von Sascha Zmudzinski, wissenschaftlicher Mitarbeiter beim Fraunhofer-Institut für Sichere Informationstechnologie (SIT) im Bereich Multimedia-Sicherheit und IT-Forensik

IT-Forensik: Die Cyber-Detektive

25.9.2019

Wo es Sicherheitsvorfälle und Cyber-Verbrechen gibt, da gibt es auch Aufklärer. In der IT wie auch bei analogen Tatorten gilt es, Spuren aufzudecken. IT-Forensiker kommen zum Einsatz, wenn IT-Sicherheitsvorfälle vorliegen könnten oder Spuren auf illegale Vorgänge oder entlastende Indizien hindeuten. Sie reagieren auf derartige Fälle, sichern und untersuchen digitale Spuren. Hier stellen wir dieses Berufsprofil vor. Lesen Sie in diesem Blogbeitrag von Sascha Zmudzinski, Fraunhofer-Institut für Sichere Informationstechnologie (SIT) im Bereich Multimedia-Sicherheit und IT-Forensik, welche Spezialgebiete es in der IT-Forensik gibt und welche Kompetenzen dafür nötig sind.

In der IT gibt es verschiedene Spielarten der digitalen Forensik – so wie in der analogen Welt auch. Die Datenträger-Forensik etwa untersucht Datenspeicher vom USB-Stick über diverse Festplatten bis hin zu Servern. Netzwerk-Forensik widmet sich den Spuren in Netzwerken und im Datenverkehr, die Kriminelle hinterlassen. Content-Arten wie Bilder, Videos oder Audiodateien lassen sich mit der Multimedia-Forensik untersuchen, zum Beispiel, ob digitale Fotos oder Videos manipuliert wurden. Andere Verfahren wie Natural Language Processing und Maschinelles Lernen kommen zum Einsatz, wenn es darum geht, aus Texten Erkenntnisse abzuleiten – etwa, ob ein anonymes Schreiben zum Schreibstil eines Beschuldigten passt. Und mit der weiter um sich greifenden Digitalisierung entstehen auch immer mehr Branchen, in denen digitale Forensik zum Einsatz kommt – etwa auch im vernetzten Automobil oder bei Embedded Systems in der Industrie.

Berufsprofil IT-Forensiker

Zunächst: Diejenigen, die IT-Forensiker sind oder werden wollen, eint typischerweise ein allgemeiner IT-Hintergrund, ob nun durch Studium oder Ausbildung erworben, und ein starkes Interesse an IT-Sicherheit. Um ein sehr guter Forensiker zu sein, sind zudem hohe Sorgfalt, Kreativität für Problemlösungen und detektivischer Spürsinn gefragt.

Lassen Sie uns am Beispiel der Datenträger-Forensik, zu der die Fraunhofer Academy in Zusammenarbeit mit dem Fraunhofer SIT Weiterbildungsseminare anbietet, erläutern, wie dieses Berufsprofil aussieht und welche Kompetenzen dafür erforderlich sind.

 

Spezialgebiet: Datenträger-Forensik

  • Die Aufgaben in der Datenträger-Forensik lassen sich in drei Phasen einteilen:
  • Datenerfassung
  • Datenanalyse
  • Abschlussdokumentation

Bei der Datenerfassung geht es zunächst darum, Zugang zu den relevanten Daten zu erhalten. Bei Smartphones, Arbeitsplatzrechnern oder Servern bedeutet dies, die jeweiligen Passwort- und Verschlüsselungssperren zu überwinden. Gerade in Unternehmen hat das bereits im Vorfeld von Sicherheitsvorfällen entsprechende Auswirkungen: Ein gutes IT-Sicherheitskonzept in Unternehmen sollte berücksichtigen, dass Administratoren (in Absprache mit der Personalvertretung) in der Lage sein müssen, sich notfalls mit Backup-Schlüsseln Daten zugänglich machen zu können, die Nutzer selbst verschlüsseln oder mit Passwörtern sichern.

Die Datenanalyse dient dazu, Spuren zu sichern und auszuwerten. Dazu müssen IT-Forensiker nicht nur geeignete Methoden und Standard-Werkzeuge kennen, sondern sollten auch in der Lage sein, selbst in mindestens einer Programmiersprache coden zu können. Entsprechendes Methodenwissen zu Datenanalysen und technischen Schnittstellen kommt hinzu. Die Datenanalyse umfasst auch die Rekonstruktion gelöschter Daten, denn gerade bei kriminellen Verhalten versuchen Täter oft, ihre Spuren zu verwischen. Was bei der Wiederherstellung verschiedener Dateiformate zu beachten ist – und wo sich unter Umständen noch Kopien aufspüren lassen – gehört daher zum nötigen Handwerkszeug der Forensiker. Ein Beispiel: Auf dem Rechner und dem Server mag eine Datei gelöscht sein – im verschlüsselten Zwischenspeicher des Multifunktions-Druckers ist sie aber vielleicht noch auffindbar.

Schon während der Analyse spielt die Dokumentation eine entscheidende Rolle. Eine saubere Verlaufsdokumentation, die darstellt, wer wann welche Arbeitsschritte durchgeführt hat, ist nicht nur eine wichtige Quelle des Abschlussberichts. Ein Dokumentations-Vorgehen, das den Standards wie etwa des Bundesamts für Sicherheit in der Informationstechnik (BSI) entspricht, garantiert zudem die Rechtssicherheit. Die Verlaufsdokumentation sorgt außerdem dafür, dass Ergebnisse reproduzierbar werden. Das Abschlussdokument schließlich dient den IT-Sicherheitsbeauftragten, den Strafverfolgungsbehörden oder vor Gericht als Gutachten.

IT-Forensiker gibt es nicht nur bei den deutschen Strafverfolgungsbehörden. Auch große Unternehmen und besonders regulierte Branchen wie die Finanzindustrie beschäftigen entsprechende Spezialisten. Gerade im Unternehmen eignen sich Fortbildungsangebote für IT-ler gut, um sich die entsprechenden Kompetenzen anzueignen. Unsere Kurse wie etwa „Einführung in die Datenträger-Forensik“ vermitteln den Teilnehmerinnen und Teilnehmern Grundlagenwissen, Methoden und Werkzeuge. Damit werden sie in die Lage versetzt, einfache Untersuchungen selbst vorzunehmen. Und sie erwerben das nötige Know-how, um in größeren Fällen in der Lage zu sein, Spezialisten zu beauftragen und Angebote vergleichen zu können.