Computerforensik (Cyberforensik)

Was ist Computerforensik?

Computerforensik ist die Anwendung von Untersuchungs- und Analysetechniken, um Beweise von einem bestimmten Computergerät auf eine Weise zu sammeln und zu bewahren, die für die Präsentation vor Gericht geeignet ist. Das Ziel der Computerforensik ist es, eine strukturierte Untersuchung durchzuführen und eine dokumentierte Beweiskette aufrechtzuerhalten, um genau herauszufinden, was auf einem Computergerät passiert ist und wer dafür verantwortlich war.

Computerforensik – die manchmal als Computerforensik bezeichnet wird – ist im Wesentlichen die Datenwiederherstellung mit gesetzlichen Compliance-Richtlinien, um die Informationen in Gerichtsverfahren zulässig zu machen. Die Begriffe digitale Forensik und Cyberforensik werden häufig als Synonyme für Computerforensik verwendet.

Die digitale Forensik beginnt mit der Sammlung von Informationen auf eine Weise, die ihre Integrität bewahrt. Die Ermittler analysieren dann die Daten oder das System, um festzustellen, ob es geändert wurde, wie es geändert wurde und wer die Änderungen vorgenommen hat. Der Einsatz von Computerforensik ist nicht immer an ein Verbrechen gebunden. Der forensische Prozess wird auch als Teil von Datenwiederherstellungsprozessen verwendet, um Daten von einem abgestürzten Server, einem ausgefallenen Laufwerk, einem neu formatierten Betriebssystem oder einer anderen Situation zu sammeln, in der ein System unerwartet nicht mehr funktioniert.

Warum ist Computerforensik wichtig?

In der Zivil- und Strafjustiz trägt die Computerforensik dazu bei, die Integrität digitaler Beweise in Gerichtsverfahren sicherzustellen. Da Computer und andere Datenerfassungsgeräte in jedem Aspekt des Lebens häufiger verwendet werden, sind digitale Beweise – und der forensische Prozess, mit dem sie gesammelt, aufbewahrt und untersucht werden – für die Lösung von Verbrechen und anderen Rechtsfragen wichtiger geworden.

Die durchschnittliche Person sieht nie viel von den Informationen, die moderne Geräte sammeln. Zum Beispiel sammeln die Computer in Autos ständig Informationen darüber, wann ein Fahrer bremst, schaltet und die Geschwindigkeit ändert, ohne dass der Fahrer es merkt. Diese Informationen können sich jedoch als entscheidend für die Lösung einer Rechtsangelegenheit oder eines Verbrechens erweisen, und die Computerforensik spielt häufig eine Rolle bei der Identifizierung und Aufbewahrung dieser Informationen.

Digitale Beweise sind nicht nur nützlich bei der Aufklärung von Verbrechen in der digitalen Welt, wie Datendiebstahl, Netzwerkverletzungen und illegalen Online-Transaktionen. Es wird auch verwendet, um Verbrechen in der physischen Welt wie Einbruch, Körperverletzung, Fahrerflucht und Mord aufzuklären.

Unternehmen verwenden häufig eine mehrschichtige Datenmanagement-, Data Governance- und Netzwerksicherheitsstrategie, um proprietäre Informationen zu schützen. Daten, die gut verwaltet und sicher sind, können dazu beitragen, den forensischen Prozess zu rationalisieren, falls diese Daten jemals untersucht werden.

6 möglichkeiten zum Schutz digitaler Assets
Erfahren Sie die sechs Schritte zum Aufbau eines widerstandsfähigen Schutzes digitaler Assets.

Unternehmen verwenden auch Computerforensik, um Informationen im Zusammenhang mit einem System- oder Netzwerkkompromiss zu verfolgen, mit denen Cyber-Angreifer identifiziert und strafrechtlich verfolgt werden können. Unternehmen können auch digitale forensische Experten und Prozesse einsetzen, um sie bei der Datenwiederherstellung im Falle eines System- oder Netzwerkausfalls zu unterstützen, der durch eine Naturkatastrophe oder eine andere Katastrophe verursacht wird.

