Die lückenlose Kette: Sicheres Teilen IT-forensischer Beweise im geschäftlichen, Rechts-, Versicherungs- und Regierungsbereich

IT-Forensik

Egal, ob Sie sich für sämtliche Fernsehserien begeistern, in denen es um Kriminalfälle und Gerichtsverfahren geht, oder nur gelegentlich bei einer Wiederholung von „Law & Order“ reinschalten, die folgende Szene sollte Ihnen bekannt vorkommen: Mit hochgekrempelten Ärmeln und runtergeschraubter Hoffnung nehmen die Polizisten unscharfe Überwachungskameravideos unter die Lupe, als allerletzter verzweifelter Versuch, den Fall zu lösen. „Moment mal“, ruft einer von ihnen. „Vergrößern Sie das bitte!“ Der IT-Forensiker zoomt mit einem gezielten Klick in ein kristallklares Standbild hinein, das einen direkten Hinweis bezüglich der Identität des Täters enthält. „Großartig. Wir haben ihn“, sagt der Kriminalkommissar mit einem Seufzer der Erleichterung. Und dann Klicken die Handschellen, das Gerichtsverfahren beginnt und letztendlich landet der Bösewicht hinter Gittern.

Mal abgesehen davon, dass Videoanalysen in der Realität so nicht funktionieren, gibt es noch ein weiteres Problem mit diesem Klischee.

Zwischen der Aufnahme eines Videos und dessen Präsentation als digitales Beweismittel vor Gericht können eine Million Dinge schieflaufen. Damit Richter oder Geschworene es überhaupt zu Gesicht bekommen, muss das Beweismittel gesetzlich zulässig – d. h. authentisch, akkurat und vollständig – sein. Aaron Stillman, Head of Product Marketing bei Tresorit, erklärt: „Wenn es an einem Flughafen zu einem Protest kommt und die Überwachungskameras Vandalismus aufzeichnen, müssen Sie die Aufnahme mit großer Wahrscheinlichkeit an einen Rechtanwalt, die Behörden, die Versicherungsgesellschaft usw. weiterreichen. Aber dies muss auch auf eine Weise erfolgen, die verhindert, dass die Informationen manipuliert werden können, und die sicherstellt, dass die Beweiskette nicht durchbrochen wird.“

In diesem Artikel werden wir tiefer darin eintauchen, wie genau dies erzielt werden kann sowie was genau IT-Forensik ist, welche Arten von digitalen Beweismitteln gesammelt werden können und welche internationalen Standards und Best Practices existieren, um die angemessene Handhabung von IT-Forensikdaten zu gewährleisten.

Was ist IT-Forensik in Bezug auf Cybersicherheit? Eine Definition und wichtige Aspekte

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert IT-Forensik als „die streng methodisch vorgenommene Datenanalyse auf Datenträgern und in Computernetzen zur Aufklärung von Vorfällen unter Einbeziehung der Möglichkeiten der strategischen Vorbereitung insbesondere aus der Sicht des Anlagenbetreibers eines IT-Systems“ – was eine Erweiterung der geläufigen Interpretation (methodisches Vorgehen zur Aufklärung von Straftaten unter Verwendung von IT-Systemen) darstellt.

Im herkömmlichen Sinne umfasst diese Analyse sich auf Computern, Festplatten, Mobiltelefonen und anderen Datenträgern befindliche Informationen. Seit kurzem gilt das Internet der Dinge als die neue Grenze der IT-Forensik, was dem Ganzen eine Fülle von smarten Geräten, Netzwerken und Umgebungen hinzufügt, wie unbemannte Luftfahrzeuge (Drohnen), Videospielkonsolen, Babyphone, Smartwatches, Garagentore, Kühlschränke, Rauchmelder usw.

Wenn man einmal einen Blick auf die Geschichte der IT-Forensik wirft, standen digitale Beweismittel vor den letzten zwei Jahrzehnten selten im Mittelpunkt eines Strafermittlungsverfahrens. Heutespielen sie schätzungsweise in 85% aller strafrechtlichen Ermittlungen in der EU eine Rolle. Ein weiterer Faktor, der die Nachfrage für IT-Forensik vorantreibt, ist die steigende Zahl von Datenschutzverletzungen in Unternehmen: Allein im Jahr 2022 haben 83% von Unternehmen mehr als eine Datenschutzverletzung erlebt.

