Veröffentlicht: 16. Februar 2024
Mitwirkende: Annie Badman, Amber Forrest
Digitale Forensik ist der Prozess der Sammlung und Analyse digitaler Beweise in einer Weise, die ihre Integrität und Zulässigkeit vor Gericht gewährleistet.
Digitale Forensik ist ein Bereich der forensischen Wissenschaft. Es wird zur Untersuchung von Cyberkriminalität eingesetzt, kann aber auch bei straf- und zivilrechtlichen Ermittlungen helfen. So können beispielsweise Cybersicherheitsteams digitale Forensik einsetzen, um die Cyberkriminellen hinter einem Malware-Angriff zu identifizieren, während Strafverfolgungsbehörden sie zur Analyse von Daten von den Geräten eines Mordverdächtigen verwenden können.
Die digitale Forensik bietet zahlreiche Anwendungsmöglichkeiten, da sie digitale Beweismittel wie jede andere Form von Beweismitteln behandelt. Genauso wie Beamte bestimmte Verfahren anwenden, um physische Beweismittel an einem Tatort zu sichern, befolgen auch digitale forensische Ermittler bei der Handhabung digitaler Beweismittel einen strengen forensischen Prozess (auch als „Kette der Beweismittelverwaltung“ bekannt), um Manipulationen zu vermeiden.
Digitale Forensik und Computerforensik werden oft synonym bezeichnet. Die digitale Forensik umfasst jedoch technisch gesehen die Sammlung von Beweismitteln von jedem digitalen Gerät, während die Computerforensik die Sammlung von Beweismitteln speziell von Computern, Tablets, Mobiltelefonen und Geräten mit einer CPU umfasst.
Digitale Forensik und Reaktion auf Vorfälle (DFIR) ist eine aufstrebende Disziplin der Cybersicherheit, die Computerforensik und die Reaktion auf Vorfälle miteinander verbindet, um die Beseitigung von Cyberbedrohungen zu beschleunigen und gleichzeitig sicherzustellen, dass alle damit verbundenen digitalen Beweise nicht gefährdet werden.
Die digitale Forensik oder digitale forensische Wissenschaft tauchte erstmals in den frühen 1980er Jahren mit dem Aufkommen von Personalcomputern auf und gewann in den 1990er Jahren an Bedeutung.
Es dauerte jedoch bis zum frühen 21. Jahrhundert, bis Länder wie die USA ihre Richtlinien für die digitale Forensik formalisierten. Die zunehmende Standardisierung ist auf die Zunahme von Computerkriminalität in den 2000er Jahren und die landesweite Dezentralisierung der Strafverfolgungsbehörden zurückzuführen.
Angesichts der zunehmenden Zahl von Straftaten, bei denen digitale Geräte zum Einsatz kommen, und der zunehmenden Zahl von Personen, die an der Verfolgung dieser Straftaten beteiligt sind, benötigten die Beamten Verfahren, die sicherstellen, dass bei strafrechtlichen Ermittlungen digitale Beweismittel in einer Weise behandelt werden, die vor Gericht zulässig ist.
Heutzutage wird die digitale Forensik immer relevanter. Um zu verstehen, warum, stellen Sie sich die überwältigende Menge an digitalen Daten vor, die über praktisch jeden und alles verfügbar sind.
Da die Gesellschaft immer stärker auf Computersysteme und Cloud-Computing-Technologien angewiesen ist, führen Einzelpersonen einen immer größeren Teil ihres Lebens online über eine immer größere Anzahl von Geräten, einschließlich Mobiltelefonen, Tablets, IoT-Geräten, vernetzten Geräten und mehr.
Das Ergebnis sind mehr Daten – aus mehr Quellen und in mehr Formaten als je zuvor –, die Ermittler als digitale Beweismittel nutzen können, um eine wachsende Bandbreite krimineller Aktivitäten zu analysieren und zu verstehen, darunter Cyberangriffe, Datenschutzverletzungen sowie straf- und zivilrechtliche Ermittlungen.
Wie bei allen Beweismitteln, ob physisch oder digital, müssen Ermittler und Strafverfolgungsbehörden diese außerdem korrekt sammeln, handhaben, analysieren und speichern. Andernfalls können Daten verloren gehen, manipuliert werden oder vor Gericht für unzulässig erklärt werden.
Forensikexperten sind für die Durchführung digitaler forensischer Untersuchungen zuständig, und da die Nachfrage nach diesem Bereich steigt, erhöhen sich gleichzeitig auch die beruflichen Möglichkeiten. Das Bureau of Labor Statistics schätzt, dass die Zahl der offenen Stellen für Computerforensiker bis 2029 um 31 Prozent steigen wird (Link befindet sich außerhalb von ibm.com).
Das National Institute of Standards and Technology (NIST) (Link befindet sich außerhalb von ibm.com) beschreibt vier Schritte für die digitale forensische Analyse.
Hier sind einige Schritte:
Identifizieren Sie die digitalen Geräte oder Speichermedien, die Daten, Metadaten oder andere digitale Informationen enthalten, die für die digitale forensische Untersuchung relevant sind.
In Strafsachen beschlagnahmen die Strafverfolgungsbehörden die Beweismittel am potenziellen Tatort, um eine lückenlose Beweismittelkette zu gewährleisten.
Um die Beweismittelintegrität zu wahren, erstellen forensische Teams mithilfe eines Festplatten-Dupliziergeräts oder eines forensischen Bildgebungstools ein forensisches Duplikat der Daten.
