![[Aufmachergrafik: heller, corporate design]](07-5-023-0.jpg)
Bitte bitgenau! Gerichtsverwertbarkeit digitaler Beweissicherungen Bitte bitgenau! Gerichtsverwertbarkeit digitaler BeweissicherungenViele Unternehmen machen sich im Voraus nur wenig Gedanken über notwendige Prozesse und Maßnahmen zur Sicherung digitaler Beweismittel im Schadensfall; glücklicherweise kommt diese Situation im Betriebsalltag meist nur selten vor. Wenn ein Schadensfall aber eintritt, überstürzen sich oftmals die Ereignisse und alles muss plötzlich ganz schnell gehen. Dann bleibt nur wenig Zeit, um sich über die Vielzahl an notwendigen Maßnahmen und die damit verbundenen Fallstricke und Gefahren Gedanken zu machen. Zudem wird die Situation nicht selten durch unklare Zuständigkeiten, ungeklärte Eskalations- und Kommunikationswege und unabgestimmte Aktionspläne von zu vielen Entscheidungsträgern deutlich kompliziert. Doch gerade im Schadensfall ist es wichtig einen kühlen Kopf zu bewahren und keine überstürzten Handlungen vorzunehmen, die eine spätere Anerkennung der digitalen Beweismittel vor Gericht gefährden.
Wichtigstes Ziel muss es sein, jegliche Veränderungen an digitalen Spuren und Beweisen zu vermeiden. Jegliche Ad-hoc-Ermittlungen sind vor der Durchführung der digitalen Beweissicherungen zu vermeiden, da sie nahezu zwingend dazu führen, dass wichtige Daten verändert werden und dadurch die Beweiskraft der digitalen Beweismittel vor Gericht im schlimmsten Fall verloren geht. Die Autoren empfehlen dringend, Beweissicherung und computerforensische Untersuchungen ausschließlich von ausgewiesenen Experten durchführen zu lassen. Im Unternehmen sollte klar geregelt und kommuniziert sein, dass entsprechende Zugriffe nur nach expliziter Weisung durch den zuständigen Verantwortlichen beziehungsweise nur durch hierfür explizit ermächtigte Mitarbeiter oder Externe erfolgen dürfen. Hinweise für "Ersthelfer" bei der Spurensicherung fasst der Kasten "Do's and Don'ts" zusammen.
----------Anfang Textkasten----------
----------Ende Textkasten----------
Alle betroffenen Computer und Geräte, die ausgeschaltet sind, sollten zunächst an einen sicheren Ort verbracht und unter keinen Umständen mehr eingeschaltet werden. Eingeschaltete Systeme sollten hingegen keinesfalls einfach ausgeschaltet werden, da hierbei wichtige Informationen verloren gehen, die für die spätere computerforensische Analyse von großem Nutzen sein können. Eingeschaltete Computer müssen daher bis zum Eintreffen der Computerforensik-Experten durch andere Maßnahmen gesichert werden, etwa durch Verschließen des Raumes oder eine persönliche Überwachung. Lediglich laufende Übertragungen von Daten sollten beispielsweise durch das Abziehen des Netzwerk- oder Modemkabels unterbunden werden.
Im Rahmen einer computerforensischen Untersuchung spielt die anschließende digitale Beweissicherung eine entscheidende Rolle im Hinblick auf eine erfolgreiche Ermittlung des zugrunde liegenden Sachverhaltes sowie für eine sich unter Umständen anschließende Gerichtsverhandlung. Ziel jeder digitalen Beweissicherung und computerforensischen Untersuchung sollte das Erlangen von gerichtsverwertbaren, zulässigen Beweisen sein, um mögliche Ansprüche gegebenenfalls auch juristisch durchzusetzen zu können.
Unter einer digitalen Beweissicherung ist das Erstellen von exakten forensischen Kopien der originalen digitalen Beweismittel in einer vor Gericht verwertbaren Art und Weise nach den Grundsätzen der ordnungsgemäßen Beweiserhebung zu verstehen. Dabei hat sich durchgesetzt, stets zwei Kopien des originalen Datenträgers anzufertigen: Eine Kopie dient als Beweiskopie und wird sofort nach der Erstellung und der Verifikation manipulationssicher versiegelt und an einem sicheren Ort verwahrt. Die zweite Kopie dient nach der Verifikation als Grundlage für die anschließende computerforensische Untersuchung.
