Elektronische Spurensicherung

"Die IT-Forensik wird immer wichtiger"

Armin Weiler kümmert sich um die rechercheintensiven Geschichten rund um den ITK-Channel und um die Themen der Distribution. Zudem ist er für den Bereich PCs und Peripherie zuständig. Zu seinen Spezialgebieten zählen daher Notebooks, PCs, Smartphones, Drucker, Displays und Eingabegeräte. Bei der inoffiziellen deutschen IT-Skimeisterschaft "CP Race" ist er für die Rennleitung verantwortlich.
Während vorbeugende IT-Security als Thema in aller Munde ist, wurden IT-forensischen Methoden im Kampf gegen die Cyberkriminalität bisher weniger Beachtung geschenkt. "IT-Forensik ist eine Beweismittelsicherung um festzustellen, was auf einem Computer passiert ist", erklärt Johann Haag, Studiengangsleiter IT Security an der Fachhochschule (FH) St.Pölten http://www.fh-stpoelten.ac.at . Dabei kann es um eine Analyse von Angriffen aus dem Internet ebenso gehen wie um die Informationssicherung durch Behörden. Die Rekonstruktion von Dateien und Informationen ist ein wesentlicher Teil der Arbeit. Zukünftige Spezialisten aus sechs Nationen haben in diesem Monat an einem Erasmus-Intensivprogramm zum Thema IT-Forensik teilgenommen.

Während vorbeugende IT-Security als Thema in aller Munde ist, wurden IT-forensischen Methoden im Kampf gegen die Cyberkriminalität bisher weniger Beachtung geschenkt. "IT-Forensik ist eine Beweismittelsicherung um festzustellen, was auf einem Computer passiert ist", erklärt Johann Haag, Studiengangsleiter IT Security an der Fachhochschule (FH) St.Pölten. Dabei kann es um eine Analyse von Angriffen aus dem Internet ebenso gehen wie um die Informationssicherung durch Behörden. Die Rekonstruktion von Dateien und Informationen ist ein wesentlicher Teil der Arbeit. Zukünftige Spezialisten aus sechs Nationen haben in diesem Monat an einem Erasmus-Intensivprogramm zum Thema IT-Forensik teilgenommen.

"Wenn ein Angriff passiert ist, wird eine Analyse notwendig", beschreibt Haag eine der Kernaufgaben der IT-Forensik. Dabei müssten auf einem System etwaige Nachwirkungen wie geöffnete Backdoors oder installierte Malware aufgespürt werden. Eine entscheidende Frage sei ferner: "Wie ist ein Angreifer in ein System eingedrungen?" Die Sicherheitslücken, die bei einer Attacke genutzt wurden, müssten ermittelt werden. Gerade in Zeiten, in denen Cybercrime immer größere Ausmaße annehme, sei es entscheidend, Systeme gegen eine erneute Nutzung bekannter Angriffsvektoren abzusichern. "Daher wird die IT-Forensik immer wichtiger", meint Haag.

Ob nach Angriffen oder bei der Suche nach belastendem Material auf behördlich sichergestellten Computersystemen - Datenwiederherstellung ist ein wichtiger Aspekt der Spurensicherung. "Eine Datei zu löschen heißt nicht, dass sie wirklich weg ist", betont Haag. Was für die Spurensicherung gut ist, macht in der Wirtschaft bisweilen Probleme. Dort sei es häufig wichtig, Daten unwiederbringlich zu vernichten. Dabei könne davon ausgegangen werden, dass nur Dateien, die ein IT-Forensiker nicht mehr aufspüren kann, auch wirklich sicher gelöscht wurden. Auch der Inhalt des Arbeitsspeichers ist bei der Spurensuche wichtig. "Es gibt teils Lücken in Betriebssystemen, die für die forensische Analyse genutzt werden können", meint Haag in diesem Zusammenhang. Konkret würden in einem Fall beim Schreiben auf Festplatten Blöcke mit Informationen aus dem Arbeitsspeicher aufgefüllt. Diese könnten daher auch Tage später noch rekonstruierbar sein.

Zur Startseite