IT-forensische Analysen sind oftmals langwierige und arbeitsintensive Prozesse, die durch Herausforderungen wie das Einholen von sich auf beschädigten oder zerstörten Geräten befindlichen Daten, die Suche nach einzelnen Beweismitteln in großen Datenmengen und die Gewährleistung der Datenintegrität – also der zuverlässigen Erfassung von Daten, die auf keinerlei Weise manipuliert wurden – weiterhin erschwert werden.

Wie funktioniert IT-Forensik? Eine sehr kurze Einführung in den IT-forensischen Prozess

Das Hauptziel der IT-Forensik ist laut Interpol die Gewinnung von Daten aus IT-forensischen Beweismitteln, die Umwandlung dieser Daten in verwertbare Informationen und die Präsentation dieser Ergebnisse im Zuge der Strafverfolgung. Fundierte forensische Techniken, Hilfsmittel und Verfahren müssen während dieses gesamten Prozesses angewendet werden, um sicherzustellen, dass die Ergebnisse gesetzlich zulässig sind.

Der Arbeitsablauf einer IT-forensischen Analyse beginnt gewöhnlich mit der Identifizierungsphase, in der potenzielle Quellen digitaler Beweismittel identifiziert werden. Als Nächstes werden diese Daten in der Sicherungsphase mithilfe eines Verfahrens gesichert, der ihren ursprünglichen Zustand aufrechterhält und jegliche Datenkorruptionen oder -verluste verhindert. Dies wird oftmals erreicht, indem digitale Kopien der Speichermedien erstellt werden.

Es folgt die Untersuchungsphase, in der die gesicherten Daten systematisch analysiert werden, um relevante Informationen zu extrahieren, einschließlich gelöschter, verschlüsselter oder versteckter Dateien. Nach der Untersuchung schließt die Berichterstattung den Vorgang ab. Diese beinhaltet eine detaillierte Erläuterung der im Zuge der Ermittlung unternommenen Schritte und sämtliche auf den digitalen Beweismitteln basierenden gewonnenen Schlussfolgerungen – auf eine sowohl für Experten als auch Laien verständliche Weise.

Beispiele für digitale Beweismittel – von gängig bis hin zu skurril

Wie bereits erwähnt können IT-forensische Beweismittel aus unterschiedlichen Quellen stammen. Laut dem Büro der Vereinten Nationen für Drogen- und Verbrechensbekämpfung (United Nations Office on Drugs and Crime, UNODC) lassen sie sich weitgehend den folgenden Kategorien zuordnen:

  • Digitale Geräte, wie Computer, externe Festplatten, USB-Sticks, Router, Smartphones, Tablets, Kameras und Smart-TVs
  • Internetfähige Haushaltsgeräte, z. B. Kühlschränke, Waschmaschinen, Heiz- und Kühlsysteme und Videospielkonsolen
  • Öffentliche Ressourcen, einschließlich Kommentaren und Verbindungen in sozialen Medien, Bildern, Chat-Protokollen, Webseiten, Blog-Beiträgen und Diskussionsforen
  • Private Ressourcen, wie Internetdienstanbieter-Protokolle zu Nutzeraktivitäten und Cloudspeicheranbieter-Berichte zu Nutzeraktivitäten und Inhalten

Der Fall von Ross Compton, Einwohner des US-amerikanischen Bundesstaats Ohio, verdient an dieser Stelle spezieller Erwähnung, da es sich hierbei um die erste Instanz handelt, in der die Polizei die Daten eines Herzschrittmachers auswertete, um eine Geschichte zu bestätigen. Und die Bestätigung erfolgte umgehend – und führte zu zwei Anklagen wegen Brandstiftung und Versicherungsbetrug, wie die Washington Postberichtete

.

Über Strafverfolgung und Strafjustiz hinaus: Wie die Versicherungsbranche von IT-Forensik Gebrauch macht

Digitale Beweismittel sind für Versicherungsgesellschaften unerlässlich, um Ansprüche zu überprüfen und korrekte Beurteilungen abzugeben.

