Vorgehensmodelle für die IT-Forensik

Mit der zunehmenden Digitalisierung hat die Bedeutung der IT-Forensik in den letzten zwanzig Jahren zugenommen. Um Spuren zu sichern, analysieren und auszuwerten ist eine strukturierte, korrekte Vorgehensweise Pflicht, damit allfällige Beweise vor Gericht anerkannt und in Rechtsverfahren verwendet werden können.

Was ist IT-Forensik?

Die IT-Forensik ist ein Teilgebiet der Forensik und beschäftigt sich mit der methodischen Analyse von Vorfällen auf IT-Systemen und der gerichtsverwertbaren Sicherung von Beweisen. Ziel ist es, exakt festzustellen, welche Aktionen auf einem IT-System stattgefunden haben und wer Verursacher oder Verantwortlicher hierfür ist. (Luber 2018)

.

Welche Vorgehensmodelle kennt die IT-Forensik?

In der IT Forensik haben sich drei Vorgehensmodelle primär etabliert: das Modell des Bundesamts für Sicherheit in der Informationstechnik (BSI), das Modell des National Institute of Standards and Technology (NIST) und das Secure, Analyse, Present Modell, kurz SAP. Daneben gibt es weitere, weniger verbreitete Modelle, z.B. nach Eoghan Casey (Casey 2004) oder (Kruse and Heiser 2001). Diese Liste hat auf keinen Fall den Anspruch abschliessend zu sein, wir werden uns aber auf die drei Grossen konzentrieren.

Welche Phasen beinhalten die Vorgehensmodelle?

Die drei etablierten Vorgehensmodelle haben gemein, dass die Vorgehensweisen in Phasen unterteilt werden, die sich auf den ersten Blick ähneln. Unterschiede finden sich allerdings beim Beginn der beschriebenen Phasen und deren Abgrenzung voneinander.

SAP

Die Phasen des SAP-Modells sind auch gleich namens spendend: Secure, Analyse, Present. (Tietze Frank 2013)

In der Secure Phase werden alle vorhandenen Daten – unabhängig davon, ob ein juristischer Zusammenhang besteht – gesichert. Dabei spielt das Vier-Augen-Prinzip eine wichtige Rolle, um schlussendlich beweisen zu können, dass die Daten vor der Sicherung nicht verändert worden sind. Es ist für die Validität der Analyse zentral, dass die gesicherten Daten exakt dem Zustand der Systeme entsprechen und in keiner Weise verändert werden!

In der Analysephase werden die gesicherten Daten ausgewertet, Spuren festgestellt und darauf basierend Argumentationsketten entwickelt. Die entstehenden Ergebnisse sollen in diesem Schritt laufend reflektiert werden, um Fehlschlüsse und Lücken direkt zu erkennen und eine solide und nachvollziehbare Argumentation zu erhalten.

In der Present Phase werden die erarbeiteten Ergebnisse zielgruppengerecht aufgearbeitet und präsentiert. In dieser Phase liegt der Schwerpunkt darauf, dass auch technischen Laien der Ermittlungsprozess nachvollziehbar dargelegt werden kann.

NIST

Im Jahr 2006 hat das NIST ein eigenes Modell zur Durchführung von forensischen Verfahren publiziert (Kent et al. 2006). Das NIST unterteilt sein Modell in die Schritte Data Collection (Datensammlung), Examination (Untersuchung), Analysis (Analyse) und Reporting (Berichterstattung) und orientiert sich dabei weitestgehend am SAP-Vorgehensmodell. Der zentrale Unterschied besteht in der Aufteilung der Analysephase in die Phasen Examination und Analysis. Ziel ist, dass in der Phase Examination der Fokus rein auf die Sammlung von Fakten gelegt werden kann, die in der anschliessenden Phase der Analysis zu Information zusammengeführt werden können, wodurch eine Argumentationskette entsteht.

Die vorausgehende Phase der Data Collection und die abschliessende Phase des Reportings entsprechen weitestgehend den Phasen des SAP-Modells.

Figure 2 Forensischer Prozess nach NIST (Kent et al. 2006)

BSI

Das BSI-Vorgehensmodell beschreibt im Leitfaden für IT-Forensik sieben Phasen, die für den Erfolg einer forensischen Untersuchung zu beachten sind. (Bundesamt für Sicherheit in der Informationstechnik 2011)

• strategische Vorbereitung
• operative Vorbereitung
• Datensammlung
• Datenextraktion
• Datenanalyse
• Abschlussbericht
• Dokumentation

Im Zentrum stehen hier die Schritte des SAP-Modells in einer abgewandelten Form, das BSI Modell unterscheidet sich aber von SAP und dem Modell vom NIST, indem es vorbereitende Schritte beschreibt, die der Betreiber eines IT-Systems vor einem Ereignis ergreifen kann. Die strategische Vorbereitung nimmt dabei explizit Bezug auf Massnahmen, die prophylaktisch umgesetzt werden können, während die operative Vorbereitung Massnahmen zur Vorbereitung des eigentlichen forensischen Prozesses beschreiben. Weiter kennt das BSI-Modell die Phase Dokumentation, die den gesamten Prozess begleitet und in einer Art Protokoll festhält.

Fazit

Unsere Recherchen haben gezeigt, dass sich heutzutage im Bereich der IT-Forensik die Modelle von BSI, NIST & SAP etabliert haben. Obwohl die Modelle sich bei den einzelnen Schritten im Detail unterscheiden, sind sie sich in den zentralen Schritten doch sehr ähnlich.

Literaturquellen

• Publication bibliography
• Bundesamt für Sicherheit in der Informationstechnik (2011): Leitfaden IT-Forensik.
• Casey, Eoghan (2004): Digital evidence and computer crime. Forensic science, computers and the Internet. 2nd ed. London, San Diego, Calif: Academic Press. Available online at https://search.ebscohost.com/login.aspx?direct=true&scope=site&db=nlebk&db=nlabk&AN=189464.
• Kent, K.; Chevalier, S.; Grance, T.; Dang, H. (2006): Guide to integrating forensic techniques into incident response. Recommendations of the National Institute of Standards and Technology. NIST. Gaithersburg, MD.
• Kruse, Warren G.; Heiser, Jay G. (2001): Computer forensics. Incident response essentials. Boston MA: Addison-Wesley.
• Luber, Stefan (2018): Was ist IT-Forensik? In Security-Insider, 11/12/2018. Available online at https://www.security-insider.de/was-ist-it-forensik-a-774063/, checked on 11/10/2021.
• Tietze Frank, et al. (2013): Grundlagen der IT-Forensik.

Links:

• Nationales Zentrum für Cybersicherheit (2021) https://www.antiphishing.ch/de/
• Was ist IT-Forensik: https://www.security-insider.de/was-ist-it-forensik-a-774063/
• Das SAP-Modell: https://de.wikibooks.org/wiki/Disk-Forensik/_Richtlinien/_Das_SAP-Modell