Basishandbuch für Computeruntersuchungen für Windows

  • Artikel

Kapitel 2: Sammeln der Daten

Veröffentlicht: 11. Jan 2007

In diesem Kapitel wird erörtert, wie die für die Untersuchung erforderlichen Daten gesammelt werden. Daten in manchen Computeruntersuchungen sind instabil, äußerst flüchtig und können leicht geändert oder beschädigt werden. Daher müssen Sie vor der Analyse sicherstellen, dass alle Daten korrekt gesammelt und gespeichert werden. Verwenden Sie den in der folgenden Abbildung gezeigten dreistufigen Prozess.

Datensammlungsphase der Computeruntersuchung

Abbildung 2.1. Datensammlungsphase des Computeruntersuchungsmodells

Auf dieser Seite

Erstellen des Computeruntersuchungs-Toolkits
Zusammenstellen der Daten
Speichern und Archivieren

Erstellen des Computeruntersuchungs-Toolkits

Zur Datenerhebung während einer Untersuchung benötigt Ihre Organisation eine Sammlung von Hardware- und Softwaretools. Ein solches Toolkit könnte einen Laptopcomputer mit entsprechenden Softwaretools, Betriebssysteme und Patches, Anwendungsmedien, schreibgeschützte Geräte zur Wiederherstellung, unbeschriebene Medien, grundlegende Netzwerkkomponenten und Kabel enthalten. Das Toolkit sollte idealerweise im Vorfeld der Untersuchung erstellt werden, damit die Teammitglieder bereits vor der Untersuchung mit den Tools vertraut sind.

Dd443682.note(de-de,TechNet.10).gif Hinweis:

In den Abschnitten „Vorbereiten einer Computeruntersuchung in Ihrem Unternehmen“ und „Tools“ in Anhang: Ressourcen in diesem Handbuch finden Sie eine Liste empfohlener Softwaretools zur Aufnahme in Ihr Computeruntersuchungs-Toolkit sowie Anleitungen zur Erstellung eines Toolkits.

Zusammenstellen der Daten

Das Sammeln digitaler Beweise kann entweder lokal oder über ein Netzwerk erfolgen. Das lokale Sammeln von Daten hat den Vorteil einer besseren Kontrolle über betroffene Computer und Daten. Dies ist jedoch nicht immer möglich (zum Beispiel, wenn sich Computer in verschlossenen Räumen oder an anderen Orten befinden, oder wenn es sich um Server mit hoher Verfügbarkeit handelt). Weitere Faktoren, wie die Geheimhaltung der Untersuchung, die Art von zu sammelnden Beweise und die Zeitvorgabe für die Untersuchung bestimmen letztendlich, ob die Beweise lokal oder über ein Netzwerk gesammelt werden.

Dd443682.important(de-de,TechNet.10).gif Wichtig:

Beim Einsatz von Tools zur Datensammlung sollten Sie zunächst bestimmen, ob ein Rootkit installiert wurde. Rootkits sind Softwarekomponenten, die die gesamte Kontrolle über einen Computer übernehmen und mit Standarddiagnosetools nicht entdeckt werden können. Da Rootkits auf einer äußerst niedrigen Hardwareebene arbeiten, können Sie Systemaufrufe abfangen und ändern. Sie können ein Rootkit nicht durch Suchen der ausführbaren Datei aufspüren, da sich das Rootkit selbst von der Liste der Suchergebnisse entfernt. Portscans zeigen nicht an, dass der vom Rootkit genutzte Port offen ist, da das Rootkit dafür sorgt, dass der offene Port vom Scanner nicht entdeckt werden kann. Ob ein Rootkit vorhanden ist, lässt sich daher nur schwer feststellen. Eines der verfügbaren Tools ist Microsoft® Windows® Sysinternals RootkitRevealer.

Bei der Datensammlung über ein Netzwerk müssen Sie den zu sammelnden Datentyp und den Aufwand für die Datensammlung bedenken. Legen Sie fest, welche Daten für die Strafverfolgung der verdächtigten Parteien hilfreich sein können. In manchen Fällen mag es erforderlich sein, Daten von verschiedenen Computern über unterschiedliche Netzwerkverbindungen zu sammeln, in anderen reicht vielleicht eine Kopie eines logischen Volumes von einem einzigen Computer.