Weder originale Daten noch die erstellten Kopien dürfen im Grundsatz während der Beweissicherung oder zu einem späteren Zeitpunkt verändert werden. In Ausnahmefällen kann die Gewinnung digitaler Beweismittel jedoch nicht ohne minimale Veränderungen der originalen Daten erfolgen. Dies ist vor allem bei der Sicherung von Daten aus laufenden Computersystemen der Fall, die aufgrund unternehmenskritischer Anwendungen unter keinen Umständen ausgeschaltet werden dürfen. In diesem Fall sind für die Gewinnung der digitalen Beweismittel minimal invasive Methoden anzuwenden (vgl. [1]). Alle Arbeitsschritte müssen ausreichend dokumentiert und nachvollziehbar sein sowie alle Ergebnisse ausschließlich auf Fakten basieren.
Bevor eine digitale Beweissicherung durchgeführt werden kann, gilt es, sämtliche für den vorliegenden Fall relevanten Datenquellen zu identifizieren. Hierbei empfiehlt es sich, einen vertrauenswürdigen und mit den relevanten Computersystemen vertrauten Mitarbeiter hinzuzuziehen. Zudem muss zuvor die Zulässigkeit von digitalen Beweissicherungen und computerforensischen Untersuchungen geklärt werden, denn bei schwerwiegenden – egal, ob bewussten oder unbewussten – Verfahrenverstößen ist ein Beweisverwertungsverbot die zwingende Folge (vgl. [2]). Die Vorschriften des Bundesdatenschutzgesetzes sowie weiterer einschlägiger Gesetze und Vorschriften, aber auch betriebsinterne Regelungen sind daher unbedingt einzuhalten.
Ebenfalls wichtig ist es, die unterschiedlichen Datenquellen bezüglich ihrer Beständigkeit zu klassifizieren, um die richtige Reihenfolge für die Sicherung der Beweismittel festlegen zu können. Hierzu wird in der Computerforensik zwischen flüchtigen und nicht-flüchtigen Daten unterschieden: Flüchtige Informationen sind alle Daten, die bereits nach kurzer Zeit bei normalem Betrieb oder nach einem Abschalten des Computersystems für immer verloren sind und somit nicht mehr für die anschließende Analyse zur Verfügung stehen. Von nicht-flüchtigen Informationen spricht man, wenn die Daten auch noch nach dem Abschalten des Computersystems auf den angeschlossenen Datenträgern aufzufinden und somit auszuwerten sind. Aufgrund der kürzeren Verfügbarkeit muss die digitale Beweissicherung flüchtiger Daten vor der Sicherung der nicht-flüchtigen Daten erfolgen.
Ein Großteil der flüchtigen Informationen wird bei einem Computersystem im CPU-Cache oder im Hauptspeicher gehalten. Bevor man gezielt beispielsweise flüchtige Informationen aus dem Hauptspeicher extrahiert, ist es ratsam, den gesamten Hauptspeicherinhalt komplett zu sichern. Denn die gezielte Abfrage flüchtiger Informationen aus dem Hauptspeicher stellt eine invasive Methode dar, die den Hauptspeicherinhalt selbst verändert, wodurch ein Teil der wichtigen Informationen definitiv verloren geht. Im Anschluss an die komplette Sicherung des Hauptspeichers werden durch gezielte Abfragen weitere Informationen zum Computersystem und seinem Zustand gewonnen, beispielsweise zu den derzeit angemeldeten Benutzern und bestehenden Netzwerkverbindungen. Im Zusammenhang mit letzteren sind auch geöffnete TCP- und UDP-Ports, die Prozesse, welche diese Ports geöffnet haben, sowie die interne Routing-Tabelle von Bedeutung.
Weitere Informationen können auch die zur gegebenen Zeit auf dem System laufenden Prozesse und Dienste sowie die Auflistung der beispielsweise durch Prozesse und Dienste geöffneten Dateien liefern.
