle Geräte und Produkte – angefangen bei Geräten des Internets der Dinge (IoT) und der Betriebstechnik (OT) über Autos und Haushaltsgeräte bis hin zu Türklingeln und Hundehalsbändern – Daten und Metadaten, die erfasst und als digitale Nachweise ausgewertet werden können.
Nehmen wir einen Autounfall als Beispiel. In der Vergangenheit haben die Strafverfolgungsbehörden den Tatort möglicherweise auf physische Beweise wie Ausweichspuren oder zerbrochenes Glas untersucht. Vielleicht haben sie auch auf den Telefonen der Fahrer geprüft, ob es Nachweise dafür gibt, dass während der Fahrt SMS geschrieben wurden.
Heutzutage generieren und speichern neuere Autos alle möglichen Arten von digitalen Daten und Metadaten mit Zeitstempel, anhand derer detaillierte Angaben zum Standort, zur Geschwindigkeit und zu den Betriebsbedingungen eines jeden Fahrzeugs zu einem bestimmten Zeitpunkt gemacht werden können. Diese Daten verwandeln moderne Fahrzeuge in ein weiteres leistungsfähiges forensisches Tool, das es den Ermittlern ermöglicht, die Ereignisse vor, während und nach einem Unfall zu rekonstruieren. Möglicherweise können die Ermittler anhand dieser Daten sogar den Unfallverursacher ermitteln, selbst wenn es keine herkömmlichen physischen Beweise oder Augenzeugen gibt.
Genau wie physische Beweise am Tatort müssen auch digitale Nachweise gesammelt und korrekt behandelt werden. Andernfalls können die Daten und Metadaten verloren gehen – oder vor Gericht als unzulässig erachtet werden.
Ermittler und Staatsanwälte müssen beispielsweise eine ordnungsgemäße Beweismittelkette für digitale Nachweise vorweisen können: Sie müssen dokumentieren, wie diese Nachweise behandelt, verarbeitet und gespeichert wurden. Darüber hinaus müssen sie wissen, wie sie die Daten sammeln und speichern, ohne sie zu verändern – wenn man bedenkt, dass scheinbar harmlose Aktionen wie das Öffnen, Drucken oder Speichern von Dateien die Metadaten dauerhaft verändern können, ist das eine Herausforderung.
Aus diesem Grund beauftragen die meisten Unternehmen auf Computerforensik spezialisierte Ermittler (die auch unter den Jobbezeichnung Computerforensiker, IT-Forensiker oder Cyberforensiker geführt werden), um digitale Nachweise im Zusammenhang mit strafrechtlichen oder cyberkriminellen Ermittlungen zu sammeln und zu bearbeiten.
Fachleute für Computerforensik haben in der Regel einen Bachelor-Abschluss in Informatik oder im Bereich Strafrecht und verfügen über solides Fachwissen in Bezug auf die Grundlagen der Informationstechnologie (IT) – z. B. im Hinblick auf Betriebssysteme, Informationssicherheit, Netzsicherheit und Programmiersprachen – sowie über Hintergrundwissen zu den rechtlichen Auswirkungen von digitalen Nachweisen und Cyberkriminalität. Einige spezialisieren sich möglicherweise auf Bereiche wie Forensik für Mobilgeräte oder für Betriebssysteme.
Computerforensiker sind Fachleute, wenn es darum geht, rechtlich zulässige Daten aufzuspüren und aufzubewahren. Sie wissen, wie sie Daten aus Quellen sammeln, die das interne IT-Personal möglicherweise ignoriert. Dazu gehören beispielsweise externe Server oder Heimcomputer. Zudem können sie Unternehmen dabei helfen, eine solide Richtlinie für die Computerforensik zu entwickeln, die beim Sammeln von digitalen Nachweisen Zeit und Geld spart, die Folgen von Cyberkriminalität mindert und dazu beiträgt, die Netze und Informationssysteme des Unternehmens vor künftigen Angriffen zu schützen.
Computerforensik besteht aus vier Hauptschritten.
Der erste Schritt besteht darin, die Geräte oder Speichermedien zu identifizieren, die möglicherweise Daten, Metadaten oder andere digitale Artefakte enthalten, die für die Untersuchung relevant sind. Diese Geräte werden eingesammelt und in ein forensisches Labor oder eine andere sichere Einrichtung gebracht, um das Protokoll zu befolgen und eine ordnungsgemäße Datenwiederherstellung zu gewährleisten.
Forensische Experten erstellen eine Abbildung oder eine Bit-für-Bit-Kopie der zu sichernden Daten. Anschließend speichern sie sowohl die Abbildung als auch das Original auf eine sichere Art und Weise, um sie vor Veränderung oder auch vor dem Löschen zu schützen. Experten sammeln zwei Arten von Daten: persistente Daten, die auf der lokalen Festplatte eines Geräts gespeichert sind, und flüchtige Daten, die sich im Hauptspeicher oder in der Übertragung (z. B. Registrierung, Cache und Arbeitsspeicher (RAM)) befinden. Flüchtige Daten müssen besonders vorsichtig behandelt werden, da sie vergänglich sind und verloren gehen können, wenn das Gerät abgeschaltet oder vom Strom getrennt wird.
