Digitale Forensik: Ungelöste Probleme bei Beweissicherung digitaler Artefakte
Etliche Probleme der Beweissicherung digitaler Artefakte sind noch längst nicht gelöst, zeigte sich auf dem Workshop Forensik und Internetkriminalität. Dazu lieferte das BSI ein Lagebild, das von einem ungebrochenen Anstieg der Netzkriminalität ausgeht.
Der sehr gut besuchte CAST-Workshop Forensik und Internetkriminalität zeigte den Teilnehmern, dass etliche Probleme der Beweissicherung digitaler Artefakte noch längst nicht gelöst sind. Dazu lieferte das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein Lagebild ab, das von einem ungebrochenen Anstieg der Netzkriminalität ausgeht.
Gut organisiert
Laut den Angaben des BSI sind 2,6% aller Webseiten mit Drive-By-Exploits verseucht, die in der Internetkriminaltität zunehmend eine Rolle spielen. Nach Zahlen der Firma Cyscon sind in Deutschland 30633 Webseiten auf diese Weise verseucht. Daneben steigt der Spam-Anteil im E-Mail-Verkehr weiter an, wobei 2,1% des Spams aus Malware besteht. Wie Harald Niggemann vom BSI ausführte, ist die Arbeitsteilung im Cybercrime mittlerweile weit fortgeschritten, mit professionellen Entwicklerteams, die rund um die Uhr Support bieten, Mengenrabatt offerieren und Geld zurückzahlen, wenn eine "Kampagne" schiefgeht.
Neben Kriminiellen, Nachrichtendiensten und Spionageabteilungen würden "Aktivisten" eine immer wichtigere Rolle spielen. Sie seien nur lose organisiert, aber bestens vernetzt, wenn es darum geht, auf Missstände aufmerksam zu machen. Niggemann warb für die vom BSI mit getragene Allianz für Cyber-Sicherheit, die international eine führende Rolle im Bereich der Cyber-Sicherheit spielen soll.
Netzverkehr abgreifen
Aus Irland war Pavel Gladyshev vom Dubliner University College angereist, um den FIREBrick vorzustellen, eine Open-Source-Lösung für First Responder (FIRE) bzw. mobile Forensiker im Einsatz vor Ort. Dank eines gehackten Firewire-Treibers ist der "Ziegel" in der Lage, 5 Gigabyte pro Minute zu sichern. Andreas Frantzen vom LKA Hessen führte die Zuhörer in die Netzwerk-Forensik ein. Sie bildet das Gegenstück zur Telekommunikationsüberwachung (TKÜ) beim Endanwender. Während die TKÜ möglichst nahe am einzelnen Computer installiert wird, operiert die Netzwerkforensik möglichst nahe am Server.
Sehr häufig werden Netzwerk-Taps direkt an den Servern in einem Rechenzentrum installiert, die den kompletten Datenverkehr mitschneiden. Anschließend werden die Daten mit Wireshark, CascadePilot und dem RSA Security Analytics Server bearbeitet. Da bei einer Server-TKÜ enorme Datenbestände anfallen können, sei es wichtig, die Ergebnisse für Ermittler durch intelligente Datenreduktion aufzubereiten.
So liefern die Netzwerk-Forensiker des LKA bei der "E-Mail-Überwachung" oder beim Speichern von Foren und Chats von einem Servers die Daten indexier- und durchsuchbar auf einer DVD zu den technisch weniger beschlagenen Ermittlern, die nur noch herumklicken müssen, wenn sie Zusammenhänge suchen. Diese intelligente Aufbereitung der Daten sei die eigentliche Domäne der Netzwerk-Forensiker.
Sprachaufzeichnung
Wie sichergestellt werden kann, dass Audiodateien unverfälscht gespeichert sind, ist eine Frage, die Sebastian Mann vom Fraunhofer IDMT beschäftigt. Die Antwort ist eine Big-Data-Anwendung: Jede Audioaufnahme speichert auch die elektrische Netzfrequenz ENF, die von den Stromnetzbetreibern aufgezeichnet wird.
Da diese in ganz Europa einheitliche Frequenz Schwankungen aufweist, können die ENF-Spuren einer Audioaufnahme mit diesen Aufzeichungen abgeglichen werden, um festzustellen, wann eine Aufnahme erfolgte. Umgekehrt werden kleinste einkopierte Audioschnippsel mit anderen ENF-Spuren erkannt. Das Verfahren, das im Rahmen des Rewind-Projektes weiterentwickelt werden soll, wird in Kombination mit einer Mikrofonklassifizierung eingesetzt, die Manipulationen durch unterschiedliche Mikrofone aufdeckt.
Konsequenzen
Weitere Vortäge des CAST-Workshops beschäftigten sich mit dem Bundestrojaner, mit mobiler Malware und der betrieblichen Organisation bei der Detektion von Cybercrime im großen Netzwerk von Vodafone. Angeregt durch das große Interesse am Thema, aber auch durch die nicht abreißende Kette von Nachrichten in der NSA-Affäre, veranstaltet das CAST seinen nächsten Workshop am 20. Februar 2014 unter dem Motto "Yes, we scan!". Dann will man abseits aller Aufgeregtheiten aus der IT-Perspektive heraus über Konsequenzen der Überwachung beraten. (jk)
