Warum ist die Beweissicherung der wichtigste Schritt in der IT-Forensik?
Die Beweissicherung bildet das Fundament jeder IT-forensischen Untersuchung. Ohne eine korrekt durchgeführte Sicherung sind alle nachfolgenden Analysen wertlos, denn Gerichte akzeptieren nur solche digitalen Beweismittel, deren Integrität zweifelsfrei nachgewiesen werden kann.
Der Grundsatz lautet: Das Original wird niemals direkt untersucht. Stattdessen erstellen Forensiker eine exakte bitgenaue Kopie des Datenträgers und arbeiten ausschließlich mit dieser Kopie. Dieser Ansatz hat mehrere Gründe:
- Jede Interaktion mit einem laufenden System verändert dessen Zustand (z.B. Zeitstempel, temporäre Dateien)
- Versehentliche Änderungen am Original machen Beweise unbrauchbar
- Mehrere unabhängige Analysten können parallel an identischen Kopien arbeiten
- Die Reproduzierbarkeit der Ergebnisse wird sichergestellt
In der Praxis scheitern forensische Untersuchungen häufiger an mangelhafter Beweissicherung als an fehlenden technischen Analysemöglichkeiten. Ein einziger Fehler in der Beweiskette kann dazu führen, dass belastende Daten vor Gericht nicht zugelassen werden.
Wer sich zunächst einen allgemeinen Überblick verschaffen möchte, findet in unserem Artikel Was ist IT-Forensik? eine umfassende Einführung in das Themengebiet.
Wie funktioniert forensisches Imaging?
Forensisches Imaging bezeichnet die Erstellung einer bitgenauen, sektorweisen Kopie eines Datenträgers. Anders als eine normale Dateikopie erfasst ein forensisches Image jeden einzelnen Sektor des Datenträgers, einschließlich freiem Speicherplatz, gelöschter Dateien und Dateisystem-Metadaten.
Es gibt verschiedene Imaging-Formate, die in der Praxis zum Einsatz kommen:
| Format | Beschreibung | Vorteile |
|---|---|---|
| dd (Raw) | Einfache bitgenaue Kopie | Universell kompatibel, einfach |
| E01 (EnCase) | Proprietäres Format mit Metadaten | Kompression, Hash-Verifizierung integriert |
| AFF4 | Advanced Forensic Format | Open Source, flexibel, effizient |
| SMART | ASR Data Format | Metadaten-unterstützt, komprimiert |
Der Imaging-Prozess läuft in mehreren Schritten ab:
- Write-Blocker anschließen: Ein Hardware- oder Software-Write-Blocker wird zwischen Originaldatenträger und Forensik-Workstation geschaltet, um jede Schreiboperation zu unterbinden
- Hashwert des Originals berechnen: Vor dem Imaging wird ein kryptographischer Hashwert (SHA-256) des Originals erstellt
- Bitgenaue Kopie erstellen: Mit spezialisierten Tools wird jeder Sektor des Datenträgers sequenziell gelesen und kopiert
- Hashwert der Kopie berechnen: Nach dem Imaging wird der Hashwert der Kopie berechnet und mit dem Original verglichen
- Verifizierung: Stimmen beide Hashwerte überein, ist die Integrität der Kopie bewiesen
Die Dauer des Imaging-Prozesses hängt von der Kapazität des Datenträgers und der Schnittstelle ab. Eine 1-TB-Festplatte über USB 3.0 benötigt typischerweise 2-4 Stunden.
Was ist die Chain of Custody und warum ist sie unverzichtbar?
Die Chain of Custody (deutsch: Beweiskette) dokumentiert lückenlos, wer zu welchem Zeitpunkt Zugang zu einem Beweismittel hatte und welche Handlungen durchgeführt wurden. Sie ist das rechtliche Rückgrat jeder forensischen Untersuchung.