Anschließend analysieren die Forensiker die Abbildung, um relevante digitale Nachweise zu identifizieren. Dies kann absichtlich oder unabsichtlich gelöschte Dateien, Navigationsverläufe, E-Mails und mehr beinhalten. Zur Aufdeckung von „verdeckten“ Daten oder Metadaten, die anderen entgehen könnten, setzen die Ermittler auf spezielle Verfahren, darunter die Live-Analyse, bei der noch laufende Systeme auf flüchtige Daten untersucht werden, und die umgekehrte Steganografie, bei der Daten aufgedeckt werden, die mithilfe von Steganografie versteckt wurden – also mithilfe eines Verfahrens zur Verschleierung vertraulicher Informationen in normal aussehenden Nachrichten.
In einem letzten Schritt erstellen die Forensiker einen formalen Bericht, in dem sie ihre Analyse darlegen und die Untersuchungsergebnisse sowie etwaige Schlussfolgerungen oder Empfehlungen mitteilen. Obwohl Berichte von Fall zu Fall unterschiedlich sind, werden sie häufig zur Einbringung von digitalen Nachweisen vor Gericht verwendet.
Es gibt mehrere Bereiche, in denen Unternehmen oder Strafverfolgungsbeauftragte eine digitale forensische Untersuchung einleiten könnten:
Strafrechtliche Untersuchungen: Strafverfolgungsbehörden und Computerforensiker können Computerforensik nutzen, um computerbezogene Verbrechen wie Cybermobbing, Hacking oder Identitätsdiebstahl sowie Verbrechen in der physischen Welt wie Diebstahl, Entführung, Mord und mehr aufzuklären. Zum Beispiel können Strafverfolgungsbeamte die Computerforensik auf dem Computer eines Mordverdächtigen einsetzen, um potenzielle Hinweise oder Beweise zu finden, die in den Suchverläufen oder gelöschten Dateien versteckt sind.
Rechtsstreite im Zivilrecht: Auch in Zivilprozessen können Ermittler Computerforensik nutzen – zum Beispiel bei Betrug, bei Rechtsstreitigkeiten im Zusammenhang mit einer Anstellung oder auch bei Scheidungen. In einem Scheidungsfall kann das Anwaltsteam eines Ehepartners beispielsweise Computerforensik auf einem Mobilgerät einsetzen, um die Untreue des Partners aufzudecken und so eine positivere Entscheidung herbeizuführen.
Schutz des geistigen Eigentums: Computerforensik kann Strafverfolgungsbehörden dabei helfen, den Diebstahl von geistigem Eigentum zu untersuchen, z. B. den Diebstahl von Geschäftsgeheimnissen oder urheberrechtlich geschütztem Material. Einige der aufsehenerregendsten Fälle in der Computerforensik betreffen den Schutz des geistigen Eigentums. Insbesondere gibt es hier Fälle, in denen ausscheidende Mitarbeitende vertrauliche Informationen stehlen, um sie an ein anderes Unternehmen zu verkaufen oder ein konkurrierendes Unternehmen zu gründen. Durch die Analyse digitaler Nachweise können Ermittler ermitteln, wer das geistige Eigentum gestohlen hat, und diese Person(en) dann zur Verantwortung ziehen.
Unternehmenssicherheit: Infolge eines Cyberangriffs wie zum Beispiel einer Datenschutzverletzung oder eines Ransomware-Angriffs nutzen Unternehmen häufig Computerforensik, um zu ermitteln, was passiert ist, und anschließend die Sicherheitslücken zu schließen. Ein typisches Beispiel wäre, dass Hacker eine Sicherheitslücke in der Firewall eines Unternehmens durchbrechen, um sensible oder wichtige Daten zu stehlen. Auch in Zukunft wird Computerforensik zur Bekämpfung von Cyberangriffen eingesetzt werden, da die Cyberkriminalität weiter zunimmt. Laut Schätzungen des FBI aus dem Jahr 2022entstand den Amerikaner durch Computerkriminalität ein Jahresverlust in Höhe von 10,3 Milliarden US-Dollar – gegenüber 6,9 Milliarden US-Dollar im Vorjahr (PDF, Link befindet sich außerhalb von ibm.com).
Nationale Sicherheit: Die Computerforensik ist zu einem wichtigen Tool für die nationale Sicherheit geworden, da die Cyberkriminalität in den einzelnen Ländern weiter zunimmt. Regierungen oder Strafverfolgungsbehörden wie das FBI setzen heute nach Cyberangriffen computerforensische Verfahren ein, um Beweise zu finden und Sicherheitslücken zu schließen.