Da die Welt für die Kernfunktionen des Lebens immer abhängiger von digitaler Technologie wird, nimmt die Cyberkriminalität zu. Als solche haben Computerforensiker kein Monopol mehr auf diesem Gebiet. Sehen Sie, wie die Polizei in Großbritannien computerforensische Techniken anwendet, um mit der zunehmenden Cyberkriminalität Schritt zu halten.

Arten der Computerforensik

Es gibt verschiedene Arten von computerforensischen Untersuchungen. Jeder befasst sich mit einem bestimmten Aspekt der Informationstechnologie. Einige der Haupttypen umfassen die folgenden:

  • Datenbank-Forensik. Die Prüfung der in Datenbanken enthaltenen Informationen, sowohl Daten als auch zugehörige Metadaten.
  • E-Mail-Forensik. Die Wiederherstellung und Analyse von E-Mails und anderen Informationen, die in E-Mail-Plattformen enthalten sind, wie z. B. Zeitpläne und Kontakte.
  • Malware-Forensik. Sichten von Code, um mögliche Schadprogramme zu identifizieren und deren Nutzlast zu analysieren. Solche Programme können trojanische Pferde, Ransomware oder verschiedene Viren enthalten.
    Arten von Malware
    Sehen Sie sich die gesamte Palette der Malware-Typen an, mit denen Unternehmen heute zu kämpfen haben.
  • Memory Forensics. Sammeln von Informationen, die im Arbeitsspeicher (RAM) und im Cache eines Computers gespeichert sind.
  • Mobile Forensik. Die Untersuchung von mobilen Geräten zum Abrufen und Analysieren der darin enthaltenen Informationen, einschließlich Kontakten, eingehenden und ausgehenden Textnachrichten, Bildern und Videodateien.
  • Netzwerkforensik. Suchen Sie nach Beweisen, indem Sie den Netzwerkverkehr mithilfe von Tools wie einer Firewall oder einem Intrusion Detection System überwachen.

Wie funktioniert Computerforensik?

Forensische Ermittler folgen in der Regel Standardverfahren, die je nach Kontext der forensischen Untersuchung, dem zu untersuchenden Gerät oder den gesuchten Informationen variieren. Im Allgemeinen umfassen diese Verfahren die folgenden drei Schritte:

  1. Datenerhebung. Elektronisch gespeicherte Informationen müssen so gesammelt werden, dass ihre Integrität erhalten bleibt. Dabei wird das zu untersuchende Gerät häufig physisch isoliert, um sicherzustellen, dass es nicht versehentlich kontaminiert oder manipuliert werden kann. Prüfer erstellen eine digitale Kopie, auch forensisches Bild genannt, der Speichermedien des Geräts und sperren das Originalgerät dann in einem Safe oder einer anderen sicheren Einrichtung, um seinen makellosen Zustand zu erhalten. Die Untersuchung wird auf der digitalen Kopie durchgeführt. In anderen Fällen können öffentlich zugängliche Informationen für forensische Zwecke verwendet werden, z. B. Facebook-Posts oder öffentliche Venmo-Gebühren für den Kauf illegaler Produkte oder Dienstleistungen, die auf der Vicemo-Website angezeigt werden.
  2. Analyse. Die Ermittler analysieren digitale Kopien von Speichermedien in einer sterilen Umgebung, um die Informationen für einen Fall zu sammeln. Verschiedene Tools werden verwendet, um diesen Prozess zu unterstützen, darunter die Autopsie von Basis Technology für Festplattenuntersuchungen und der Wireshark Network Protocol Analyzer. Ein Maus-Jiggler ist nützlich, wenn Sie einen Computer untersuchen, um zu verhindern, dass er einschläft und flüchtige Speicherdaten verliert, die verloren gehen, wenn der Computer in den Ruhezustand wechselt oder die Stromversorgung verliert.
  3. Präsentation. Die forensischen Ermittler präsentieren ihre Ergebnisse in einem Gerichtsverfahren, in dem ein Richter oder eine Jury sie verwendet, um das Ergebnis einer Klage zu bestimmen. In einer Datenwiederherstellungssituation präsentieren forensische Ermittler, was sie von einem kompromittierten System wiederherstellen konnten.