Der empfohlene Datensammlungsprozess sieht wie folgt aus:

  1. Erstellen Sie eine genaue Dokumentation, die Ihnen zu einem späteren Zeitpunkt die Identifizierung und Authentifizierung der gesammelten Beweise ermöglicht. Notieren Sie alle Elemente, die potentiell von Interesse sein könnten, und protokollieren Sie alle Aktivitäten, die später in der Untersuchung wichtig sein könnten. Wenn die Untersuchung erfolgreich sein soll, ist eine genaue Dokumentation mit Informationen wie den folgenden von entscheidender Bedeutung:

    • Wer hat die Aktion ausgeführt und warum? Was war das Ziel der Aktion?

    • Wie wurde die Aktion ausgeführt, mit welchen Tools und unter Befolgung welcher Verfahren?

    • Wann wurde die Aktion ausgeführt (Datum und Uhrzeit), und was waren die Ergebnisse?

  2. Legen Sie die Untersuchungsmethoden fest. In der Regel wird eine Kombination von Offline- und Onlineuntersuchungen durchgeführt.

    • Bei Offlineuntersuchungen wird eine zusätzliche Analyse an einer bitweisen Kopie des Originalbeweises durchgeführt. (Eine bitweise Kopie ist eine komplette Kopie der Daten des Zielcomputers, darunter Informationen wie Bootsektor, Partitionen und verfügbarer Speicherplatz.) Nach Möglichkeit sollte immer eine Offlineuntersuchung durchgeführt werden, weil so das Risiko einer Beschädigung der Originalbeweise gemindert wird. Diese Methode eignet sich jedoch nur für Situationen, in denen ein Abbild erstellt werden kann, und kann also nicht für das Sammeln flüchtiger Daten eingesetzt werden.

    • In einer Onlineuntersuchung wird die Analyse an den originalen Livedaten durchgeführt. Bei einer Onlineanalyse von Daten sollten Sie darauf achten, dass Beweise, die für einen Fall entscheidend sein können, nicht verändert werden.

  3. Identifizieren und dokumentieren Sie potentielle Datenquellen wie die folgenden:

    • Server. Zu Serverinformationen gehören Serverrolle, Protokolle (z. B. Ereignisprotokolle), Dateien und Anwendungen.

    • Protokolle aus internen und externen Netzwerkgeräten wie Firewalls, Router, Proxyserver, Netzwerkzugriffsserver (NAS, Network Access Server) und Angriffserkennungssysteme (IDS, Intrusion Detection Systems), die in einem möglichen Angriffspfad eingesetzt werden könnten.

    • Interne Hardwarekomponenten wie Netzwerkadapter (einschließlich MAC-Informationen) und PCMCIA-Karten. Notieren Sie ebenfalls externe Porttypen wie Firewire, USB und PCMCIA.

    • Speichergeräte für die Datensammlung (intern und extern), darunter Festplatten, Netzwerkspeichergeräte und Wechselmedien. Vergessen Sie nicht mobile Geräte wie PocketPC, Smartphones und MP3-Player wie Zune™.

  4. Bedenken Sie beim Sammeln flüchtiger Daten die Reihenfolge der Datengewinnung. Flüchtige Beweisdaten können leicht zerstört werden. Informationen wie laufende Prozesse, in den Speicher geladene Daten, Routingtabellen und temporäre Dateien können beim Herunterfahren des Computers für immer verloren gehen. Informationen zu Tools und Befehlen zum Sammeln dieser Informationen finden Sie im Tools-Abschnitt in Anhang: Ressourcen in diesem Handbuch.

  5. Verwenden Sie zum Sammeln von Daten aus Speichermedien und zum Aufzeichnen der Konfigurationsinformationen von Speichermedien die folgenden Methoden:

    • Wenn Sie ein internes Speichermedium entfernen müssen, fahren Sie den Computer zunächst herunter. Vor dem Abschalten des Computers sollten Sie jedoch sicherstellen, dass möglichst alle flüchtigen Daten erfasst wurden.

    • Bestimmen Sie, ob das Speichergerät von dem verdächtigen Computer entfernt und Ihr eigenes System zur Datensammlung eingesetzt werden soll. Ein Entfernen des Speichergeräts ist u. U. aufgrund von Hardwaregegebenheiten und -kompatibilitätsproblemen nicht möglich. In der Regel würden Sie Speichergeräte wie RAID-Geräte, Speichergeräte mit Hardwareabhängigkeit (zum Beispiel Legacygeräte) oder Geräte in Netzwerkspeichersystemen wie SANs (Storage Area Networks) nicht entfernen.