Beispielweise können in Bezug auf Sachversicherung digitale Fotos oder Videoaufnahmen von Überwachungskameras als Beweis für einen Einbruch oder einen durch eine Naturkatastrophe verursachten Schaden dienen. Ein weiteres Beispiel ist die Haftpflichtversicherung, bei der digitale Aufzeichnungen von Unternehmen, wie z. B. Ereignismeldungen oder Kundenreferenzen, herangezogen werden können, um die Umstände, in denen sich ein Unfall oder eine Verletzung ereignet hat, zu bestätigen.

Das Gleiche gilt für Entschädigungsansprüche durch Arbeitnehmer. Krankenakten, Unfallmeldungen, Videoaufnahmen von Sicherheitskameras und Zeugenaussagen können sehr hilfreich sein, was sowohl die Verifizierung des Ortes, Zeitpunkts und Ausmaßes eines sich am Arbeitsplatz zugetragenen Unfalls als auch die Prävention von Versicherungsbetrug, wie das Vortäuschen oder vorsätzliche Hinauszögern von Verletzungen, oder das Beziehen von Beihilfen bei gleichzeitigem Nebenverdienst angeht.

In den Einzelhandel betreffenden Rechtsverfahren können digitale Beweismittel ebenfalls als unparteiischer Zeuge fungieren. Von Sicherheitskameras aufgezeichnete Daten, von Mobilgeräten aufgezeichnete Daten zur Standortbestimmung oder Kassendaten zu digitalen Transaktionen lassen sich nur schwer anfechten, wenn diese genutzt werden, um z. B. den Verlust von Waren aufgrund von Mitarbeiterdiebstahl, Betrug durch Lieferanten oder Ladendiebstahl nachzuweisen.

Die vier Hauptzweige der IT-Forensik: eine Übersicht mit Definitionen und Beispielen

1. Computerforensik
Die US Cybersecurity and Infrastructure Security Agency (kurz CISA) definiert die Wissenschaft der Computerforensik als „Disziplin, die Elemente von Recht und Informatik vereint, um Daten aus Computersystemen, Netzwerken, drahtlosen Kommunikationen und Speichermedien auf eine Weise zu sammeln und zu analysieren, die sie als Beweismittel vor Gericht zulässig macht.“

2. Netzwerkforensik
Im Grunde genommen bezieht der Begriff Netzwerkforensik sich auf die Untersuchung von sich in der Übertragung befindlichen Daten, um Informationen zusammenzutragen, gesetzliche Beweise zu sammeln oder ein Eindringen aufzudecken. Mithilfe von netzwerkforensischen Verfahren ist es möglich, den ursprünglichen Inhalt einer E-Mail, Instant-Messenger-Nachrichten, Webbrowseraktivitäten sowie über Netzwerkgeräte getätigte Dateitransfers wiederherzustellen.

3. Datenbankforensik
Datenbankforensik konzentriert sich auf das Identifizieren, Bewahren, Wiederherstellen, Analysieren und Präsentieren von Fakten zu in Datenbanken gefundenen Informationen. Laut Infosec gehören der Ausfall einer Datenbank, die Löschung von Informationen aus einer Datenbank, Unstimmigkeiten bezüglich der in der Datenbank enthaltenen Daten und verdächtiges Verhalten von Nutzern zu den Szenarios, die Tools für die Datenbankforensik erforderlich machen.

4. Mobile Forensik
Mobile Forensik bezieht sich auf die Wiederherstellung digitaler Beweismittel oder Daten auf einem Mobilgerät. Informationen, die auf Mobilgeräten gefunden und als Beweise in strafrechtlichen Verfahren angebracht werden können, beinhalten u. a. Anruflisten, Kontakte, To-do-Listen, Notizen, SMS, Sprachnachrichten, historische Gelokationsdaten und Informationen zu WLAN-Verbindungen.

Von Durchsuchung und Beschlagnahme bis hin zur wissenschaftlichen Fundierung: rechtliche Erwägungen bezüglich IT-Forensik

Auch wenn die IT-Forensik sowohl für Strafverfolgungsbehörden als auch für in der Wirtschaft tätige Privatdetektive und Ermittler von unschätzbarem Wert ist, gibt es dennoch eine Vielzahl rechtlicher Bedenken.

