Forensik (IT und TK)

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche


Die klassische Forensik (alles, was dazu dienst, systematisch kriminelle Handlungen zu identifizieren, auszuschließen, zu analysieren, zu rekonstruieren und zu beweisen) hat durch die moderne Informations- und Telekommunikationstechnik eine Reihe von Ergänzungen erfahren:

IT-Forensik

Unter IT-Forensik versteht man die Aufklärung von verdächtigen Vorfällen und Straftaten im Zusammenhang mit Informationstechnologie. Die genutzten Untersuchungsmethoden umfassen die Erfassung, Analyse und Auswertung digitaler Spuren in Computersystemen. Entscheidend ist die Gerichtsverwertbarkeit der dabei gewonnenen Beweise unter Berücksichtigung der sogenannten Chain of Evidence (Beweismittelkette). Dazu werden die Speicherinhalte, Netzwerkverbindungen sowie das Umfeld verdächtiger Computer untersucht, ohne diese zu verändern. Dies geschieht zum Beispiel indem vorher ein forensisches Duplikat des Datenträgers erstellt wird, an welchem die Analyse stattfindet. Bei der Untersuchung des Netzwerkverkehrs liegt der Focus auf der Identifikation verdächtiger, temporärer oder permanenter Verbindungen, welche zur Manipulation oder zum Ausspähen des Systems dienen.

Mobile-Forensik

Bei der Mobile-Forensik liegt der Focus auf der ganzheitlichen Analyse aller anfallenden Daten und Verbindungen, mit dem Ziel lesbare und gelöschte Informationen wiederherzustellen. Dazu wird sowohl der interne Speicher des Handys, des PDAs und des Smartphones, als auch die darin befindlichen Speicher- und SIM-Karten untersucht. Bei diesem Vorgang ist mit größter Vorsicht vorzugehen, da einige Daten nur temporär vorliegen und bei unsachgemäßer Investigation permanent gelöscht werden. Des Weiteren muss darauf geachtet werden, dass keine Möglichkeit existiert, die Daten nach der Sicherstellung eines aktiven Gerätes von außer manipulieren zu können. Hierzu ist es notwendig die Untersuchung z.B. in einem transportablen faradayschen Käfig durchzuführen.

TK-Forensik

Die TK-Forensik dient der Softwareanalyse zur rückwirkenden Aufklärung verdächtiger Vorfälle und krimineller Handlungen bei Telekommunikationseinrichtungen. Moderne ISDN TK-Anlagen und VoIP Kommunikationsserver bieten umfangreiche Manipulationsmöglichkeiten. Diese beruhen bei den verschiedenen Plattformen auf den in Fachkreisen bekannten Schwachstellen sowie softwaremäßigen Veränderungen oder der Schaffung zusätzlicher Funktionalitäten. Zahlreiche Systeme waren in der Vergangenheit bereits Angriffsziel für Gebührenmissbrauch sowie zur Erlangung von Verbindungsdaten und Schaffung illegaler Abhörfunktionalitäten. Wichtige Untersuchungsvoraussetzungen sind umfangreiche Erfahrung und tiefgreifende Systemkenntnisse auf der jeweiligen Plattform. Ferner wird die TK-Forensik durch eine personenbezogene, differenzierte Verwaltung der Zugriffsrechte, langfristig vorhandene History- und Logfiles sowie regelmäßige, vollständige Datensicherungen und -aufbewahrung erleichtert, bzw. erst ermöglicht.

VoIP-Forensik

Die VoIP-Forensik beschäftigt sich in erster Linie mit der umfassenden Analyse von Hard- und Software im Voice-over-IP Bereich. Hergeleitet von der IT-Forensik befasst sich auch die VoIP-Forensik mit der digitalen Spurensicherung. So wird z.B. auf Netzwerkbasis der Netzwerkverkehr protokolliert und analysiert um im Verdachtsfall gerichtsverwertbares Beweismaterial bereithalten zu können. Im Hard- bzw. Softwarebereich werden speziell auch Endgeräte umfassenden Analysen unterzogen um Manipulationen identifizieren und sichern zu können. Die meisten der VoIP Telefone sind vollwertige Netzwerkgeräte mit implementierten TCP-IP Stack, sowie einem vollwertigen Betriebssystem, welches i.d.R auf Linux basiert. Diese Tatsache bietet potenziellen Tätern genug Angriffsfläche zur Manipulation im Sinne eines Lauschangriffs. Mit geeigneten Mitteln ist es durchaus möglich speziell die sog. Firmware der Endgeräte so zu manipulieren, dass ein unbemerkter Zugriff auf diese Geräte möglich ist. Diese Manipulationen sind nur identifizierbar, wenn eine Analyse im forensischen Sinne durchgeführt wird. Hier wird z.B. auch mit Schreibschutzmechanismen gearbeitet um das Beweismaterial nicht zu zerstören.

Siehe übergeordnete Stichworte

Siehe auch




Diese Seite wurde zuletzt am 25. Januar 2011 um 09:57 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Admin und Karl Pausch.

Anzeigen