Um IT-Angriffe auf Unternehmen und Schadsoftware zu entdecken, werden Informationen auf Computern analysiert. Doch viele wertvolle Daten gehen verloren, wenn Computer vom Strom getrennt werden. Live-Forensik setzt hier an und untersucht die Angriffe zeitnah. Im Projekt LIVEFOR haben Experten der FH St. Pölten und des Forschungszentrums SBA Research Unternehmen in diesem Fach geschult. [...]
Live-Forensiker sind hinter sogenannten flüchtigen Daten her. Das sind Informationen, die beim Unterbrechen der Stromversorgung verloren gehen, weil sie nicht auf einem langlebigen Datenträger, z. B. einer Festplatte, gespeichert werden. Darunter fallen beispielsweise Inhalte des Arbeitsspeichers, aktive Prozesse und Informationen zu bestehenden Netzwerkverbindungen. Live-Forensik analysiert flüchtige Daten während oder kurz nach dem Eintritt eines sicherheitskritischen Ereignisses.
„Digitale Forensik ist aus Unternehmen nicht mehr wegzudenken: Rechtliche Vorgaben und Wissensaufbau sowie Rekonstruktion von Tathergängen, aber auch die Prävention krimineller Aktivitäten spielen hier eine Rolle. Aufgrund der Veränderung von technologischen Rahmenbedingungen in den vergangenen Jahren hat die sogenannte ‚Live-Forensik‘ zunehmend an Bedeutung gewonnen“, sagt Sebastian Schrittwieser, Leiter des Projekts LIVEFOR sowie des Josef-Ressel-Zentrums für konsolidierte Erkennung gezielter Angriffe (TARGET) an der FH St. Pölten. Das Projekt LIVEFOR unterstützt IT-Unternehmen bei eigenen Forschungsaktivitäten auf dem Gebiet der Live-Forensik und der Analyse von flüchtigen Daten.
VORSPRUNG UND HINTERHERHINKEN
Dies ist unter anderem deswegen wichtig, weil übliche international anerkannte IT-Forensik-Standards der technischen Entwicklung hinterherhinken. „Bei Smartphones und Laptops werden Daten zunehmend voll verschlüsselt, wodurch die klassische ‚Post-mortem-Forensik‘ nicht mehr funktioniert. Mit Live-Forensik kann auf Systemen mit Datenträger-Vollverschlüsselung aus dem Inhalt des Arbeitsspeichers der kryptographische Schlüssel extrahiert werden, der dann für eine spätere Analyse des Systems zur Verfügung steht“, erklärt Schrittwieser.
Wichtig für Live-Forensik sind Arbeitsspeicher, weil in ihnen während des Betriebs etwa Passwörter gespeichert werden, auf die Forensiker zugreifen können, solange der Computer noch in Betrieb ist. „Früher galt bei Hausdurchsuchungen, dass man Computer sofort vom Netz nimmt. Heute weiß man, dass man besser zuerst den Arbeitsspeicher untersucht“, sagt Schrittwieser. Notfalls kann der Arbeitsspeicher auch mit flüssigem Stickstoff eingefroren werden. Die Information bleibt dann für einige Minuten erhalten und der Speicher lässt sich eventuell in ein anderes Gerät einbauen, auf das die Forensiker zugreifen können.
Besonders herausfordernd seien vor allem Smartphones: Sie funktionieren anders als klassische Computer, haben Sicherheit und Datenschutz meist integriert und sind daher von Forensiker schwerer zu analysieren.
PROJEKT LIVEFOR
Das Projekt LIVEFOR ist ein sogenanntes Qualifizierungsnetzwerk, finanziert vom Bundesministerium für Wissenschaft, Forschung und Wirtschaft (BMWFW). Ziel des Qualifizierungsnetzes ist es, den beteiligten Unternehmen eigene Forschungsaktivitäten auf dem Gebiet der Live-Forensik zu ermöglichen, sowie den Aufbau eines Unternehmensnetzwerks und somit den Wissenstransfer von Konzepten der Live-Forensik zu forcieren, die von aktuellen digitalforensischen Richtlinien nicht abgedeckt werden.
„Die Unternehmen sind bereits im Bereich der IT-Forensik tätig, sollen aber durch das Projekt und das entstehende Netzwerk mit den raschen Technologiesprüngen besser mithalten können“, so Schrittwieser. Am Projekt beteiligt sind auch Juristen. Denn zur Aufklärung von Straftaten wäre es am einfachsten, möglichst viele Daten und Arbeitsschritte auf Computern – und daher von Mitarbeitern – bereits vorab zu sichern. In den USA ist dies erlaubt, in Österreich aus Datenschutzgründen nicht.
Die am Projekt teilnehmenden Firmen sind Bravestone Information-Technology GmbH, Cognosec GmbH, Cumulo Information System Security GmbH, Limes Security GmbH und T-Systems Austria GesmbH und ZT Zeiler GmbH. (pi)
Be the first to comment