hilalabdullah - stock.adobe.com
IT-Jobs: Was macht ein Experte im Bereich digitale Forensik?
Nach Sicherheitsvorfällen, bei denen IT eine Rolle spielt, gilt es meist jede Menge Fragen zu klären. Und das ist unter anderem eine Aufgabe von Experten der digitalen Forensik.
Wenn es darum geht, Verbrechen und Sicherheitsvorfälle aufzuklären, bei denen Computersysteme oder IT eine Rolle spielen, schlägt die Stunde der digitalen Forensik. Dies ist ein Unterfach der Forensik als Wissenschaft der Untersuchung krimineller Handlungen.
So untersucht ein digitaler Forensiker IT-Systeme und -Daten nach Spuren, die zur Aufklärung der Vorfälle beitragen können. Bei den zu untersuchenden Systemen kann es sich um klassische Computer wie Server oder Notebooks handeln, ebenso aber auch Smartphones, IoT-Geräte und Infrastrukturkomponenten wie Switches oder Router.
So ist es Ziel der forensischen Analyse, die Fragen „Wer hat was wann wie und wo gemacht“ zu beantworten. Es geht darum, mit den Spuren in Computersystemen gewonnen Informationen den möglichst exakten Ablauf einer Tat zu ermitteln.
Welchen Herausforderungen ein Experte der digitalen Forensik begegnet, und welche Anforderungen an die Spezialisten gestellt werden, erklärt Kai Thomsen im Gespräch im ComputerWeekly.de. Kai Thomsen ist Trainer für ICS-Kurse und Forensik beim SANS Institute. Er ist seit mehr als 15 Jahren in einer Vielzahl von IT-Sicherheitsfunktionen tätig. Derzeit ist er leitender Analyst für Digital Forensics and Digital Response (DFIR) beim Automobilhersteller Audi AG.
Was sind genau die Aufgaben eines Experten im Bereich Digitale Forensik? Wie sehen typische Aufgabenstellungen aus?
Kai Thomsen: Zuerst einmal müssen sich Forensiker und Forensikerinnen heute auf bestimmte Bereiche spezialisieren, das Feld ist zu groß und komplex als das eine Person sich in allen Gebieten der digitalen Forensiker auskennen könnte. Die wichtigsten Felder sind:
- Betriebssystemforensik, oftmals unterteilt in die wichtigsten Betriebssysteme Windows, Unix/Linux und macOS.
- Netzwerkforensik, also die Analyse von Daten, die über Computernetze übertragen werden.
- Smartphone Forensik, auch hier gibt es oft eine weitere Spezialisierung auf die beiden wichtigsten mobilen Betriebssysteme Android und iOS.
Typische Aufgabenstellungen für Forensiker sind die gerichtsfeste Sicherstellung von Daten von einem verdächtigen System und die Analyse der sichergestellten Daten bezüglich der Fragen „Wer hat was wann wo und wie gemacht.“ Gerichtsfeste Sicherstellung bedeutet, dass die Daten über akzeptierte Methoden gewonnen werden müssen, die Methoden nachvollziehbar und überprüfbar sein müssen und eine Manipulation der Daten durch Dritte ausgeschlossen werden kann.
Bei der Analyse liegt in der Regel eine Ausgangsfragestellung vor, die beantwortet werden soll. In einem Sicherheitsvorfall in einem Unternehmen könnte es bei Ermittlungen beispielsweise darum gehen, eine noch unbekannte Schadsoftware auf einem PC zu finden, von dem eine ungewöhnliche Netzwerkkommunikation ausging.
Diese Kommunikation und der Zeitpunkt dienen der Forensikerin als Einstiegspunkt in die Analyse der Daten des betroffenen PCs. Andere typische Aufgaben sind gerade im Bereich der kriminalistischen Ermittlungen die Sicherstellung von Kommunikationsdaten wie E-Mails und Chat-Protokollen.
In welchen Bereichen kommen IT-Forensiker zum Einsatz?
Thomsen: Die hauptsächlichen Einsatzbereiche sind die forensische Untersuchung von Computer- und Netzwerkdaten sowie die Analyse von Smartphones. Andere Bereiche beziehungsweise Spezialisierungen gewinnen dabei allmählich an Bedeutung, so zum Beispiel die Analyse von Automatisierungssystemen in Industrieanlagen oder auch von Steuergeräten in Fahrzeugen.
Bei welcher Art von Unternehmen werden Experten im Bereich Digitale Forensik beschäftigt?
Thomsen: Forensiker kommen hauptsächlich bei den Polizeibehörden und den Incident-Response-Teams, also den Abteilungen die Sicherheitsvorfälle aufklären, von Unternehmen und IT-Sicherheitsdienstleistern zum Einsatz.
Welche Fähigkeiten und Eigenschaften sollte ein IT-Forensiker mitbringen?
Thomsen: Die wichtigsten Eigenschaften eines IT-Forensikers beziehungsweise einer IT-Forensikerin sind Belastbarkeit, Teamfähigkeit und die Fähigkeit, Tätigkeiten streng nach Checkliste abarbeiten zu können.
„Wer gerne die sprichwörtliche Nadel im Heuhaufen sucht und einen Beitrag dazu leisten möchte Cyberkriminellen und -Spionen das Handwerk zu legen, für den ist dieser Beruf genau richtig.“
Kai Thomsen, SANS Institute, Audi AG
Letzteres heißt nicht, dass bei forensischen Analysen keine Kreativität gefragt ist, sehr oft ist genau das Gegenteil der Fall. Die Überprüfbarkeit der Arbeit und damit das Vorgehen nach einer Checkliste ist aber sehr wichtig, um gerichtsfeste Beweise liefern zu können. Das ist nicht nur für Forensikerinnen bei Ermittlungsbehörden relevant, sondern auch in Unternehmen, wo es bei großen Sicherheitsvorfällen ja auch um große finanzielle Schäden für ein Unternehmen gehen kann mit den entsprechenden Folgen.
Wer gerne die sprichwörtliche Nadel im Heuhaufen sucht und einen Beitrag dazu leisten möchte, Cyberkriminellen und -Spionen das Handwerk zu legen, für den ist dieser Beruf genau richtig.
Welche Tools und Ausrüstung verwenden Spezialisten der Digitalen Forensik?
Thomsen: In der digitalen Forensik kommen eine ganze Reihe Open-Source- und kommerzieller Tools zum Einsatz, dazu oft spezielle Hardware. Beispiele für Open-Source-Tools sind die SANS SIFT Workstation, die Malware-Analyse-Plattform Remnux, die wiederum eine ganze Reihe von Open-Source Tools für bestimmte Aufgaben mitbringen.
Wer einen Einstieg sucht, beschäftigt sich am besten mit diesen beiden Plattformen. Beispiele für kommerzielle Forensik-Tools sind X-Ways und Encase sowie Cellebrite für die Untersuchung von Smartphones. Spezielle Hardware wird meistens zur Sicherstellung von Daten verwendet. Dabei handelt es sich um Geräte, die zum Beispiel automatisch Kopien von Speichermedien wie Festplatten und USB-Sticks erstellen oder sogenannte Write-Blocker, die Schreibzugriffe auf Speichermedien verhindern, um eine Veränderung von Daten zu vermeiden.