Das Wichtigste zuerst: Um sicherzustellen, dass digitale Beweismittel vor Gericht standhalten und dazu beitragen, Gerechtigkeit walten zu lassen, müssen sie rechtmäßig eingeholt werden – d. h. in Übereinstimmung mit den relevanten Durchsuchungs- und Beschlagnahmungsgesetzen und Datenschutzverordnungen. Die Europäische Staatsanwaltschaft (EuSTA) beispielsweise führt verschiedene verschiedene Verfahren und Mechanismen für die Sammlung elektronischer Beweismittel aus, abhängig davon, wo die digitalen Beweise sich befinden oder kontrolliert oder gespeichert werden.

Der Weg der Beweismittel vom Tatort bis hin zum Gerichtssaal muss akribisch dokumentiert werden. Dieser Vorgang, der als Beweiskette bekannt ist, soll den Lebenszyklus der Beweismittel über die Sammlung, Sicherung und Analyse hinweg nachverfolgen. Im Zuge des Vorgangs muss dokumentiert werden, wer die Beweise handhabt, wann sie gesammelt oder weitergereicht wurden sowie aus welchem Zweck dies erfolgte.

Darüber hinaus müssen IT-Forensikexperten zuverlässige Prinzipien und Methoden für die Sicherung und Analyse von digitalen Beweismitteln anwenden, um deren Zulässigkeit vor Gericht zu gewährleisten. Der ISO/IEC 27041:2015-Standard dient beispielsweise als Orientierungshilfe, um die Gültigkeit und Zuverlässigkeit IT-forensischer Tools und Methoden sicherzustellen, während ISO/IEC 27042:2015 ein geläufiges Rahmenwerk für die Analyse und Interpretation digitaler Beweismittel ist, erklärt das UNODC.

Globale Richtlinien und Standards zur Gewährleistung der Integrität und gesetzlichen Compliance von IT-Forensik

1. ISO/IEC 27037
Dieser internationale Standard dient als Orientierung für bestimmte Aktivitäten bei der Handhabung digitaler Beweismittel, einschließlich deren Identifizierung, Sammlung, Beschaffung und Sicherung.

2. ISO/IEC 27041
Dieser Standard detailliert die Sicherheitsanforderungen für die Verwendung von Methoden und Prozessen bei der Ermittlung von Cybersicherheitsvorfällen, einschließlich der Prüfung von Zulieferern und anderen Dritten.

3. ISO/IEC 27042
Dieser Standard bietet Orientierungshilfen und bewährte Verfahren in Bezug auf die Analyse und Auslegung digitaler Beweismittel mit einem Fokus auf Kontinuität, Gültigkeit, Reproduzierbarkeit und Wiederholbarkeit.

4. SWGDE Model Standard Operation Procedures for Computer Forensics
Dieses Document dient Organisationen – von den Tätigkeiten von Einzelpersonen bis hin zu Forensikabteilungen und Laborbetrieben – als Vorlage, um ihre eigenen Standardverfahren zu entwickeln.

5. ACPO Good Practice Guide for Digital Evidence
Dieser von der britischen Association of Chief Police Officers entwickelte Leitfaden gibt sowohl Mitarbeitern von Strafverfolgungsbehörden als auch außerhalb dieses Bereichs tätigem Personal Tipps zur Handhabung digitaler Beweismittel.

6. Electronic Evidence – A Basic Guide for First Responders
Bewährte Methoden für Computer Emergency Response Teams und Strafverfolgungsbehörden bezüglich der Handhabung digitaler Beweismittel, die von der Agentur der Europäischen Union für Cybersicherheit zusammengestellt wurden.

7. Electronic Discovery Reference Model (EDRM)
Dieses Modell wird weitläufig als Leitfaden für die Auffindung und Wiederherstellung digitaler Daten eingesetzt, die mit der Absicht gesucht und gesichert werden, sie als Beweismittel in Rechtsverfahren zu verwenden.

