Computerforensik – auch bekannt als digitale Forensik oder IT-Forensik – kombiniert Informatik und Forensik, um digitale Beweise auf eine Art und Weise zu sammeln, die vor Gericht zulässig ist.
So wie Strafverfolgungsbeamte Tatorte nach Hinweisen durchkämmen, suchen Computerforensiker auf digitalen Geräten nach Beweisen, die Anwälte bei strafrechtlichen Ermittlungen, in Zivilprozessen, bei Ermittlungen zur Cyberkriminalität und in anderen Angelegenheiten der Unternehmens- und nationalen Sicherheit verwenden können. Analog zur Strafverfolgung müssen sich auch Ermittler in der Computerforensik nicht nur mit der Jagd nach digitalen Nachweisen auskennen, sondern auch Fachleute im Erfassen, in der Behandlung und in der Verarbeitung dieser Informationen sein, um sicherzustellen, dass sie realitätsgetreu und vor Gericht zulässig sind.
Computerforensik steht in engem Zusammenhang mit Cybersicherheit. Computerforensische Erkenntnisse können Cybersicherheitsteams dabei helfen, die Erkennung und Auflösung von Cyberbedrohungen zu beschleunigen und zukünftige Cyberangriffe zu verhindern. Die digitale Forensik und Reaktion auf Vorfälle (Digital forensics and incident response, DFIR) ist eine neu entstehende Disziplin im Bereich Cybersicherheit. Sie integriert Computerforensik und Aktivitäten zur Reaktion auf Vorfälle, um die Behebung von Cyberbedrohungen zu beschleunigen und gleichzeitig sicherzustellen, dass alle damit verbundenen digitalen Nachweise nicht beeinträchtigt werden.
Gewinnen Sie mit dem Index „IBM Security X-Force Threat Intelligence“ Einblicke, um sich schneller und effektiver auf Cyberangriffe vorzubereiten und auf sie zu reagieren.
Registrieren Sie sich für den Bericht über die Kosten einer Datenschutzverletzung
Erstmalig bekannt wurde die Computerforensik in den frühen 1980er-Jahren mit der Erfindung des Personal Computer (PC). Technologie wurde daraufhin immer mehr zu einem festen Bestandteil des täglichen Lebens. Kriminelle erkannten hier eine Gelegenheit und fingen an, Verbrechen mit elektronischen Geräten zu begehen.
Bald darauf wurde das Internet fast über Nacht mit allem verbunden, was E-Mail- und Remote-Zugriff auf Computernetze von Unternehmen und Organisationen ermöglichte und Türen für komplexere Malware und Cyberangriffe öffnete. Als Reaktion auf dieses neue Gebiet der Cyberkriminalität benötigten die Strafverfolgungsbehörden ein System, um elektronische Daten zu untersuchen und zu analysieren. Das war die Geburtsstunde der Computerforensik.
Zunächst fand man die meisten digitalen Nachweise auf Computersystemen und IT-Geräten – auf Personal Computers (PCs), Servern, Handys, Tablets und elektronischen Speichermedien. Inzwischen erzeugen und speichern jedoch immer mehr industrielle und kommerzielle Geräte und Produkte – von Geräten des Internets der Dinge (IoT) und der Betriebstechnik (OT) über Autos und Haushaltsgeräte bis hin zu Türklingeln und Hundehalsbändern – Daten und Metadaten, die erfasst und als digitale Beweise ausgewertet werden können.
Nehmen wir einen Autounfall als Beispiel. In der Vergangenheit haben die Strafverfolgungsbehörden den Tatort möglicherweise auf physische Beweise wie Ausweichspuren oder zerbrochenes Glas untersucht. Vielleicht haben sie auch auf den Telefonen der Fahrer geprüft, ob es Nachweise dafür gibt, dass während der Fahrt SMS geschrieben wurden.
Heutzutage generieren und speichern neuere Autos alle möglichen Arten von digitalen Daten und Metadaten mit Zeitstempel, anhand derer detaillierte Angaben zum Standort, zur Geschwindigkeit und zu den Betriebsbedingungen eines jeden Fahrzeugs zu einem bestimmten Zeitpunkt gemacht werden können. Diese Daten verwandeln moderne Fahrzeuge in ein weiteres leistungsfähiges forensisches Tool, das es den Ermittlern ermöglicht, die Ereignisse vor, während und nach einem Unfall zu rekonstruieren. Möglicherweise können die Ermittler anhand dieser Daten sogar den Unfallverursacher ermitteln, selbst wenn es keine herkömmlichen physischen Beweise oder Augenzeugen gibt.