Eine vollständige Chain of Custody enthält folgende Informationen:
- Identifikation: Eindeutige Bezeichnung des Beweismittels (Seriennummer, Modell, Beschreibung)
- Sicherungszeitpunkt: Datum und Uhrzeit der Sicherstellung
- Sicherungsort: Genauer Fundort des Beweismittels
- Verantwortliche Person: Name und Funktion der sichernden Person
- Übergabeprotokoll: Jede Übergabe zwischen Personen wird dokumentiert
- Lagerungsbedingungen: Wo und wie das Beweismittel aufbewahrt wird
- Zugriffsprotokoll: Jeder Zugriff auf das Beweismittel wird protokolliert
- Analysedokumentation: Welche Untersuchungen wurden durchgeführt
In der Praxis wird die Chain of Custody sowohl in Papierform als auch digital geführt. Jede Person, die mit dem Beweismittel in Kontakt kommt, muss den Empfang und die Rückgabe quittieren.
Ein Bruch in der Beweiskette liegt vor, wenn ein Zeitraum nicht dokumentiert ist, in dem das Beweismittel theoretisch hätte manipuliert werden können. Solche Lücken können im schlimmsten Fall dazu führen, dass gesamte Beweismittel verworfen werden.
Professionelle Datenrettung benötigt?
Jetzt: Angebot für Datenrettung anfragen.
Welche Hashverfahren werden zur Integritätsprüfung eingesetzt?
Professionelle Datenrettung benötigt?
Jetzt: Angebot für Datenrettung anfragen.
Kryptographische Hashfunktionen sind das technische Herzstück der forensischen Integritätsprüfung. Sie erzeugen aus beliebig großen Datenmengen einen einzigartigen Fingerabdruck fester Länge.
| Hashverfahren | Ausgabelänge | Status | Einsatz in der Forensik |
|---|---|---|---|
| MD5 | 128 Bit | Veraltet, Kollisionen bekannt | Ergänzend, nicht allein |
| SHA-1 | 160 Bit | Veraltet, Kollisionen nachgewiesen | Nicht empfohlen |
| SHA-256 | 256 Bit | Aktueller Standard | Primärverfahren |
| SHA-512 | 512 Bit | Aktueller Standard | Für hohe Sicherheit |
| BLAKE3 | Variable | Modern, sehr schnell | Zunehmend verbreitet |
In der Praxis werden häufig zwei verschiedene Hashverfahren parallel angewendet (z.B. SHA-256 und MD5). Diese Doppelprüfung erhöht die Beweiskraft und berücksichtigt die Tatsache, dass MD5 in älteren Systemen und Dokumentationen noch weit verbreitet ist.
Die Hashwerte werden an mehreren Punkten im Prozess berechnet:
- Vor dem Imaging (Hashwert des Originals)
- Nach dem Imaging (Hashwert der Kopie)
- Vor jeder Analyse (Verifizierung der Arbeitskopie)
- Nach jeder Analyse (Nachweis, dass die Kopie unverändert blieb)
Jede Abweichung zwischen den Hashwerten weist auf eine Veränderung der Daten hin und macht die betreffende Kopie als Beweismittel unbrauchbar.
Welche Hardware wird für die forensische Beweissicherung benötigt?
Die Hardware-Ausstattung eines forensischen Labors umfasst spezialisierte Geräte, die im normalen IT-Betrieb nicht benötigt werden:
Write-Blocker: Write-Blocker sind das wichtigste Werkzeug der forensischen Beweissicherung. Sie verhindern physisch jede Schreiboperation auf den angeschlossenen Datenträger. Es gibt sie als Hardware-Geräte für verschiedene Schnittstellen:
- SATA/IDE Write-Blocker für interne Festplatten und SSDs
- USB Write-Blocker für externe Speichermedien
- NVMe Write-Blocker für moderne M.2-SSDs
- Netzwerk-Write-Blocker für Remote-Sicherungen
Forensische Duplizierer: Standalone-Geräte wie Tableau TX1 oder Logicube Falcon ermöglichen das Imaging ohne angeschlossenen Computer. Sie erstellen forensische Images direkt auf Zieldatenträger und berechnen Hashwerte während des Kopiervorgangs.
Faraday-Ausrüstung: Für die Sicherung von Mobilgeräten werden Faraday-Taschen und Faraday-Räume eingesetzt. Diese schirmen elektromagnetische Strahlung ab und verhindern, dass ein Gerät ferngesteuert gelöscht oder verändert werden kann (z.B. über Remote-Wipe-Befehle).