    • Erstellen Sie eine bitweise Kopie der Beweise an einem Backupspeicherort, und stellen Sie sicher, dass die Originaldaten schreibgeschützt sind. Die weitere Datenanalyse sollte an dieser Kopie erfolgen, nicht am Originalbeweismaterial. Eine schrittweise Anleitung für die Abbilderstellung geht über den Rahmen dieses Handbuchs hinaus, ist jedoch ein wichtiger Teil der Beweissammlung.

      Dd443682.important(de-de,TechNet.10).gif Wichtig:

      Verwenden Sie zum Erstellen einer bitweisen Kopie branchenübliche Tools wie EnCase von Guidance Software oder FTK von AccessData.

    • Dokumentieren Sie die internen Speichergeräte, und stellen Sie sicher, dass die Dokumentation auch Informationen zu deren Konfiguration enthält. Notieren Sie zum Beispiel Hersteller und Modell, Jumpereinstellungen und Gerätegröße. Außerdem sollten Sie den Schnittstellentyp und den Zustand des Laufwerks erfassen.

  6. Verifizieren Sie die gesammelten Daten. Erstellen Sie möglichst Prüfsummen und digitale Signaturen, um festzustellen, ob die kopierten Daten mit dem Original identisch sind. Unter bestimmten Umständen (z. B. bei schlechten Sektoren im Speichermedium) kann es vorkommen, dass es nicht möglich ist, eine perfekte Kopie zu erstellen. Stellen Sie sicher, dass sie mit den verfügbaren Tools und Ressourcen die bestmögliche Kopie erstellt haben. Sie können zum Erstellen eines kryptografischen MD5- oder SHA1-Hashs für den Inhalt einer Datei den Microsoft File Checksum Integrity Verifier (FCIV) verwenden.

Speichern und Archivieren

Nach dem Sammeln von Beweisen und vor der Analyse muss das Beweismaterial unbedingt so gespeichert und archiviert werden, dass Sicherheit und Datenintegrität gewährleistet sind. Befolgen Sie dazu die in Ihrem Unternehmen festgelegten Verfahren zum Speichern und Archivieren von Daten.

Bewährte Methoden zum Speichern und Archivieren von Daten umfassen Folgendes:

  • Bewahren Sie die Beweise an einem physisch sicheren und nicht manipulierbaren Ort auf.

  • Stellen Sie sicher, dass nur befugtes Personal Zugriff auf das Beweismaterial hat, sei es über das Netzwerk oder auf anderem Weg. Dokumentieren Sie, wer physischen und Netzwerkzugriff auf die Informationen hat.

  • Schützen Sie die Speichergeräte vor elektromagnetischen Feldern. Verwenden Sie zum Schutz der Speichergeräte vor statischer Elektrizität entsprechende Elektrostatik-Kontrolllösungen.

  • Fertigen Sie mindestens zwei Kopien des gesammelten Beweismaterials an, und speichern Sie eine Kopie an einem sicheren Standort außerhalb der Organisation.

  • Überprüfen Sie, dass das Beweismaterial physisch sicher gelagert (beispielsweise in einem Safe) sowie digital gesichert ist (beispielsweise durch Einrichten eines Kennworts für das Speichermedium).

  • Dokumentieren Sie die Aufbewahrungskette des Beweismaterials klar und deutlich. Erstellen Sie eine Checkin/Checkout-Liste mit Informationen wie den Namen der Person, die das Beweismaterial untersucht, der Uhrzeit und dem Datum des Auscheckvorgangs und genauen Uhrzeit- und Datumsangaben zum Wiedereincheckvorgang. Das Beispieldokument Arbeitsblatt – Chain of Custody Log Documentation finden Sie unter den Arbeitsblättern in Anhang: Ressourcen in diesem Handbuch.

In diesem Beitrag

Download (engl.)

Laden Sie das Basishandbuch für Computeruntersuchungen für Windows herunter.

Update Notification (engl.)

Melden Sie sich an, um Informationen über Aktualisierungen und neue Veröffentlichungen zu erhalten.

Feedback (engl.)

Senden Sie uns Ihre Kommentare oder Vorschläge.

 Dd443682.pageLeft(de-de,TechNet.10).gif 8 von 19 Dd443682.pageRight(de-de,TechNet.10).gif