Während vorbeugende IT-Security als Thema in aller Munde ist, wurden IT-forensischen Methoden im Kampf gegen die Cyberkriminalität bisher weniger Beachtung geschenkt. "IT-Forensik ist eine Beweismittelsicherung um festzustellen, was auf einem Computer passiert ist", erklärt Johann Haag, Studiengangsleiter IT Security an der Fachhochschule (FH) St. Pölten. Dabei kann es um eine Analyse von Angriffen aus dem Internet ebenso gehen wie um die Informationssicherung durch Behörden. Die Rekonstruktion von Dateien und Informationen ist ein wesentlicher Teil der Arbeit. Zukünftige Spezialisten aus sechs Nationen haben in diesem Monat an einem Erasmus-Intensivprogramm zum Thema IT-Forensik teilgenommen.
"Wenn ein Angriff passiert ist, wird eine Analyse notwendig", beschreibt Haag eine der Kernaufgaben der IT-Forensik. Dabei müssten auf einem System etwaige Nachwirkungen wie geöffnete Backdoors oder installierte Malware aufgespürt werden. Eine entscheidende Frage sei ferner: "Wie ist ein Angreifer in ein System eingedrungen?" Die Sicherheitslücken, die bei einer Attacke genutzt wurden, müssten ermittelt werden. Gerade in Zeiten, in denen Cybercrime immer größere Ausmaße annehme, sei es entscheidend, Systeme gegen eine erneute Nutzung bekannter Angriffsvektoren abzusichern. "Daher wird die IT-Forensik immer wichtiger", meint Haag.
Ob nach Angriffen oder bei der Suche nach belastendem Material auf behördlich sichergestellten Computersystemen - Datenwiederherstellung ist ein wichtiger Aspekt der Spurensicherung. "Eine Datei zu löschen heißt nicht, dass sie wirklich weg ist", betont Haag. Was für die Spurensicherung gut ist, macht in der Wirtschaft bisweilen Probleme. Dort sei es häufig wichtig, Daten unwiederbringlich zu vernichten. Dabei könne davon ausgegangen werden, dass nur Dateien, die ein IT-Forensiker nicht mehr aufspüren kann, auch wirklich sicher gelöscht wurden. Auch der Inhalt des Arbeitsspeichers ist bei der Spurensuche wichtig. "Es gibt teils Lücken in Betriebssystemen, die für die forensische Analyse genutzt werden können", meint Haag in diesem Zusammenhang. Konkret würden in einem Fall beim Schreiben auf Festplatten Blöcke mit Informationen aus dem Arbeitsspeicher aufgefüllt. Diese könnten daher auch Tage später noch rekonstruierbar sein.
Die Aufgabe des IT-Forensikers gestaltet sich besonders anspruchsvoll, wenn eine Analyse auch für ein juristisches Verfahren verwertbar sein soll. "Es ist ein wesentlicher Aspekt, Daten so zu sichern, dass sie vor Gericht anerkannt werden", betont Haag. Konkret würden in der Praxis Prüfsummen verwendet, damit nachgewiesen werden kann, dass sichergestellte Daten nicht verändert wurden. Nur so kann Beweismaterial aus der forensischen Analyse auch in Prozessen verwertet werden.
"Angriffe können von überall her erfolgen und machen nicht vor Grenzen halt", hält Haag fest. Daher sei eine frühzeitige internationale Vernetzung für Experten im Bereich der IT-Security und IT-Forensik von besonders großer Bedeutung, um in der Praxis rechtzeitig reagieren zu können. Dieser Vernetzung diente ein Erasmus-Intensivtraining zur IT-Forensik im polnischen Zamosc vom 14. bis 25. April. Sieben Studierende der FH St. Pölten konnten gemeinsam mit Studenten aus Belgien, Spanien, Portugal und der Türkei sowie dem Gastgeberland nicht nur von einer großen Zahl internationaler Vortragender, sondern auch von praktischen Übungen in international zusammengestellten Teams profitieren. "Im Training am Computer konnten wir sehen, welche Zugangsweisen Studenten anderer Hochschulen an Problemstellungen haben. Das war neben dem Lehrstoff ein echter Erfahrungsgewinn", meint Thomas Konrad, Student der IT-Security an der FH St. Pölten. (pte)
Forensik - Sherlock Holmes am Rechner
