Digitale Forensik
Wissenschaftliche Untersuchung digitaler Systeme nach einem Sicherheitsvorfall - sichert Beweise gerichtsfest, rekonstruiert Angriffspfade und Täteraktivitäten und liefert die Grundlage für Strafverfolgung und technische Schadensanalyse.
Digitale Forensik (auch: Computer Forensics, Digital Forensics & Incident Response, DFIR) ist die systematische Untersuchung digitaler Spuren nach Sicherheitsvorfällen oder Straftaten. Sie verbindet informationstechnische Methoden mit rechtlichen Anforderungen an die Beweissicherung.
Forensik-Disziplinen
Computer Forensik: Analyse von Festplatten, SSDs, USB-Sticks und anderen Speichermedien. Ziel: Gelöschte Dateien wiederherstellen, Zeitstempel rekonstruieren, Benutzeraktivitäten nachvollziehen.
Memory Forensik: Analyse des flüchtigen Arbeitsspeichers (RAM-Dump). Entscheidend für: laufende Prozesse, Netzwerkverbindungen, Verschlüsselungsschlüssel (im RAM im Klartext), Malware ohne Festplattenspuren (Fileless Malware).
Netzwerkforensik: Auswertung von Netzwerkmitschnitten (PCAP), Firewall-Logs, Netflow-Daten. Rekonstruiert Kommunikation zwischen Angreifer und kompromittierten Systemen.
Malware Forensik/Reverse Engineering: Analyse von Schadsoftware: Welche Funktionen hat die Malware? Welche Command-and-Control-Server kontaktiert sie? Welche Daten exfiltriert sie? Statische (ohne Ausführung) und dynamische (in Sandbox) Analyse.
Mobile Forensik: Extraktion von Daten aus Smartphones (iOS, Android): Nachrichten, Anrufprotokolle, App-Daten, Standortdaten, Fotos.
Cloud Forensik: Besondere Herausforderung: Daten in Cloud-Umgebungen (AWS, Azure, GCP) - Log-Quellen, Zugriffsprotokolle (CloudTrail, Azure Activity Log), kurzlebige Instanzen.
Der forensische Prozess
1. Identifikation Was ist passiert? Welche Systeme sind betroffen? Welche Beweise existieren und wo?
2. Sicherung (Preservation) Wichtigstes Prinzip: Veränderungsfreie Beweissicherung.
- Write-Blocker verhindern unbeabsichtigte Schreibzugriffe auf Datenträger
- Forensische Kopien (Bit-für-Bit) via
dd, FTK Imager oder EnCase - Hash-Werte (SHA-256) sichern die Integrität der Kopie
- RAM-Dump vor dem Ausschalten des Systems (flüchtige Daten!)
# RAM-Dump (Linux)
dd if=/dev/mem of=/forensics/memory.img bs=4096
# Festplatten-Image mit Hash-Verifikation
ewfacquire /dev/sda -t /forensics/case01 -c lzma -C "CaseID" -E "Beweis01"
md5sum /forensics/case01.E01 > /forensics/case01.md53. Analyse
- Zeitstempel-Analyse (MACB-Zeiten: Modified, Accessed, Changed, Born)
- Datei-Wiederherstellung aus freiem Speicher (File Carving)
- Log-Auswertung (Windows Event Log, Syslog, Auth.log)
- Artefakt-Analyse (Registry, Prefetch, LNK-Dateien, Browser-History)
- Indikator-Extraktion (IOCs: IPs, Hashes, Domainnamen)
4. Dokumentation Lückenloses Protokoll aller forensischen Schritte (Chain of Custody) für gerichtliche Verwertbarkeit.
5. Berichterstattung Technischer Bericht (für IT) und verständlicher Bericht (für Management, Behörden).
Typische Forensik-Tools
Disk-Forensik:
Autopsy (Open Source), FTK, EnCase, Sleuth Kit, X-Ways
Memory-Forensik:
Volatility Framework (Open Source), Rekall
Malware-Analyse:
Ghidra (NSA, Open Source), IDA Pro, Cuckoo Sandbox, Any.run
Netzwerk:
Wireshark, NetworkMiner, Zeek (Bro), Arkime
Log-Analyse:
Splunk, Elastic Stack (ELK), KAPE (Artifact Collection)
Mobile:
Cellebrite UFED, Oxygen Forensics, Magnet AXIOMHerausforderungen moderner Forensik
Verschlüsselung: Vollverschlüsselte Geräte (BitLocker, FileVault) können ohne Schlüssel nicht analysiert werden. RAM-Forensik kann Schlüssel liefern.
Anti-Forensik: Angreifer (APT) nutzen Techniken zur Spurenbeseitigung: Log-Manipulation, Zeitstempel-Änderung (Timestomping), Dateilöschung mit Überschreiben, Living-off-the-Land (keine eigene Malware → weniger Spuren).
Fileless Malware: Schadsoftware nur im RAM, keine Dateien auf der Festplatte → nur RAM-Forensik kann sie erfassen.
Cloud und SaaS: Logs sind vom Anbieter abhängig. Retention-Zeiten oft kurz (30-90 Tage). Forensiker brauchen Zugang zu Cloud-Logging-Diensten.
Schiere Datenmenge: Moderne Systeme erzeugen Terabytes an Logs. KI-gestützte Forensik-Plattformen (z.B. Elastic SIEM, Microsoft Sentinel) werden unverzichtbar.
Forensik und Incident Response
Digitale Forensik und Incident Response (IR) sind eng verknüpft:
- Bei einem laufenden Vorfall hat IR-Priorität (Schadensminimierung)
- Forensik beantwortet danach: Wie sind die Angreifer eingedrungen? Wann? Welche Daten wurden exfiltriert?
Das SANS-Modell unterscheidet:
- Hot Forensik (Live Response): System läuft - flüchtige Daten sichern, Scope einschätzen
- Cold Forensik (Post-Mortem): System offline - tiefe Festplattenanalyse
Rechtliche Aspekte (Deutschland)
Strafverfolgung: Forensische Beweise müssen einer gerichtlichen Überprüfung standhalten. Fehlende Chain of Custody oder veränderte Beweise können zur Unverwertbarkeit führen.
DSGVO und Datenschutz: Forensische Untersuchungen berühren personenbezogene Daten (E-Mails, Browserverläufe). Datenschutzrechtliche Anforderungen müssen auch im Forensik-Kontext eingehalten werden.
NIS2-Meldepflicht: Die forensische Analyse liefert die Grundlage für den NIS2-Abschlussbericht (1 Monat nach Vorfall). Ohne Forensik ist eine vollständige Analyse der Wurzelursache nicht möglich.
BSI-Empfehlung: Das BSI empfiehlt die Einbindung von Forensik-Experten bei erheblichen Sicherheitsvorfällen. Der IT-Grundschutz enthält in DER.2.2 (“Vorsorge für die IT-forensische Untersuchung”) Anforderungen an forensische Readiness.
