Noch vor wenigen Jahren hätte Marco P. kein Alibi gehabt. Zur Tatzeit spät nach Mitternacht saß der Student vor seinem PC und surfte im Internet. Er recherchierte für eine Seminararbeit und besuchte unter anderem die Seiten des Landwirtschaftsministeriums. Seine Ex-Freundin beschuldigte ihn hingegen, sie zu dieser Zeit vergewaltigt zu haben. Am 23. Dezember wurde Marco verhaftet.

Als bei Marcos Vernehmung das Stichwort Computer fiel, wurden die ermittelnden Beamten hellhörig, kassierten das Gerät und übergaben es der computer-forensischen Abteilung des Bayerischen Landeskriminalamtes (BLKA) in München.

Mit der zunehmenden Verbreitung von Computern, wird die Arbeit der Ermittler der forensische Informations- und Kommunikationstechnik (IuK-Forensik) immer wichtiger: "Über 8000 Untersuchungen pro Jahr durch die 22 Regionallabors und uns erfordern das Eingreifen der IuK-Forensiker" berichtet Hans-Jürgen Stenger, der Leiter der Computer-Forensik beim BLKA. In seinem Labor arbeiten zehn Sachverständige, 22 weitere in den regionalen Präsidien Bayerns.

"In über 50 Prozent der Ermittlungsverfahren der Wirtschaftskriminalität sind digitale Spuren zu untersuchen. In anderen Deliktsbereichen spielt die IuK-Forensik eine eher geringe Rolle, zum Beispiel bei Fahrerflucht, Hausfriedensbruch oder Ladendiebstahl." erklärt Stenger. Hauptbetätigungsfelder Stengers und seiner Leute sind alle Formen des Betrugs, Falschgeld, Erpressung, Rauschgift und Waffen Auch das organisierte Verbrechen kommt ohne Excel und E-Mail nicht mehr aus.

Dabei werden in den Labors der Polizei nicht nur PCs zerlegt, sondern Macs, PDAs, Kreditkarten, elektronische Kassensysteme, Telefonanlagen oder elektronische Schließanlagen in Hotels. Überall, wo sich elektronische Spuren in Einsen und Nullen verstecken, werden die Computer-Forensiker aktiv, um Täter zu überführen -- oder Verdächtige zu entlasten.

So ist es Marco ergangen. Die Polizei fand auf seinem PC Surfspuren zur Tatzeit -- auch die des Landwirtschaftsministeriums. Der Gegencheck in den Logfiles des Webservers der Behörde festigte Marcos Alibi.

Die Polizei konfrontierte Marcos Ex-Freundin mit den Erkenntnissen und sie gestand, dass sie ihrem Ehemaligen aus Rache "eins auswischen" wollte. Marco durfte bereits an Heiligabend die U-Haft wieder verlassen.

Bestohlene Arbeitgeber

Weniger Glück hatte Harald Wegner. In seiner neuen Stelle im Vertrieb einer Frankfurter Bank sollte er geschäftlich viel unterwegs sein. Dafür stellte ihm die Bank ein Laptop. Nach kurzer Zeit verließ er das Bankhaus jedoch, um bei einer anderen Firma anzufangen. Die IT-Abteilung der Bank fand auf dem mobilen PC von Wegner ein Programm zum Brennen von CDs, das nicht zur gängigen Softwareausstattung der Bank gehörte. Die Geschäftsführung wurde misstrauisch und schaltet den freien Sachverständigen Holger Morgenstern ein.

Datendiebstahl durch Firmenangehörige ist ein weiteres Vergehen, das Forensiker oft beschäftigt. Diese Fälle landen jedoch seltener bei der Polizei, da die geschädigten Unternehmen die Öffentlichkeit fürchten. Sie beauftragen private Sachverständige wie Morgenstern oder ein Labor wie das von Kroll Ontrack. Häufig geben die verdächtigen Angestellten Firmengeheimnisse preis, schleusen Schadcode ein oder laden illegale Inhalte aus dem Netz. Oft versuchen die Täter, die Spuren zu verwischen, und löschen Daten, Programme und Partitionen oder installieren einfach ein anderes Betriebssystem darüber. Dennoch finden sich oft Spuren. Denn beim herkömmlichen Löschen werden die Daten nicht physikalisch entfernt, sondern nur die Hinweise in der Dateizuordnungstabelle (FAT bei Win98, MFT bei XP). Spezielle Suchprogramme, die auch zur Datenrettung verwendet werden, suchen nun die ganze Festplatte ab und stellen alle Dateien und Fragmente wieder her. Da Text normalerweise auch in binären Dateien (Word, Excel …) im Klartext vorliegt, ist die Suche nach Stichworten sehr einfach.