In computerforensischen Untersuchungen werden häufig mehrere Tools verwendet, um die von ihnen erzielten Ergebnisse zu validieren. Erfahren Sie, wie ein Forscher von Kaspersky Lab in Asien ein Open-Source-Forensik-Tool entwickelt hat, mit dem Malware-Beweise aus der Ferne erfasst werden können, ohne die Systemintegrität zu beeinträchtigen.

Techniken, die forensische Ermittler verwenden

Ermittler verwenden eine Vielzahl von Techniken und proprietären forensischen Anwendungen, um die Kopie eines kompromittierten Geräts zu untersuchen. Sie durchsuchen versteckte Ordner und nicht zugewiesenen Speicherplatz nach Kopien gelöschter, verschlüsselter oder beschädigter Dateien. Alle auf der digitalen Kopie gefundenen Beweise werden sorgfältig in einem Befundbericht dokumentiert und mit dem Originalgerät überprüft, um Gerichtsverfahren vorzubereiten, die Entdeckung, Ablagerungen oder tatsächliche Rechtsstreitigkeiten beinhalten.

Computerforensische Untersuchungen verwenden eine Kombination aus Techniken und Expertenwissen. Einige gängige Techniken umfassen die folgenden:

  • Umgekehrte Steganographie. Steganographie ist eine gängige Taktik, um Daten in jeder Art von digitaler Datei, Nachricht oder Datenstrom zu verbergen. Computerforensiker kehren einen Steganografieversuch um, indem sie das Daten-Hashing analysieren, das die betreffende Datei enthält. Wenn ein Cyberkrimineller wichtige Informationen in einem Bild oder einer anderen digitalen Datei versteckt, kann es für das ungeübte Auge vorher und nachher gleich aussehen, aber der zugrunde liegende Hash oder die Datenfolge, die das Bild darstellt, ändert sich.
  • Stochastische Forensik. Hier, Ermittler analysieren und rekonstruieren digitale Aktivitäten ohne Verwendung digitaler Artefakte. Artefakte sind unbeabsichtigte Veränderungen von Daten, die aus digitalen Prozessen entstehen. Artefakte enthalten Hinweise auf ein digitales Verbrechen, z. B. Änderungen an Dateiattributen während des Datendiebstahls. Stochastische Forensik wird häufig bei Untersuchungen zu Datenverstößen eingesetzt, bei denen der Angreifer als Insider angesehen wird, der möglicherweise keine digitalen Artefakte hinterlässt.
  • Cross-Drive-Analyse. Diese Technik korreliert und verweist auf Informationen, die auf mehreren Computerlaufwerken gefunden wurden, um Informationen zu suchen, zu analysieren und zu speichern, die für eine Untersuchung relevant sind. Ereignisse, die Verdacht erregen, werden mit Informationen zu anderen Laufwerken verglichen, um nach Ähnlichkeiten zu suchen und Kontext bereitzustellen. Dies wird auch als Anomalieerkennung bezeichnet.
  • Live-Analyse. Bei dieser Technik wird ein Computer innerhalb des Betriebssystems analysiert, während der Computer oder das Gerät ausgeführt wird, wobei Systemtools auf dem Computer verwendet werden. Die Analyse betrachtet flüchtige Daten, die häufig im Cache oder RAM gespeichert sind. Viele Tools zum Extrahieren flüchtiger Daten erfordern, dass sich der Computer in einem forensischen Labor befindet, um die Legitimität einer Beweiskette aufrechtzuerhalten.
  • Wiederherstellung gelöschter Dateien. Bei dieser Technik werden ein Computersystem und der Speicher nach Fragmenten von Dateien durchsucht, die teilweise an einer Stelle gelöscht wurden, aber an anderer Stelle auf dem Computer Spuren hinterlassen. Dies wird manchmal als File Carving oder Data Carving bezeichnet.

