Die digitale Technik entwickelt sich immer weiter, aber auch Cyberkriminelle entwickeln ihre Angriffstaktiken immer weiter. Gut organisierte Banden von Cyber-Erpressern erbeuten Jahr für Jahr Milliarden. Zu den sensibelsten Angriffspunkten zählen dabei Datenbanken und Festplatten, die aufgrund ihres Aufbaus, vor allem aber durch ihre Speichertechnologie, Schlupflöcher enthalten. Das bedeutet: Nicht immer stehen verwandte Datensätze in physischer Nähe zueinander, sie werden fragmentiert und sind somit auf dem System verstreut. So etwa in freien Speicherbereichen innerhalb eines Clusters (File-Slack). Oder weil in einem Speichervorgang nur der letzte Sektor einer Datei aufgefüllt wird und willkürlich Daten aus der RAM verwendet werden (RAM-Slack). Oder weil bei diesem Prozess willkürlich Daten vom Datenträger verwendet werden (Drive-Slack).
Weiters gibt es bei verschiedensten Festplattenarten – etwa bei HPA-Platten – die Möglichkeit, den oberen Bereich der Festplatte zu verstecken. Für Betriebssysteme und Programme ist das meist nicht sichtbar und kann nicht verändert werden. Man kann diese Bereiche primär zur Systemwiederherstellung oder als Konfigurationsdaten verwenden. Interessant für den Computer-Forensiker hierbei ist, dass an diesen Orten eventuell Beweise versteckt sein könnten. Die Sicherung dieser Beweise – mit der speziellen forensischen Software und einer Methode, die einer physischen oder logischen Kopie eines Systems einen unverwechselbaren Code zuweist – ist aber das Um und Auf. Und zudem das einzig gültige Beweismittel vor Gericht!
Ähnlich wie bei HPA-Festplatten verhält es sich auch bei DCO-Festplatten. Hier kann eine Entfernung des oberen Teils der Festplatte sogar die Gesamtinformation der Platte dauerhaft ändern und alle Beweise vernichten. Deshalb gilt auch für IT-Administratoren die Regel: Hände weg bei einem Verdacht auf Datendiebstahl und Cybercrime! Andererseits verunreinigt man den Tatort und erschwert dem Cyber-Forensiker seine Arbeit. Auch bei SSD-Speicherkarten können selbst nach einem Überschreiben Daten zurückgeblieben sein, da aufgrund des Wear-Leveling-Mechanismus nicht feststellbar ist, welche Speicherzellen angesprochen werden. Wer sicher gehen will oder muss, sollte nur den Profi ans System heranlassen.
- Host Protected Area Festplatten (HPO) enthalten Informationen, die nicht im Datei- und Betriebssystem gefunden werden können.
- Device Configuration Overlay Festplatten (DCO) enthalten ebenfalls versteckte Bereiche.
- Solid State Drive Speicherkarten (SSD) arbeiten ähnlich wie ein USB-Stick.
Mail-Datenbanken – Beweissicherung
In Maildatenbanken schlummern viele Beweise, sind daher cyberforensisch sehr ergiebig.
Um digitale Beweise auswerten zu können, müssen Beweisstücke korrekt bearbeitet werden, damit sie auch vor Gericht ihre Gültigkeit nicht verlieren. Da für viele Mitarbeiter eines Unternehmens der Großteil der Kommunikation über den Mailordner geht, sind für Cyber-Forensiker Maildatenbanken quasi ein „Archiv“ und die daraus extrahierten Daten ein zentraler Ort der Beweissicherung. Nicht jedem ist bewusst, dass sich in Maildatenbanken zudem viele Informationen und Daten verstecken, die auf den Rechnern eines Unternehmens nicht mehr oder nur mehr teilweise physisch vorhanden sind.
Bei einer forensischen Untersuchung durch Tems Security:
- Werden durch eine physische und logische Abbildung des Systems die Beweismittel fachgerecht gesichert
- Werden die entsprechenden Objekte des E-Mail-Clients untersucht, wie z. B. gesendete Objekte, Inbox, Archive, Gelöschte Objekte, Adressen, Header etc.
- Werden auch die E-Mail-Server selbst und die dazugehörigen Logs, E-Mail-Daten, Backups, Disaster Recovery Daten und das E-Mail Gateway analysiert.
Als Computer-Forensiker gehen wir dabei systematisch und analytisch, aber auch detektivisch vor. Das bedeutet: Erst, wenn einmal festgestellt ist, was der Fall ist, können aus dem gesicherten Datenkörper Schlüsse gezogen werden bzw. Daten durch Filecarving gerettet werden.
ERP-Systeme – Beweissicherung
Mit ERP-Systemen von Tems Security die relevante Information in Ihrem Unternehmen finden, verwalten und steuern
Moderne Unternehmen sind heutzutage sehr komplex. Aus diesem Grund werden Top-Manager durch computergestützte ERP-Systeme unterstützt. Im Detail bezeichnet Enterprise-Resource-Planning die unternehmerische Aufgabe, Personal, Ressourcen, Kapital, Betriebsmittel, Material sowie Informations- und Kommunikationstechnik im Sinne des Unternehmenszwecks rechtzeitig und bedarfsgerecht zu planen, zu steuern und zu verwalten. Alles läuft aber im Prinzip auf die eine Frage hinaus: Wie erhalte ich aus einem System die relevanten Informationen, die ich punktgenau suchen kann?
Da es sich bei ERP-Systemen um strukturierte Daten handelt, werden daher im Fall des Falles auch spezielle Analyse-Tools benötigt. Diese Tools werden einerseits von kommerziellen Anbietern geliefert – bei der Implementierung für genau Ihren Bedarf beraten wir Sie natürlich gerne. Tems Security kann Ihnen aber auch auf Ihr Unternehmen maßgeschneiderte Tools schreiben. Mit diesem diesem Predictive Coding, wie es genannt wird, suchen wir nach verschiedenen Patterns und filtern genau die Information heraus, die uns Hinweise auf die relevanten Daten gibt, die Sie suchen und brauchen.