So untersuchte der Sachverständige Morgenstern den Rechner Wegners und stellte gelöschte Dateien und Mails wieder her. Dabei konnte er nachweisen, dass der Banker als Spion gewirkt hatte. Er hatte nicht nur Informationen aus seinem eigenen Bereich gestohlen, sondern ist im schlecht geschützten Netz der Firma auf die Suche gegangen: Businesspläne, Geschäftsunterlagen, vertrauliche Daten von Kunden und den Quellcode einer Rating-Software, die die Bank entwickelte.

Das brannte er auf DVDs, löschte alles wider und installierte über das XP mit NTFS-Dateisystem ein altes Windows 98 mit FAT. "Er war sich sicher, dass man dann nichts mehr findet. Aber man konnte die Spuren gut wieder herstellen und sehen, was er auf insgesamt neun DVDs gebrannt hatte." berichtet Morgenstern.

Pikanter Weise kam er ohne großen Aufwand an die Daten im Netz der Bank: Hacker-Tools fand Morgenstern nicht. Die Bank verzichtete auf eine Anzeige, um Gesichtsverlust zu vermeiden.

Oft sind komprimierende Daten besser gelöscht. Sie werden überschrieben. Doch auch hier finden sich noch Spuren. Die Spezialisten von Kroll Ontrack waren ebenfalls in einem Fall von Firmenspionage auf der Suche nach vier Dateien auf einem Rechner. Sie fanden die Dateinamen auch tatsächlich in der Dateizuordnungstabelle von Windows, jedoch waren sie an der physikalischen Stelle auf der Festplatte in einem bestimmten Muster überschrieben. Dieses Muster ließ sich einem bekannten Sicherheitsprogramm zuordnen, das Daten sicher löscht. Die Forensiker gingen erneut auf die Suche und fanden Reste des Programms auf dem Rechner. "Wir konnten dem Auftraggeber mitteilen: Die Dateien wurden vorsätzlich mit einem professionellen Lösch-Tool gelöscht." erzählt stolz Projektleiter Rainer Ziener von Kroll Ontrack.

Gerade Firmen sind misstrauisch gegenüber Angestellten. Dabei sind es immer wieder Laptops, die den Chefs sorgen bereiten, da sich die mobilen Geräte nicht so gut kontrollieren lassen. Oft verschwinden wichtige Daten und der Laptop-Besitzer behauptet, nicht er, sondern die EDV-Abteilung habe sie gelöscht. Dann müssen die Forensiker nachweisen, wann welche Partitionen entfernt oder angelegt wurden.

Sicher löschen

Wer wirklich sicher etwas löschen möchte, hat es schwer. Daten lassen sich sicher verbergen, z.B. mit GnuPG verschlüsseln, oder mit Steganos verstecken. Aber der Forensiker kann meist noch nachweisen, dass derartige Tools benutzt wurden.

Ein Weg, z.B. die Festplatte sicher zu löschen ist, sie mit Nullen zu überschreiben:

dd if=/dev/zero of=/dev/hda

Auch einzelne Partitionen lassen sich so beseitigen. "Für normale Forensiker und die Polizei ist das ausreichend." bewertet Morgenstern das Verfahren. Es gibt zwar theoretisch die Möglichkeit an Hand von Magnetisierungsspuren noch etwa zu lesen. "Ich wüsste in Deutschland niemand, der das macht. Auch die Polizei nicht. Da müsste es schon um sehr, sehr viel gehen. Wenn man ganz sicher sein will, überschreibt man die Platte ein paar Mal".

So arbeiten Forensiker

Die Arbeit eines Forensikers ist stark davon bestimmt, gerichtsverwertbare Beweise zu sichern und zu belegen. Das heißt, er muss den PC so erhalten, wie er ist, um seine Arbeit nachvollziehbar zu machen. Schon ein Booten des Rechners würde die Konfiguration ändern, Datumsangaben von tausend Dateien ändern und die temporäre Auslagerungsdatei des Arbeitsspeichers löschen.

Wichtig ist ferner, jeden Schritt genau zu dokumentieren und das Protokoll von Zeugen (Kunden, Kollegen) unterschreiben zu lassen.

Image erstellen

Um nicht mit dem System der Festplatte arbeiten zu müssen, erstellt der Forensiker im ersten Schritt ein Abbild der Platte. Dabei reicht ein Image von herkömmlichen Programmen wie True Image nicht aus, denn diese kopieren nur die Dateien des Dateisystems. Den Forensiker interessieren aber auch gerade die gelöschten Bereiche.

Für die Forensik gibt es daher spezielle Tools wie Encase oder Safeback. Encase beispielsweise bootet den Rechner über CD, legt eine Schreibsperre (Write-Block) an, sodass keine Daten verändert werden, erstellt von der Platte eine Checksumme und kopiert ein Image auf einen anderen Datenträger (z.B. USB-Platte). Wenn das Image dieselbe Checksumme aufweist, ist es identisch.