Zur Sicherung der aufgeführten flüchtigen Informationen dürfen jedoch unter keinen Umständen die bereits auf dem System verfügbaren Administrationswerkzeuge benutzt werden! Schließlich lässt sich nicht abschätzen, inwieweit diese möglicherweise absichtlich manipuliert wurden, um falsche Informationen zu liefern oder weitere Schadfunktionen zu aktivieren. Daher sollte man bei der Sicherung flüchtiger Daten immer mit statisch kompilierten und aus vertrauenswürdiger Quelle stammenden Administrationswerkzeugen arbeiten.
Im Rahmen des Sicherstellens flüchtiger Daten sollten gleichzeitig auch eingebundene virtuelle und verschlüsselte Laufwerke sowie die Daten aus verschlüsselten Partitionen gesichert werden, sofern nicht sicher geklärt ist, dass sämtliche Passworte auch für eine nachträgliche Analyse zur Verfügung stehen.
Das klassische Beispiel für die digitale Beweissicherung von nicht-flüchtigen Daten ist das Erstellen von forensischen Kopien der Festplatten eines ausgeschalteten Computersystems. Hierbei wird eine bitweise 1:1-Kopie des originalen Datenträgers erstellt.
Neben den erwähnten Beispielen gibt es noch zahlreiche weitere Datenquellen: Dazu gehören etwa optische Medien wie CDs und DVDs, Flash-Medien wie Solid State Disks, USB-Memory-Sticks und Speicherkarten in diversen Formaten sowie Organizer wie MDAs, PDAs, XDAs und Palms. Auch Blackberrys und Telefonanlagen können wichtige digitale Beweise enthalten.
Um sicherzustellen, dass sich originale Daten und erstellte Kopien nicht unterscheiden, werden in der Praxis Prüfsummen des originalen Datenträgers sowie der Kopien berechnet. Hierbei kommen kryptographische Hash-Funktionen zum Einsatz, die zum eingelesenen Datenstrom eine eindeutige Prüfsumme berechnen. Mit geeigneten Hash-Funktionen lassen sich so selbst kleinste Unterschiede zwischen zwei Datenströmen eindeutig nachweisen. In der Praxis hat sich hier die Nutzung von MD5 [3] sowie SHA1 [4] durchgesetzt, obwohl diese Hash-Algorithmen mittlerweile als relativ anfällig für Kollisionen gelten [5,6]. Manche Computerforensik-Experten nutzen deshalb unterschiedliche Hash-Algorithmen gleichzeitig.
Um die Unversehrtheit und damit Verwertbarkeit der digitalen Beweismittel vor Gericht zu gewährleisten, hat sich in der Praxis der Einsatz so genannter Hardware-Writeblocker durchgesetzt, die auf Hardware-Ebene sicherstellen, dass keine Informationen auf den originalen Datenträger geschrieben werden können.
----------Anfang Textkasten----------
Es gibt zwei Arten von Angriffen auf kryptographische Hash-Funktionen: Die erste ist der so genannte Pre-Image-Angriff, bei dem zu einer vorgegebenen Nachricht eine zweite gefunden werden muss, die exakt den gleichen Hash-Wert liefert. Die zweite Art bezieht sich auf zufällige Kollisionen, also auf das Finden von zwei zufälligen Nachrichten, die den gleichen Hash-Wert ergeben; eine solche Attacke wird auch als "Kollisionsangriff" bezeichnet (vgl. [9]).
Während ein Pre-Image-Angriff auf den SHA1-Algorithmus [4] mit einem 160-Bit-Hash-Wert theoretisch 2160 Hash-Wert-Berechnungen benötigt, braucht man für das Auffinden zweier zufälliger Nachrichten, die eine Kollision der Hash-Werte verursachen aufgrund des Geburtstagsparadoxons nur 280 Berechnungen.
Die von den chinesischen Forschern um Xiaoyun Wang berichteten Fortschritte beim Errechnen von Kollisionen beim SHA1-Algorithmus beziehen sich ausschließlich auf die zweite Angriffsart. So konnten die Forscher den Aufwand zum Auffinden zweier zufälliger Kollisionen von 280 auf 269 senken [5,6].