Genau wie physische Beweise am Tatort müssen auch digitale Nachweise gesammelt und korrekt behandelt werden. Andernfalls können die Daten und Metadaten verloren gehen – oder vor Gericht als unzulässig erachtet werden.
Ermittler und Staatsanwälte müssen beispielsweise eine ordnungsgemäße Beweismittelkette für digitale Nachweise vorweisen können: Sie müssen dokumentieren, wie diese Nachweise behandelt, verarbeitet und gespeichert wurden. Darüber hinaus müssen sie wissen, wie sie die Daten sammeln und speichern, ohne sie zu verändern – wenn man bedenkt, dass scheinbar harmlose Aktionen wie das Öffnen, Drucken oder Speichern von Dateien die Metadaten dauerhaft verändern können, ist das eine Herausforderung.
Aus diesem Grund beauftragen die meisten Unternehmen auf Computerforensik spezialisierte Ermittler (die auch unter den Jobbezeichnung Computerforensiker, IT-Forensiker oder Cyberforensiker geführt werden), um digitale Nachweise im Zusammenhang mit strafrechtlichen oder cyberkriminellen Ermittlungen zu sammeln und zu bearbeiten.
Computerforensiker haben in der Regel einen Bachelor-Abschluss in Informatik oder Strafrecht und verfügen über solide funktionale Kenntnisse der Grundlagen der Informationstechnologie (zum Beispiel Betriebssysteme, Informationssicherheit, Netzwerksicherheit, Programmiersprachen) sowie einen Hintergrund in den rechtlichen Implikationen digitaler Beweise und Cyberkriminalität. Einige spezialisieren sich möglicherweise auf Bereiche wie Forensik für Mobilgeräte oder Betriebssysteme.
Computerforensiker sind Fachleute, wenn es darum geht, rechtlich zulässige Daten aufzuspüren und aufzubewahren. Sie wissen, wie sie Daten aus Quellen sammeln, die das interne IT-Personal möglicherweise ignoriert. Dazu gehören beispielsweise externe Server oder Heimcomputer. Zudem können sie Unternehmen dabei helfen, eine solide Richtlinie für die Computerforensik zu entwickeln, die beim Sammeln von digitalen Nachweisen Zeit und Geld spart, die Folgen von Cyberkriminalität mindert und dazu beiträgt, die Netze und Informationssysteme des Unternehmens vor künftigen Angriffen zu schützen.
Computerforensik besteht aus vier Hauptschritten.
Der erste Schritt besteht darin, die Geräte oder Speichermedien zu identifizieren, die möglicherweise Daten, Metadaten oder andere digitale Artefakte enthalten, die für die Untersuchung relevant sind. Diese Geräte werden eingesammelt und in ein forensisches Labor oder eine andere sichere Einrichtung gebracht, um das Protokoll zu befolgen und eine ordnungsgemäße Datenwiederherstellung zu gewährleisten.
Forensische Experten erstellen eine Abbildung oder eine Bit-für-Bit-Kopie der zu sichernden Daten. Anschließend speichern sie sowohl das Bild als auch das Original sicher, um sie vor Veränderung oder vor dem Zerstören zu schützen.
Experten sammeln zwei Arten von Daten: persistente Daten, die auf der lokalen Festplatte eines Geräts gespeichert sind, und flüchtige Daten, die sich im Speicher oder während der Übertragung befinden (z. B. Registrierungen, Cache und Arbeitsspeicher (RAM)). Flüchtige Daten müssen besonders vorsichtig behandelt werden, da sie vergänglich sind und verloren gehen können, wenn das Gerät abgeschaltet oder vom Strom getrennt wird.
Anschließend analysieren die Forensiker die Abbildung, um relevante digitale Beweise zu identifizieren. Dies kann absichtlich oder unabsichtlich gelöschte Dateien, Navigationsverläufe, E-Mails und mehr beinhalten.