Forensik-Workstations: Leistungsstarke Computer mit schnellen Schnittstellen (Thunderbolt, USB 3.2), großem Arbeitsspeicher (mindestens 64 GB RAM) und erheblicher Speicherkapazität für die forensischen Images.
Wie werden flüchtige Daten im Arbeitsspeicher gesichert?
Ein besonders zeitkritischer Aspekt der Beweissicherung betrifft flüchtige Daten (Volatile Data), die im Arbeitsspeicher (RAM) eines laufenden Systems gespeichert sind. Diese Daten gehen unwiderruflich verloren, sobald das System ausgeschaltet wird.
Flüchtige Daten umfassen unter anderem:
- Aktuell laufende Prozesse und deren Speicherinhalte
- Offene Netzwerkverbindungen und Socket-Informationen
- Entschlüsselte Daten im Klartext (auch bei Vollverschlüsselung)
- Passwörter und Authentifizierungstoken
- Zwischenablage-Inhalte
- Aktive Benutzer-Sessions
Die Sicherung des Arbeitsspeichers (RAM-Dump oder Memory Acquisition) erfolgt mit spezialisierten Tools:
- WinPmem / LinPmem für Windows- bzw. Linux-Systeme
- DumpIt als schnelles, portables Tool für Windows
- LiME (Linux Memory Extractor) für Linux-Systeme
- Magnet RAM Capture als benutzerfreundliches GUI-Tool
Die Entscheidung, ob ein laufendes System zuerst gesichert oder sofort ausgeschaltet werden soll, gehört zu den schwierigsten in der IT-Forensik. Die allgemeine Empfehlung lautet: Flüchtige Daten zuerst sichern, dann das System kontrolliert herunterfahren und anschließend die Festplatten/SSDs per Imaging sichern. Diese Reihenfolge wird als "Order of Volatility" bezeichnet.
Welche Standards und Normen regeln die forensische Beweissicherung?
Die forensische Beweissicherung orientiert sich an international anerkannten Standards, die methodische Konsistenz und Gerichtsverwertbarkeit sicherstellen:
ISO/IEC 27037:2012 Der wichtigste internationale Standard für die Identifikation, Sammlung, Sicherung und Aufbewahrung digitaler Beweismittel. Er definiert Rollen (DEFR - Digital Evidence First Responder, DES - Digital Evidence Specialist), Verfahren und Dokumentationsanforderungen.
ISO/IEC 27041:2015 Leitfaden zur Sicherstellung der Eignung und Angemessenheit forensischer Untersuchungsmethoden.
ISO/IEC 27042:2015 Richtlinien für die Analyse und Interpretation digitaler Beweismittel.
NIST SP 800-86 Guide to Integrating Forensic Techniques into Incident Response. Definiert den forensischen Prozess im Kontext von Incident Response.
BSI-Leitfaden IT-Forensik Das deutsche Bundesamt für Sicherheit in der Informationstechnik hat einen umfassenden Leitfaden veröffentlicht, der speziell auf den deutschen Rechtsrahmen zugeschnitten ist.
| Standard | Fokus | Verbindlichkeit |
|---|---|---|
| ISO 27037 | Identifikation und Sicherung | Empfohlen, Best Practice |
| ISO 27042 | Analyse und Interpretation | Empfohlen, Best Practice |
| NIST SP 800-86 | Incident Response Integration | Empfohlen |
| BSI IT-Forensik | Deutscher Rechtsrahmen | Empfohlen für DE |
| ACPO Guidelines | Britischer Rechtsrahmen | Empfohlen für UK |
Was sind die häufigsten Fehler bei der digitalen Beweissicherung?
Selbst erfahrene Ermittler machen gelegentlich Fehler, die die gesamte Untersuchung kompromittieren können. Die häufigsten Fehlerquellen:
1. Originaldaten verändern Das Booten eines Computers vom Originaldatenträger verändert hunderte von Dateien und Zeitstempeln. Dieser Fehler ist irreversibel und macht den Datenträger als Beweismittel unbrauchbar.
2. Kein Write-Blocker verwendet Ohne Write-Blocker kann das Betriebssystem des Forensik-Rechners automatisch auf den angeschlossenen Datenträger schreiben (z.B. Autorun, Indexierung, Journaling).