Erfahren Sie mehr über Computer Forensic analytics in diesem Kapitel aus dem Buch Python Forensics: A Workbench for Inventing and Sharing Digital Forensic Technology von Chet Hosmer. Es zeigt, wie Python und Cybersicherheitstechnologie verwendet werden, um digitale Beweise zu erhalten.

Wie wird Computerforensik als Beweismittel verwendet?

Computerforensik wird seit den 1980er Jahren von Strafverfolgungsbehörden sowie im Straf- und Zivilrecht als Beweismittel eingesetzt. Einige bemerkenswerte Fälle sind die folgenden:

  • Apple-Geschäftsgeheimnis Diebstahl. Ein Ingenieur namens Xiaolang Zhang von Apples Autonomous Car Division kündigte seinen Rücktritt an und sagte, er werde nach China zurückkehren, um sich um seine ältere Mutter zu kümmern. Er sagte seinem Manager, er plane, bei einem elektronischen Autohersteller in China zu arbeiten, Verdacht erregen. Laut einer eidesstattlichen Erklärung des Federal Bureau of Investigation (FBI) überprüfte das Sicherheitsteam von Apple Zhangs Aktivitäten im Unternehmensnetzwerk und stellte fest, dass er in den Tagen vor seinem Rücktritt Geschäftsgeheimnisse aus vertraulichen Unternehmensdatenbanken herunterlud, auf die er Zugriff hatte. Er wurde 2018 vom FBI angeklagt.
  • Enron. In einem der am häufigsten zitierten Buchhaltungsbetrugsskandale, Enron, ein US-. das Energie-, Rohstoff- und Dienstleistungsunternehmen meldete fälschlicherweise Einnahmen in Milliardenhöhe, bevor es 2001 bankrott ging, was vielen Mitarbeitern und anderen Personen, die in das Unternehmen investiert hatten, finanziellen Schaden zufügte. Computer-Forensiker untersuchten Terabyte an Daten, um das komplexe Betrugsschema zu verstehen. Der Skandal war ein wesentlicher Faktor bei der Verabschiedung des Sarbanes-Oxley Act von 2002, der neue Rechnungslegungsvorschriften für Aktiengesellschaften festlegte. Das Unternehmen meldete 2001 Insolvenz an.
  • Diebstahl von Google-Geschäftsgeheimnissen. Anthony Scott Levandowski, ein ehemaliger Manager von Uber und Google, wurde 2019 wegen Diebstahls von Geschäftsgeheimnissen in 33 Fällen angeklagt. Von 2009 bis 2016 arbeitete Levandowski im selbstfahrenden Autoprogramm von Google, wo er Tausende von programmbezogenen Dateien von einem passwortgeschützten Unternehmensserver herunterlud. Er verließ Google und gründete Otto, ein selbstfahrendes LKW-Unternehmen, das Uber laut New York Times 2016 gekauft hatte. Levandowski bekannte sich schuldig zu einer Zählung von Geschäftsgeheimnissen Diebstahl und wurde zu 18 Monaten Gefängnis und $ 851.499 in Geldstrafen und Restitution verurteilt. Levandowski erhielt im Januar 2021 eine Begnadigung durch den Präsidenten.
  • Larry Thomas. Thomas erschossen und getötet Rito Llamas-Juarez in 2016 Thomas wurde später mit Hilfe von Hunderten von Facebook-Posts verurteilt er unter dem falschen Namen Slaughtaboi Larro gemacht. Einer der Beiträge enthielt ein Bild von ihm mit einem Armband, das am Tatort gefunden wurde.
  • Michael Jackson. Die Ermittler verwendeten Metadaten und medizinische Dokumente aus dem iPhone von Michael Jacksons Arzt, die zeigten, dass der Arzt Conrad Murray Jackson, der 2009 starb, tödliche Mengen an Medikamenten verschrieben hatte.
  • Mikayla Munn. Munn ertrank ihr neugeborenes Baby in der Badewanne ihres Wohnheims an der Universität Manchester im Jahr 2016. Die Ermittler fanden Google-Suchanfragen auf ihrem Computer, die den Ausdruck „Abtreibung zu Hause“ enthielten, die verwendet wurden, um sie zu verurteilen.