Zur Aufdeckung von „verborgenen“ Daten oder Metadaten, die anderen entgehen könnten, setzen die Ermittler auf spezielle Verfahren, darunter die Live-Analyse, bei der noch laufende Systeme auf flüchtige Daten untersucht werden, und die umgekehrte Steganografie, bei der Daten sichtbar gemacht werden, die durch die Verwendung von Steganografie versteckt wurden, eine Technik zum Verdecken vertraulicher Informationen in normal aussehenden Nachrichten.
In einem letzten Schritt erstellen die Forensiker einen formalen Bericht, in dem sie ihre Analyse darlegen und die Untersuchungsergebnisse sowie etwaige Schlussfolgerungen oder Empfehlungen mitteilen. Obwohl Berichte von Fall zu Fall unterschiedlich sind, werden sie häufig zur Einbringung von digitalen Nachweisen vor Gericht verwendet.
Es gibt mehrere Bereiche, in denen Unternehmen oder Strafverfolgungsbeauftragte eine digitale forensische Untersuchung einleiten könnten:
Strafrechtliche Untersuchungen: Strafverfolgungsbehörden und Computerforensiker können Computerforensik nutzen, um computerbezogene Verbrechen wie Cybermobbing, Hacking oder Identitätsdiebstahl sowie Verbrechen in der physischen Welt wie Diebstahl, Entführung, Mord und mehr aufzuklären. Zum Beispiel können Strafverfolgungsbeamte die Computerforensik auf dem Computer eines Mordverdächtigen einsetzen, um potenzielle Hinweise oder Beweise zu finden, die in den Suchverläufen oder gelöschten Dateien versteckt sind.
Rechtsstreite im Zivilrecht: Auch in zivilrechtlichen Prozessen können Ermittler die Computerforensik nutzen – zum Beispiel bei Betrug, bei Rechtsstreitigkeiten im Zusammenhang mit einer Anstellung oder auch bei Scheidungen. In einem Scheidungsfall kann das Anwaltsteam eines Ehepartners beispielsweise Computerforensik auf einem Mobilgerät einsetzen, um die Untreue eines Partners aufzudecken und so eine positivere Entscheidung herbeizuführen.
Schutz des geistigen Eigentums: Computerforensik kann Strafverfolgungsbehörden dabei helfen, den Diebstahl von geistigem Eigentum zu untersuchen, z. B. den Diebstahl von Geschäftsgeheimnissen oder urheberrechtlich geschütztem Material. Einige der aufsehenerregendsten Fälle in der Computerforensik betreffen den Schutz des geistigen Eigentums. Insbesondere gibt es hier Fälle, in denen ausscheidende Mitarbeitende vertrauliche Informationen stehlen, um sie an ein anderes Unternehmen zu verkaufen oder ein konkurrierendes Unternehmen zu gründen. Durch die Analyse digitaler Nachweise können Ermittler ermitteln, wer das geistige Eigentum gestohlen hat, und diese Person(en) dann zur Verantwortung ziehen.
Unternehmenssicherheit: Infolge eines Cyberangriffs wie zum Beispiel einer Datenschutzverletzung oder eines Ransomware-Angriffs nutzen Unternehmen häufig Computerforensik, um zu ermitteln, was passiert ist, und anschließend die Sicherheitslücken zu schließen. Ein typisches Beispiel wäre, dass Hacker eine Sicherheitslücke in der Firewall eines Unternehmens durchbrechen, um sensible oder wichtige Daten zu stehlen. Auch in Zukunft wird Computerforensik zur Bekämpfung von Cyberangriffen eingesetzt werden, da die Cyberkriminalität weiter zunimmt. Laut Schätzungen des FBI aus dem Jahr 2022 kosteten Computerkriminalität Amerikaner Jahresverlust in Höhe von 10,3 Milliarden US-Dollar, gegenüber 6,9 Milliarden US-Dollar im Vorjahr (Link befindet sich außerhalb von ibm.com).
Nationale Sicherheit: Die Computerforensik ist zu einem wichtigen Tool für die nationale Sicherheit geworden, da die Cyberkriminalität in den einzelnen Ländern weiter zunimmt. Regierungen oder Strafverfolgungsbehörden wie das FBI setzen heute nach Cyberangriffen computerforensische Verfahren ein, um Beweise zu finden und Sicherheitslücken zu schließen.