Doch auch eine Senkung auf 269 Hash-Wert-Berechnungen bedeutet in der Praxis, dass die Erzeugung von zufälligen Kollisionen selbst auf einem (hypothetischen) Computersystem, dass 1 Milliarde Hash-Werte je Sekunde berechnet, noch immer annähernd 20 000 Jahre dauern würde [10].
Um hingegen einen Pre-Image-Angriff durchzuführen, sind sogar 280 mal mehr Berechnungen notwendig als bei einem Kollisionsangriff. Somit würde ein solcher Angriff auch mit aller weltweit verfügbaren Rechenkraft noch immer um ein Vielfaches länger dauern, als das Universum bereits alt ist.
----------Ende Textkasten----------
Wie bereits eingangs erwähnt, muss das Ziel jeder digitalen Beweissicherung und computerforensischen Untersuchung die Erlangung gerichtsverwertbarer Beweise sein. Bisher besteht in der juristischen Literatur und Rechtsprechung noch Uneinigkeit darüber, welche Art von Beweismittel elektronische Daten darstellen. Letztendlich zählt aber ohnehin allein, dass der Richter von der Wahrheit und Richtigkeit der Beweismittel und Ergebnisse überzeugt ist. Für die Arbeit der Computerforensik-Experten ist daher die juristische Einordnung der digitalen Beweise in der Praxis weniger bedeutsam.
Umso wichtiger ist der lückenlose Nachweis über die Unversehrtheit der Daten und die objektive Nachvollziehbarkeit der Ergebnisse. Dies beschränkt sich entgegen landläufiger Meinung nicht allein auf das Anfertigen von Prüfsummen der originalen digitalen Beweise. Vielmehr ist dafür ein lückenloses und striktes Beweismittel-Management von der initialen Beweissicherung über sämtliche Schritte der computerforensischen Untersuchung bis hin zur späteren Archivierung der Beweismittel notwendig.
Um diesen Nachweis später führen zu können, ist bereits beim Eintritt des Schadens eine Reihe an Maßnahmen zu treffen: So muss zunächst die Unversehrtheit der originalen Daten sichergestellt werden, indem man jegliche Änderungen vermeidet und schnellstmöglich eine forensisch einwandfreie digitale Beweissicherung vornimmt. Auch zu späteren Zeitpunkten müssen Manipulationen an den originalen Daten sowie den digitalen Beweissicherungen nachweisbar ausgeschlossen sein.
Hierzu dienen in der Praxis die angesprochenen, bei der Erstellung der Beweissicherungen erzeugten und dokumentierten Prüfsummen. Auch wenn die kryptografische Stärke der verwendeten Hash-Algorithmen durch die allseits bekannten Kollisionsattacken geschwächt wurde (siehe Kasten), bedeutet dies noch nicht, dass diese Verfahren zur Aufdeckung gezielter Manipulationen nicht mehr einsetzbar wären. Spätestens durch die gleichzeitige Verwendung mehrerer verschiedenartiger Hash-Algorithmen lässt sich in der Praxis eine unentdeckte Manipulation an den Beweismitteln mit Sicherheit ausschließen.
Zudem ist aber auch das Vertrauen in die Unversehrtheit der Daten anhand einer lückenlosen Beweismittelkette (sog. Chain of Custody) nachzuweisen – die Best Current Practices der Internet Community bescheibt RFC 3227 [8]. Dazu müssen die Beweismittel sofort nach der Erstellung beziehungsweise Übergabe sicher versiegelt und aufbewahrt werden: Dazu sollten manipulationssichere Beweismittelbeutel Verwendung finden und die Beweismittel in einem speziell klimatisierten und zutrittsgeschützten Ort aufbewahrt werden.
Es ist grundsätzlich zu überlegen, ob Beweismittel überhaupt im eigenen Haus aufbewahrt werden oder ob diese nicht besser einem unparteiischen Dritten ausgehändigt werden sollten – etwa einem Rechtsanwalt oder Wirtschaftsprüfer. So lässt sich dem vor Gericht oft geäußerten Verdacht, dass sowohl Interesse als auch Möglichkeit zur Manipulation der Beweismittel vorhanden waren, von vornherein effektiv ein Riegel vorschieben.