Mord ist nur eine der vielen Arten von Verbrechen, die die Computerforensik bei der Bekämpfung unterstützen kann. Erfahren Sie, wie forensische Finanzanalysesoftware zur Betrugsbekämpfung eingesetzt wird.

Karriere und Zertifizierungen in der Computerforensik

Die Computerforensik ist zu einem eigenen wissenschaftlichen Fachgebiet mit begleitenden Kursen und Zertifizierungen geworden. Das durchschnittliche Jahresgehalt für einen Computer-Forensik-Analysten auf Einstiegsebene beträgt laut 65,000 etwa US-Dollar Salary.com . Einige Beispiele für Cyber-forensische Karrierewege sind die folgenden:

  • Kriminaltechniker. Diese Fachleute befassen sich mit der Sammelphase des computerforensischen Prozesses, sammeln Daten und bereiten sie für die Analyse vor. Sie helfen festzustellen, wie ein Gerät ausgefallen ist.
  • Forensischer Buchhalter. Diese Position befasst sich mit Straftaten im Zusammenhang mit Geldwäsche und anderen Transaktionen zur Vertuschung illegaler Aktivitäten.
  • Cybersicherheitsanalyst. Diese Position befasst sich mit der Analyse von Daten, sobald sie gesammelt wurden, und dem Ziehen von Erkenntnissen, die später zur Verbesserung der Cybersicherheitsstrategie eines Unternehmens verwendet werden können.

Ein Bachelor-Abschluss – und manchmal ein Master-Abschluss – in Informatik, Cybersicherheit oder einem verwandten Bereich sind von Computer-Forensikern erforderlich. In diesem Bereich stehen verschiedene Zertifizierungen zur Verfügung, darunter die folgenden:

  • Cybersecurity Forensic Analyst des CyberSecurity Institute. Dieser Berechtigungsnachweis richtet sich an Sicherheitsexperten mit mindestens zwei Jahren Erfahrung. Testszenarien basieren auf tatsächlichen Fällen.
  • Zertifizierter forensischer Computerprüfer der International Association of Computer Investigative Specialists. Dieses Programm konzentriert sich in erster Linie auf die Validierung der Fähigkeiten, die erforderlich sind, um sicherzustellen, dass das Unternehmen den festgelegten computerforensischen Richtlinien folgt.
  • Computer Hacking Forensic Investigator des EC-Rates. Diese Zertifizierung bewertet die Fähigkeit eines Antragstellers, Eindringlinge zu identifizieren und Beweise zu sammeln, die vor Gericht verwendet werden können. Es umfasst die Suche und Beschlagnahme von Informationssystemen, die Arbeit mit digitalen Beweisen und andere Cyber-Forensik-Fähigkeiten.
  • Zertifizierter Computerprüfer der International Society of Forensic Computer Examiners (ISFCE). Dieses Forensic Examiner-Programm erfordert eine Schulung in einem autorisierten Bootcamp-Schulungszentrum, und Bewerber müssen den ISFCE-Ethikkodex und die berufliche Verantwortung unterzeichnen.

Erfahren Sie mehr über eine Karriere in der Cyber-Forensik in diesem Interview mit Amanda Rousseau, Senior Malware Researcher bei Endgame (jetzt bei Facebook), die ihre Karriere mit computerforensischen Untersuchungen am Cyber Crime Center des US-Verteidigungsministeriums begann.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.