Wie schon gesagt sind Computerforensik und Cybersicherheit eng verwandte Disziplinen, die häufig zusammen eingesetzt werden, um digitale Netze vor Cyberangriffen zu schützen. Cybersicherheit ist sowohl proaktiv als auch reaktiv und konzentriert sich auf die Prävention und Erkennung von Cyberangriffen sowie auf die Reaktion und Behebung nach Cyberangriffen.
Computerforensik ist fast ausschließlich reaktiv und tritt im Falle eines Cyberangriffs oder einer Straftat in Aktion. Computerforensische Untersuchungen liefern jedoch oft wertvolle Informationen, die Cybersecurity-Teams zur Verhinderung zukünftiger Cyberangriffe nutzen können.
Wenn Computerforensik und die Reaktion auf Vorfälle – also die Erkennung und Entschärfung von laufenden Cyberangriffen – unabhängig voneinander durchgeführt werden, können sie sich gegenseitig behindern, was wiederum negative Folgen für ein Unternehmen mit sich bringt.
Notfallteams können bei der Entfernung einer Sicherheitsbedrohung aus dem Netz digitale Beweise ändern oder löschen. Forensische Ermittler können die Aufklärung von Bedrohungen verzögern, während sie Beweise aufspüren und sichern.
Die digitale Forensik und Reaktion auf Sicherheitsvorfälle (Digital forensics and incident response, DFIR) kombiniert Computerforensik und die Reaktion auf Vorfälle in einem integrierten Workflow, der Sicherheitsteams helfen kann, Cyberbedrohungen schneller zu stoppen und gleichzeitig digitale Nachweise zu sichern, die durch die Dringlichkeit der Entschärfung von Bedrohungen verloren gehen könnten. Bei DFIR
erfolgt die forensische Datenerfassung parallel zur Entschärfung von Bedrohungen. Die Notfallteams setzen dabei bei der Eindämmung und Beseitigung von Bedrohungen computerforensische Verfahren ein, um Daten zu sammeln und beizubehalten. So ist sichergestellt, dass eine ordnungsgemäße Beweismittelkette befolgt wird und dass wertvolle Beweisstücke nicht verändert oder gelöscht werden.
Die Überprüfung nach einem Vorfall umfasst auch das Überprüfen von digitalen Nachweisen. DFIR-Teams sichern nicht nur Beweise für rechtliche Schritte, sondern rekonstruieren auch Cybersicherheitsvorfälle von Anfang bis Ende, um zu erfahren, was passiert ist, wie es passiert ist, wie groß der Schaden ist und wie ähnliche Angriffe vermieden werden können.
DFIR kann zu einer schnelleren Eindämmung von Bedrohungen, einer leistungsfähigeren Wiederherstellung nach Bedrohungen und einer verbesserten Beweislage bei der Untersuchung von Strafsachen, Cyberkriminalität, Schadensmeldungen und mehr führen.
Proaktive Bedrohungssuche, kontinuierliche Überwachung und eine gründliche Untersuchung von Bedrohungen sind nur einige der Prioritäten, mit denen eine ohnehin schon ausgelastete IT-Abteilung konfrontiert ist. Ein vertrauenswürdiges Notfallteam in Bereitschaft kann Ihre Reaktionszeit verkürzen, die Auswirkungen eines Cyberangriffs minimieren und Ihnen helfen, sich schneller zu erholen.
Um modernen Ransomware-Bedrohungen vorzubeugen und gegen sie vorzugehen, nutzt IBM Erkenntnisse, die aus 800 TB an Bedrohungsdaten, Informationen über mehr als 17 Millionen Spam- und Phishing-Angriffe sowie Reputationsdaten zu fast einer Million schädlichen IP-Adressen aus einem Netzwerk mit 270 Millionen Endpunkten gewonnen wurden.
DFIR kombiniert zwei Bereiche der Cybersicherheit, um die Reaktion auf Sicherheitsbedrohungen zu optimieren und gleichzeitig Beweise gegen Cyberkriminelle zu schützen.
Cyberangriffe sind unerwünschte Versuche, Informationen durch unbefugten Zugriff auf Computersysteme zu stehlen, offenzulegen, zu ändern, zu inaktivieren oder zu löschen.
Das Sicherheitsinformations- und -ereignismanagement (SIEM) ermöglicht die Überwachung und Analyse von Ereignissen in Echtzeit sowie die Nachverfolgung und Protokollierung von Sicherheitsdaten zu Compliance- oder Protokollierungszwecken.