Tatort Internet: Ferngesteuert

Inhaltsverzeichnis

Das Telefon klingelt. Der Anrufer stellt sich als Jens Waldmann vor, IT-Sicherheits - beauftragter eines größeren mittelständisches Unternehmens, der mal einen unserer Security-Lehrgänge besucht hat. Er wurde soeben von seinem Chef herbeizitiert, der entsetzt feststellte, dass sein PC ein Eigenleben entwickelte. Da wurden wie von Geisterhand E-Mails gelesen, Anhänge geöffnet, Kontaktdaten abgerufen und der Kalender eingesehen – ganz ohne dass er die Maus auch nur berührt hatte.

Zwar traut sich Herr Waldmann durchaus zu, den Vorfall selbst zu analysieren. Aber er hat in unserem Kurs aufgepasst und weiß, dass es bei einer derartig offensichtlichen Hacker-Attacke nicht nur darum geht, herauszufinden, was passiert ist. Fast noch wichtiger ist es, die  Beweise dafür in gerichtsverwertbarer Form sicherzustellen. Und da komme ich als Forensiker ins Spiel.

Da der unbekannte Besucher bereits nicht mehr aktiv ist, rate ich ihm, sofort den Stromstecker der mutmaßlich kompromittierten Workstation seines Chefs zu ziehen. Nein, nicht runterfahren! Dabei laufen eventuell noch Shutdown-Skripte, die wertvolle Spuren vernichten oder es werden sogar Patches eingespielt. Kurz und schmerzlos das Kabel raus. Ich verspreche, gleich vorbeizuschauen und schärfe ihm ein, das System bis dahin nicht aus den Augen zu lassen.

Als ich etwa eine Stunde später vor Ort eintreffe, finde ich Herrn Waldmann, wie er sich im Sessel seines Chefs offenbar selbst an dessen Notebook zu schaffen macht. Doch bevor ich protestieren kann, klappt er es zu und erklärt, dass er sich sein eigenes Arbeitsgerät vorbei bringen ließ. Das Objekt der Untersuchung steht unter dem Tisch – ein schmuckloser PC.

Nach kurzer Begrüßung mach ich mich an die Arbeit und spule die übliche Routine ab: Auf einer neuen Festplatte lege ich eine Ordnerstruktur an, in der alle Informationen und Zwischenergebnisse zu dem Fall abgelegt werden, notiere Datum und Uhrzeit, fotografiere den Rechner und mache Detailaufnahmen des Typenschilds und der Inventarnummer. Dann öffne ich das Gehäuse, um an die Festplatte zu kommen. Auch hier wieder Fotos von allen Details, die später im Projektordner landen – Systematik und Ordnung sind die zentralen Säulen der Arbeit eines Forensikers.

Als ich die Platte einstecken will, macht mir Herr Waldmann wortreich klar, dass die sensiblen Daten das Haus möglichst nicht verlassen sollen. Also lasse ich mir für die nächsten Wochen ein provisorisches Labor einrichten und der herbeitelefonierte Hausmeister wechselt mürrisch das Schloss aus. Ja, das muss sein,  erkläre ich dem Sicherheitsbeauftragten – schließlich ist nicht auszuschließen, dass Firmenmitarbeiter in die Sache verwickelt sind und wir wollen doch nicht riskieren, dass die Festplatte doch noch abhanden kommt. Die einzigen zwei Schlüssel übergibt der Hausmeister mir und Herrn Waldmann. Das sollte vorerst genügen, schließlich geht es hier nicht um Raketentechnik.

Noch bevor ich mich an die Untersuchung der Festplatte mache, starte ich den plattenlosen Arbeitsplatzrechner. Mich interessiert die Systemzeit: 14:53 – ein Blick auf meine Armbanduhr zeigt die gleiche Uhrzeit. Herr Waldmann, der mich nicht aus den Augen lässt, erzählt mir stolz von seinem lokalen NTP-Time-Server, gegen den sich alle Rechner regelmäßig synchronisieren. Das erleichtert die Arbeit schon mal beträchtlich, da wir damit bei Bedarf die Log-Dateien von Firewall und Proxy-Server leicht mit den Zeitstempeln von Dateien abgleichen können. Je weiter die Uhren abweichen, desto schwerer wird es, etwa anhand des Zeitstempels einer Datei im Browser-Cache den passenden Eintrag im Proxy-Logfile zu finden.

Für die Untersuchung der Festplatte hole ich mein wichtigstes Arbeitsutensil aus der 
Tasche: den Write-Blocker. Das Gerät kommt zwischen Controller und Festplatte und sperrt auf Hardware-Ebene alle Schreibzugriffe. Damit wird von vornherein ausgeschlossen, dass etwa mein Virenscanner voreilig Beweismittel von der Platte räumt.