3. Lückenhafte Dokumentation Fehlende Einträge in der Chain of Custody schaffen Angriffsflächen für die Gegenseite im Gerichtsverfahren. Jeder noch so kleine Schritt muss dokumentiert werden.
4. Fehlende Hash-Verifizierung Wenn Hashwerte nicht vor und nach dem Imaging berechnet werden, kann die Integrität der Kopie nicht bewiesen werden.
5. Mobilgeräte nicht isoliert Ein Smartphone, das nicht in einer Faraday-Tasche aufbewahrt wird, kann aus der Ferne gelöscht werden (Remote Wipe) oder empfängt neue Daten, die den Zustand verändern.
6. Flüchtige Daten ignoriert Das sofortige Ausschalten eines laufenden Systems führt zum Verlust wertvoller Informationen im Arbeitsspeicher.
7. Unzureichende Schulung Nicht-forensisches Personal, das als erstes am Tatort eintrifft (First Responder), kann durch uninformiertes Handeln Beweise unwissentlich zerstören.
Wie läuft die Beweissicherung bei Cloud-Daten ab?
Die forensische Sicherung von Cloud-Daten stellt eine besondere Herausforderung dar, da die physischen Datenträger nicht direkt zugänglich sind:
Herausforderungen:
- Daten können auf Servern in verschiedenen Ländern gespeichert sein
- Cloud-Anbieter kontrollieren die physische Infrastruktur
- Rechtliche Zuständigkeit ist bei internationalen Cloud-Diensten komplex
- Daten werden dynamisch zwischen Servern verschoben
- Shared Infrastructure bedeutet, dass Daten Dritter betroffen sein können
Sicherungsmethoden:
- API-basierte Extraktion: Über offizielle Schnittstellen des Cloud-Anbieters werden Daten und Metadaten exportiert
- Account-Snapshot: Einfrieren eines Cloud-Kontos zu einem bestimmten Zeitpunkt
- Legal Hold: Cloud-Anbieter werden gerichtlich verpflichtet, Daten zu erhalten
- Remote-Imaging: Forensische Sicherung von virtuellen Maschinen in der Cloud
In der EU erleichtert die E-Evidence-Verordnung die grenzüberschreitende Sicherung digitaler Beweismittel. Ermittlungsbehörden können damit direkt bei Diensteanbietern in anderen EU-Mitgliedstaaten die Herausgabe oder Sicherung von Daten anordnen.
Für Unternehmen, die ihre IT-Infrastruktur gegen Angriffe schützen und im Ernstfall forensisch handlungsfähig sein möchten, empfehlen wir ergänzend unseren Artikel zum Thema Ransomware-Schutz.
Welche Kosten entstehen bei einer professionellen forensischen Beweissicherung?
Die Kosten einer forensischen Beweissicherung hängen von Umfang, Komplexität und Dringlichkeit ab:
| Leistung | Typischer Preisrahmen | Zeitaufwand |
|---|---|---|
| Forensisches Imaging eines Datenträgers | 300 - 800 EUR | 2 - 8 Stunden |
| RAM-Sicherung eines laufenden Systems | 200 - 500 EUR | 1 - 3 Stunden |
| Sicherung eines Mobilgeräts | 400 - 1.000 EUR | 2 - 6 Stunden |
| Cloud-Daten-Extraktion | 500 - 2.000 EUR | 4 - 24 Stunden |
| Vollständiges forensisches Gutachten | 2.000 - 10.000 EUR | 1 - 4 Wochen |
| Gerichtsaussage als Sachverständiger | 150 - 300 EUR/Stunde | Variabel |
Achten Sie bei der Beauftragung auf transparente Preisstrukturen und darauf, dass der Dienstleister nach den oben genannten Standards arbeitet. Ein seriöser Anbieter wird den voraussichtlichen Aufwand vor Beginn der Arbeiten detailliert erläutern.
Die Rekonstruktion gelöschter oder manipulierter Daten als Erweiterung der Beweissicherung verursacht in der Regel zusätzliche Kosten, die je nach Komplexität erheblich variieren können.
Professionelle Datenrettung benötigt?
Jetzt: Angebot für Datenrettung anfragen.