Der betraute unparteiische Dritte muss dabei den Verbleib der Beweismittel zu jedem Zeitpunkt nachweisen können und eine sichere Lagerung der Beweismittel gewährleisten. Sämtliche Zugriffe auf die Beweismittel sind dabei schriftlich und manipulationssicher zu dokumentieren und sollten dem Vier-Augen-Prinzip unterliegen.
Zu überlegen ist auch, ob sich Synergieeffekte nutzen lassen, indem die digitale Beweissicherung und die computerforensische Analyse durch diejenigen Personen durchgeführt werden, die auch mit der Untersuchung des Schadensfalls betraut sind. Diese sind ohnehin mit den Sachverhalten der Untersuchung vertraut, unnötige Verluste durch zusätzliche Schnittstellen werden so vermieden.
Der Unversehrtheits-Nachweis digitaler Beweise ist eine notwendige, nicht aber hinreichende Grundlage für die Gerichtsverwertbarkeit. Ebenso wichtig ist die objektive Nachvollziehbarkeit der Ergebnisse: Sie müssen jederzeit durch einen anderen Sachverständigen aus den Originaldaten reproduzierbar sein. Alle Tätigkeiten von der digitalen Beweissicherung bis hin zur computerforensischen Untersuchung müssen dazu lückenlos dokumentiert sein.
In der Praxis hat sich daher etabliert, alle computerforensischen Untersuchungen stets nur an einer Arbeitskopie des originalen Datenträgers auszuführen, auch wenn in der Regel nur forensische Tools eingesetzt werden, die keinerlei Modifikationen an den zugrunde liegenden Daten vornehmen. Müssen Tools eingesetzt werden, die Änderungen bewirken, nutzt man hierfür in der Regel eine eigens erzeugte, zusätzliche und temporäre forensische Kopie der Daten.
Nicht zuletzt müssen die eingereichten digitalen Beweise eindeutig und in nachvollziehbarer Weise dem Beschuldigten zuzuordnen sein: Das kann in der Praxis zum Beispiel aus der Verbindung von Zugriffsberechtigungen, Protokolldateien und Daten aus externen Zugangskontrollsystemen substanziiert dargestellt werden. Hierbei ist auch auszuschließen, dass beispielsweise Möglichkeiten unprotokollierter Remote-Zugriffe oder unkontrollierter physischer Zugriffe auf den Computer des Beschuldigten bestanden haben könnten.
Da die Würdigung der digitalen Beweismittel im Ermessen des Richters liegt, können Beweiskraft und Bewertung von digitalen Beweismitteln in Abhängigkeit von den handelnden Akteuren stark differieren. Folglich ist zwar auch ein striktes Beweismittel-Management kein zwingender Garant für einen erfolgreichen Klageverlauf. Aber ohne ein striktes Beweismittel-Management ist es sehr wahrscheinlich, dass wichtige Beweiskraft verloren geht und sich das betroffene Unternehmen somit leichtfertig eine wichtige Beweisquelle verbaut.
Manuel Rundt (Manuel.Rundt@de.ey.com), Steven Ebling (Steven.Ebling@ch.ey.com) und Renato Fazzone (Renato.Fazzone@de.ey.com) sind im Bereich Fraud Investigation & Dispute Services von Ernst & Young tätig und leiten die jeweiligen Forensic Technology & Discovery Services in Düsseldorf, Zürich beziehungsweise Frankfurt.
![[externer Link]](../../../../images/link.gif)
www.bundesverfassungsgericht.de/pressemitteilungen/bvg05-047.html www.ietf.org/rfc/rfc1321.txt www.ietf.org/rfc/rfc3174.txt http://eprint.iacr.org/2004/199.pdf www.schneier.com/blog/archives/2005/02/cryptanalysis_o.html https://ruessmann.jura.uni-saarland.de/rw20/people/ruessmann/Rostock/Rostock.pdf www.ietf.org/rfc/rfc3227.txt www.heise.de/security/artikel/56555 www.gi-ev.de/fachbereiche/sicherheit/fg/krypto/pmSHA1.html
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2007#5, Seite 23
tag:kes.info,2007:art:2007-5-023
| 