Wie schon gesagt sind Computerforensik und Cybersicherheit eng verwandte Disziplinen, die häufig zusammen eingesetzt werden, um digitale Netze vor Cyberangriffen zu schützen. Cybersicherheit ist sowohl proaktiv als auch reaktiv und konzentriert sich auf die Prävention und Erkennung von Cyberangriffen sowie auf die Reaktion und Behebung nach Cyberangriffen. Computerforensik ist fast ausschließlich reaktiv. Die Aktivität beginnt hier im Falle eines Cyberangriffs oder einer Straftat. Computerforensische Untersuchungen liefern jedoch oft wertvolle Informationen, die die für Cybersicherheit zuständigen Teams nutzen können, um zukünftige Cyberangriffe zu verhindern.
Wenn Computerforensik und die Reaktion auf Vorfälle – also die Erkennung und Entschärfung von laufenden Cyberangriffen – unabhängig voneinander durchgeführt werden, können sie sich gegenseitig behindern, was negative Folgen für ein Unternehmen mit sich bringt. Notfallteams können bei der Entfernung einer Sicherheitsbedrohung aus dem Netz digitale Nachweise ändern oder löschen. Forensische Ermittler können beim Jagen nach und Erfassen von Beweisen die Entschärfung von Sicherheitsbedrohungen verzögern.
Die digitale Forensik und Reaktion auf Sicherheitsvorfälle (Digital forensics and incident response, DFIR) kombiniert Computerforensik und die Reaktion auf Vorfälle in einem integrierten Workflow, der Sicherheitsteams helfen kann, Cyberbedrohungen schneller zu stoppen und gleichzeitig digitale Nachweise zu sichern, die durch die Dringlichkeit der Entschärfung von Bedrohungen verloren gehen könnten. Bei DFIR
erfolgt die forensische Datenerfassung parallel zur Entschärfung von Bedrohungen. Die Notfallteams setzen dabei bei der Eindämmung und Beseitigung von Bedrohungen computerforensische Verfahren ein, um Daten zu sammeln und beizubehalten. So ist sichergestellt, dass eine ordnungsgemäße Beweismittelkette befolgt wird und dass wertvolle Beweisstücke nicht verändert oder gelöscht werden.
Die Überprüfung nach einem Vorfall umfasst auch das Überprüfen von digitalen Nachweisen. DFIR-Teams sichern nicht nur Beweise für rechtliche Schritte, sondern rekonstruieren auch Cybersicherheitsvorfälle von Anfang bis Ende, um zu erfahren, was passiert ist, wie es passiert ist, wie groß der Schaden ist und wie ähnliche Angriffe vermieden werden können.
DFIR kann zu einer schnelleren Eindämmung von Bedrohungen, einer leistungsfähigeren Wiederherstellung nach Bedrohungen und einer verbesserten Beweislage bei der Untersuchung von Strafsachen, Cyberkriminalität, Schadensmeldungen und mehr führen.
Verhindern Sie Angriffe auf clevere Art und Weise mit einer vernetzten, modernisierten Sicherheitssuite. Das QRadar-Portfolio ist mit auf Unternehmen abgestimmter KI ausgestattet und bietet integrierte Produkte für Endpunktsicherheit, Protokollmanagement, SIEM und SOAR – mit einer gemeinsamen Benutzeroberfläche, gemeinsamen Erkenntnissen und vernetzten Workflows.
Proaktive Bedrohungsjagd, kontinuierliche Überwachung und eine gründliche Untersuchung von Bedrohungen sind nur einige der Prioritäten, mit denen eine ohnehin schon ausgelastete IT-Abteilung konfrontiert ist. Ein vertrauenswürdiges Notfallteam in Bereitschaft kann Ihre Reaktionszeit verkürzen, die Auswirkungen eines Cyberangriffs minimieren und Ihnen helfen, sich schneller davon zu erholen.
Um modernen Ransomware-Bedrohungen vorzubeugen und gegen sie vorzugehen, nutzt IBM Erkenntnisse, die aus 800 TB an Bedrohungsdaten, Informationen über mehr als 17 Millionen Spam- und Phishing-Angriffe sowie Reputationsdaten zu fast einer Million bösartigen IP-Adressen aus einem Netzwerk mit 270 Millionen Endpunkten gewonnen wurden.
DFIR kombiniert zwei Bereiche der Cybersicherheit, um die Reaktion auf Sicherheitsbedrohungen zu optimieren und gleichzeitig Beweise gegen Cyberkriminelle zu schützen.
Cyberangriffe sind unerwünschte Versuche, Informationen durch unbefugten Zugriff auf Computersysteme zu stehlen, offenzulegen, zu ändern, zu inaktivieren oder zu löschen.
Das Sicherheitsinformations- und -ereignis-Management (SIEM) ermöglicht die Überwachung und Analyse von Ereignissen in Echtzeit sowie die Nachverfolgung und Protokollierung von Sicherheitsdaten zu Compliance- oder Auditzwecken.