Analyse

Wie der Experte die Daten untersucht, richtet sich sehr stark nach den Erfordernissen des einzelnen Falls. Geht es z.B. um einen Brief, so ist es sinnvoll, einen Begriff daraus zu suchen. "Bei der Schlüsselwortsuche ist wichtig, dass man die Zahl der Begriffe so gering wie möglich und so exotisch wie möglich hält, so dass man sehr wenige Treffer bekommt" warnt Ziener von Kroll Ontrack.

Schwieriger wird die Suche nach Dialern. "Wenn Sie einen bestimmten Dialer, der sich trickreich versteckt, finden wollen, müssen Sie erstmal wissen, wie der funktioniert" erklärt Sachverständige Morgenstern.

Auch hier helfen Tools, die auf die Suche nach Daten in gelöschten Bereichen spezialisiert sind. Encase beispielsweise stellt gleich beim Erzeugen der Images alle gelöschten Daten wieder her. Von Kroll Ontrack gibt es ferner ein Tool, das auch zum Widerherstellen von gelöschten Daten und Partitionen verwendet wird (Easy Recovery).

Manche Textstücke finden sich teilweise auch in Fragmenten von Dateien. Der bayerischen Polizei ist es beispielsweise gelungen, einen Lebensmittelvergifter zu überführen, der eine Supermarktkette erpresste. Auf dem Rechner des Verdächtigen fand sich das Fragment eines Erpresserbriefs.

Ergebnisse

Der letzte Teil der forensischen Arbeit ist der Bericht. Er muss die Beweiskette lückenlos dokumentieren. Die Staatsanwaltschaft oder der Auftraggeber eines Labors erhält ein Protokoll und alle relevanten Daten auf Datenträgern: Images, Checksummen, automatische Berichte der Tools und wiederhergestellte Dateien und Fragmente.

Forensik mit Linux

Auch der private Anwender, der sich kein teures Spezialtool leisten will, kann Forensik betreiben: Mit Linux. Denn Linux besitzt einige Eigenschaften, die es für Forensiker sehr gut eignet (siehe auch Computerforensik.org). Das einfache Tool Disk Dump (dd) etwa wurde von US-Sicherheitsbehörden für die Forensik empfohlen.

Der Linux-Forensiker verwendet eine Distribution, die er nicht installieren muss, z.B. Knoppix. Er bootet Knoppix mit der Option no swap, sodass keinesfalls Daten auf der Platte geschrieben werden:

knoppix no swap

Nach dem Booten darf er die zu untersuchende Festplatte (z.B. /dev/hda) nicht mounten oder auf das Laufwerkssymbol auf dem Desktop klicken. Die USB-Zielplatte hingegen mountet er, z.B.:

mount /mnt/sda

Das Image lässt sich aber auch auf ein Netzlaufwerk kopieren. Im nächsten Schritt legt er eine Checksumme der Platte an (Root-Rechte erforderlich, aber nicht mounten):

sha1sum /dev/hda > /mnt/sda/checksumme_vor.sha1

Dann erzeugt er mit dem Befehl Disk Dump eine Eins-zu-Eins-Image:

dd if=/dev/hda of=/mnt/sda/sicherung.dd

Die externe USB-Platte muss natürlich groß genug sein. Nun legt der Forensiker erneut eine Checksumme an, um zu beweisen, dass die Platte nicht geändert wurde.

sha1sum /dev/hda > /mnt/sda/checksumme_nach.sha1

Wenn diese beiden Quersummen gleich sind und noch mit der der Sicherung übereinstimmen:

sha1sum /mnt/sda/sicherung.dd > /mnt/sda/checksumme_image.sha1

dann kann der Forensiker nachweisen, dass er ein eindeutiges Image besitzt. Wenn noch ein oder zwei Zeugen, der Vorgang beobachten, die (ausgedruckten) Checksummen prüfen und das Protokoll sowie Checksummen unterschreiben, so ist das Image als Beweis vor Gericht tauglich -- z.B. nach einer Dialer-Attacke. Der Geschädigte kann es der Polizei oder einem Labor übergeben.

Suche mit Tux

Auch für die Analyse bietet Linux Tools, z.B. Autopsy. Dabei durchsucht der Forensiker nicht die betroffene Platte selbst, sondern das Image. Auf einem Linux-Rechner (nicht das zu untersuchende System) mountet er das mit Disk Dump erzeugte Abbild einer Partition schreibgeschützt z.B.:

mount -o loop,ro /root/part1.dd /mnt/sicherung

Schwieriger ist es das Abbild einer ganzen Platte zu mounten. Dafür ist das Enhanced Loopback Device erforderlich. Siehe Installationshinweise dort.

Autopsy durchsucht Linux- und Windows-Dateisysteme, aber auch gelöscht Bereiche einer Platte oder Weißraum zwischen den Partitionen. Der Forensiker findet damit nicht nur Text, er sucht nach Hash-Werten bekannter Trojaner (eine Liste z.B. bei NIST)

oder erstellt Aktivitäts-Protokolle eines Dateisystems: Wann wurden welche Daten geändert?

Artikel in Heft 4/2005 des PC-Magazins.