8. Guidelines for Digital Forensics First Responders
Diese von Interpol herausgegebenen technischen Orientierungshilfen enthalten Best Practices und Tipps für die Handhabung und Verwendung digitaler Beweismittel im Zuge der Durchsuchung und Beschlagnahme

Die größten Herausforderungen des sicheren Teilens digitaler Beweismittel – und wie Tresorit helfen kann, sie zu meistern

„Wir müssen Videoaufzeichnungen von Überwachungskameras regelmäßig mit Fluggesellschaften, den Behörden und Versicherungsgesellschaften teilen und natürlich ist jede Aufnahme, die einen Flughafen betrifft, sensibel“, hat uns kürzlich ein Kunde berichtet, der im Bereich Flughafenverwaltung tätig ist. Wenn Video- oder Audiodateien geteilt werden, die als Beweismittel in einem Strafprozess oder Schadensersatzverfahren dienen können, ist die Bewahrung der Integrität digitaler Beweismittel von zentraler Bedeutung. Dies bringt jedoch große Herausforderungen mit sich.

Unbefugte Zugriffe oder Offenlegungen gefährden nicht nur Ermittlungen, sondern verstoßen darüber hinaus gegen Datenschutzgesetze. Mit Tresorit, einer Ende-zu-Ende-verschlüsselten Dokumentenproduktivität- und Digital-Trust-Plattform mit Zero-Knowledge-Schutz, werden das Hin- und Hersenden von E-Mails und schwerfällige Datentauschmethoden wie USB-Sticks oder Zip-Dateien überflüssig. Die Lösung bietet rigorose Zugriffskontrollen, um die Vertraulichkeit und Authentizität digitaler Beweismittel zu bewahren.

Ende-zu-Ende-Verschlüsselung ist der Goldstandard für sichere Kommunikation, insbesondere in Kombination mit Zero-Knowledge-Authentifizierung. Das bedeutet, dass alle Dateien auf den Geräten unserer Nutzer mit zufällig generierten Verschlüsselungscodes verschlüsselt werden. Der Zugriff auf Dateien ist nur mit dem einzigartigen Entschlüsselungscode eines Nutzers möglich, den niemand – nicht einmal Tresorit – kennt. So wird sichergestellt, dass selbst im Falle einer Kompromittierung unserer Server niemand die Inhalte der Dateien lesen kann.

Erweiterte Kontrollfunktionen wie die Downloaddeaktivierung, die Ansicht im Browser und das Hinzufügen von Wasserzeichen zu Dokumenten, Bildern und Videos helfen den Dateieigentümern und den Personen, mit denen die Beweismitteldateien geteilt werden sollen, das unbefugte Kopieren und Zugreifen sowie die potenzielle Verfälschung oder Manipulation von digitalen Beweismitteln zu verhindern.

Diese sowie Tresorits weitere Sicherheits- und Datenschutzkontrollen – wie die Möglichkeit, den Zugriff zu sperren; Downloads, Öffnungen oder Zugriffsrechte auf ausgewählte Personen zu beschränken, oder einen Passwortschutz oder ein Ablaufdatum für Links zum Teilen einzurichten – minimieren das Risiko, dass wichtige digitale Beweismittel in die falschen Hände geraten.

Darüber hinaus gestatten Tresorits Zugriffsprotokolle Ihnen, nachzuverfolgen, wann Ihre Inhalte von welcher IP-Adresse aus und über welche Plattform heruntergeladen wurden. Berichte zu Nutzeraktivitäten geben detaillierte Einblicke in die vom Nutzer geteilten Links und versendeten Einladungen in Ordner, gemeinsam mit einem Inventar aller Objekte, die mit externen Kollaborationspartnern geteilt wurden. Diese Berichte können außerdem exportiert werden und bilden so eine verifizierbare Beweiskette, um die Authentizität und Integrität der Beweismittel nachzuweisen.

„Ohne diese Absicherungen mag der Staatsanwalt oder Strafverteidiger argumentieren, dass das Beweismittel modifiziert oder manipuliert worden ist, was es somit vor Gericht unzulässig macht“, erklärt Aaron. Dies kann Unternehmen letztendlich nicht nur den Prozess, sondern auch Unsummen von Geld und ihren guten Ruf kosten. „Tresorits Dateitransferlösung hat das Potenzial, den auf Unternehmen ausgeübten Compliance-Druck zu lindern und sogar Schadensabwicklungen und Rechtsfälle zu beschleunigen.“