Nach dem Duplizierungsprozess sichern sie die Originaldaten und führen den Rest der Untersuchung an den Kopien durch, um Manipulationen zu vermeiden.
Die Ermittler durchsuchen Daten und Metadaten nach Hinweisen auf kriminelle Aktivitäten im Internet.
Forensische Prüfer können digitale Daten aus verschiedenen Quellen wiederherstellen, darunter Webbrowser-Verlauf, Chat-Protokolle, externe Speichergeräte, gelöschte Bereiche, verfügbare Festplattenbereiche, Betriebssystem-Caches und praktisch jeder andere Teil eines Computersystems.
Forensische Analysten verwenden verschiedene Methoden und digitale forensische Tools, um Daten und Erkenntnisse aus digitalen Beweismitteln zu extrahieren.
Um beispielsweise „versteckte” Daten oder Metadaten aufzudecken, können sie spezielle forensische Techniken wie die Live-Analyse einsetzen, bei der noch laufende Systeme auf flüchtige Daten untersucht werden, oder die umgekehrte Steganografie, bei der Daten aufgedeckt werden, die mithilfe der Steganografie (einer Methode zum Verbergen sensibler Informationen in scheinbar normalen Nachrichten) versteckt wurden.
Die Ermittler können auch auf proprietäre und Open-Source-Tools zurückgreifen, um die Ergebnisse mit bestimmten Bedrohungsakteuren zu verknüpfen.
Sobald die Untersuchung abgeschlossen ist, erstellen die forensischen Experten einen formellen Bericht, in dem sie ihre Analyse darlegen und beschreiben, was passiert ist und wer möglicherweise dafür verantwortlich ist.
Die Berichte variieren je nach Fall. Bei Cyberkriminalität könnten sie Empfehlungen zur Behebung von Schwachstellen geben, um zukünftige Cyberangriffe zu verhindern. Berichte werden auch häufig verwendet, um digitale Beweise vor Gericht zu präsentieren und mit Strafverfolgungsbehörden, Versicherern, Aufsichtsbehörden und anderen Behörden zu teilen.
Als die digitale Forensik in den frühen 1980er Jahren aufkam, gab es nur wenige formelle digitale Forensik-Tools. Die meisten forensischen Teams stützten sich auf Live-Analysen, eine bekanntermaßen heikle Praxis, die ein erhebliches Manipulationsrisiko birgt.
Ende der 1990er führte die steigende Nachfrage nach digitalen Beweismitteln zur Entwicklung ausgefeilterer Tools wie EnCase und FTK, mit denen forensische Analysten Kopien digitaler Medien untersuchen konnten, ohne auf Live-Forensik zurückgreifen zu müssen.
Heutzutage verwenden forensische Experten eine Vielzahl digitaler forensischer Tools. Diese Tools können hard- oder softwarebasiert sein und Datenquellen analysieren, ohne die Daten zu manipulieren. Zu den gängigen Beispielen gehören Datei-Analyse-Tools, die einzelne Dateien extrahieren und analysieren, und Registry-Tools, die Informationen von Windows-basierten Computersystemen sammeln, die Benutzeraktivitäten in Registern katalogisieren.
Einige Anbieter stellen auch dedizierte Open-Source-Tools für bestimmte forensische Zwecke zur Verfügung. Kommerzielle Plattformen wie Encase und CAINE bieten umfassende Funktionen und Berichterstellungsmöglichkeiten. CAINE bietet eine komplette Linux-Distribution, die speziell auf die Bedürfnisse von forensischen Teams zugeschnitten ist.
Die digitale Forensik umfasst verschiedene Zweige, die auf den unterschiedlichen Quellen forensischer Daten basieren.
Zu den bekanntesten Zweigen der digitalen Forensik gehören:
Wenn Computerforensik und die Reaktion auf Vorfälle – also die Erkennung und Entschärfung von laufenden Cyberangriffen – unabhängig voneinander durchgeführt werden, können sie sich gegenseitig behindern, was negative Folgen für ein Unternehmen mit sich bringt.
Notfallteams können bei der Entfernung einer Sicherheitsbedrohung aus dem Netz digitale Nachweise ändern oder löschen. Forensische Ermittler können beim Jagen nach und Erfassen von Beweisen die Entschärfung von Sicherheitsbedrohungen verzögern.
Die digitale Forensik und Reaktion auf Sicherheitsvorfälle (Digital forensics and incident response, DFIR) kombiniert Computerforensik und die Reaktion auf Vorfälle in einem integrierten Workflow, der Sicherheitsteams helfen kann, Cyberbedrohungen schneller zu stoppen und gleichzeitig digitale Nachweise zu sichern, die durch die Dringlichkeit der Entschärfung von Bedrohungen verloren gehen könnten.
Zwei wichtige Vorteile von DFIR:
DFIR kann zu einer schnelleren Eindämmung von Bedrohungen, einer leistungsfähigeren Wiederherstellung von Bedrohungen und einer verbesserten Beweislage bei der Untersuchung von Strafsachen, Cyberkriminalität, Schadensmeldungen und anderen Sicherheitsvorfällen führen.
DFIR kombiniert zwei Bereiche der Cybersicherheit, um die Reaktion auf Sicherheitsbedrohungen zu optimieren und gleichzeitig Beweise gegen Cyberkriminelle zu schützen.
Bei der Computerforensik werden digitale Beweise von Computern gesammelt, um ihre Zulässigkeit vor Gericht sicherzustellen.