Welche Vorgehensmodelle für die IT-Forensik gibt es und welche Phasen beinhalten die Vorgehensmodelle?
18. November 2021
Zusammenfassung Mit der zunehmenden Digitalisierung hat die Bedeutung der IT-Forensik in den letzten zwanzig Jahren zugenommen. Um Spuren zu sichern, analysieren und auszuwerten ist eine strukturierte, korrekte Vorgehensweise Pflicht, damit allfällige Beweise vor Gericht anerkannt und in Rechtsverfahren verwendet werden können.
Was ist IT-Forensik? Die IT-Forensik ist ein Teilgebiet der Forensik und beschäftigt sich mit der methodischen Analyse von Vorfällen auf IT-Systemen und der gerichtsverwertbaren Sicherung von Beweisen. Ziel ist es, exakt festzustellen, welche Aktionen auf einem IT-System stattgefunden haben und wer Verursacher oder Verantwortlicher hierfür ist. (Luber 2018) . Welche Vorgehensmodelle kennt die IT-Forensik? In der IT Forensik haben sich drei Vorgehensmodelle primär etabliert: das Modell des Bundesamts für Sicherheit in der Informationstechnik (BSI), das Modell des National Institute of Standards and Technology (NIST) und das Secure, Analyse, Present Modell, kurz SAP. Daneben gibt es weitere, weniger verbreitete Modelle, z.B. nach Eoghan Casey (Casey 2004) oder (Kruse and Heiser 2001) . Diese Liste hat auf keinen Fall den Anspruch abschliessend zu sein, wir werden uns aber auf die drei Grossen konzentrieren.
Welche Phasen beinhalten die Vorgehensmodelle? Die drei etablierten Vorgehensmodelle haben gemein, dass die Vorgehensweisen in Phasen unterteilt werden, die sich auf den ersten Blick ähneln. Unterschiede finden sich allerdings beim Beginn der beschriebenen Phasen und deren Abgrenzung voneinander. SAP Die Phasen des SAP-Modell sind auch gleich namensspendend: Secure, Analyse, Present. (Tietze Frank 2013) In der Secure Phase werden alle vorhandenen Daten – unabhängig davon, ob ein juristischer Zusammenhang besteht – gesichert. Dabei spielt das Vier-Augen-Prinzip eine wichtige Rolle, um schlussendlich beweisen zu können, dass die Daten vor der Sicherung nicht verändert worden sind. Es ist für die Validität der Analyse zentral, dass die gesicherten Daten exakt dem Zustand der Systeme entsprechen und in keiner Weise verändert werden! In der Analysephase werden die gesicherten Daten ausgewertet, Spuren festgestellt und darauf basierend Argumentationsketten entwickelt. Die entstehenden Ergebnisse sollen in diesem Schritt laufend reflektiert werden, um Fehlschlüsse und Lücken direkt zu erkennen und eine solide und nachvollziehbare Argumentation zu erhalten. In der Present Phase werden die erarbeiteten Ergebnisse zielgruppengerecht aufgearbeitet und präsentiert. In dieser Phase liegt der Schwerpunkt darauf, dass auch technischen Laien der Ermittlungsprozess nachvollziehbar dargelegt werden kann. NIST Im Jahr 2006 hat das NIST ein eigenes Modell zur Durchführung von forensischen Verfahren publiziert. (Kent et al. 2006) Das NIST unterteilt sein Modell in die Schritte Data Collection (Datensammlung), Examination (Untersuchung), Analysis (Analyse) und Reporting (Berichterstattung) und orientiert sich dabei weitestgehend am SAP-Vorgehensmodell. Der zentrale Unterschied besteht in der Aufteilung der Analysephase in die Phasen Examination und Analysis. Ziel ist, dass in der Phase Examination der Fokus rein auf die Sammlung von Fakten gelegt werden kann, die in der anschliessenden Phase der Analysis zu Information zusammengeführt werden können, wodurch eine Argumentationskette entsteht. Die vorausgehende Phase der Data Collection und die abschliessende Phase des Reportings entsprechen weitestgehend den Phasen des SAP-Modells. Figure 2 Forensicher Prozess nach NIST (Kent et al. 2006) BSI Das BSI-Vorgehensmodell beschreibt im Leitfaden für IT-Forensik sieben Phasen, die für den Erfolg einer forensischen Untersuchung zu beachten sind. (Bundesamt für Sicherheit in der Informationstechnik 2011) § strategische Vorbereitung § operative Vorbereitung § Datensammlung § Datenextraktion § Datenanalyse § Abschlussbericht § Dokumentation Im Zentrum stehen hier die Schritte des SAP-Modells in einer abgewandelten Form, das BSI Modell unterscheidet sich aber von SAP und dem Modell vom NIST, indem es vorbereitende Schritte beschreibt, die der Betreiber eines IT-Systems vor einem Ereignis ergreifen kann. Die strategische Vorbereitung nimmt dabei explizit Bezug auf Massnahmen, die prophylaktisch umgesetzt werden können, während die operative Vorbereitung Massnahmen zur Vorbereitung des eigentlichen forensischen Prozesses beschreiben. Weiter kennt das BSI-Modell die Phase Dokumentation, die den gesamten Prozess begleitet und in einer Art Protokoll festhält.
Fazit Unsere Recherchen haben gezeigt, dass sich heutzutage im Bereich der IT-Forensik die Modelle von BSI, NIST & SAP etabliert haben. Obwohl die Modelle sich bei den einzelnen Schritten im Detail unterscheiden, sind sie sich in den zentralen Schritten doch sehr ähnlich.
Diese Website nutzt Cookies (siehe Datenschutz). Sie können die Nutzung von Cookies in den Einstellungen anpassen. Indem Sie diesen Hinweis schliessen oder mit dem Besuch fortfahren, akzeptieren Sie die Verwendung von Cookies.
Cookie-Einstellungen
Wir unterscheiden für diese Website notwendige Cookies (die zur fehlerfreien Verwendung der Site dienen, damit Ihnen alle Funktionalitäten zur Verfügung stehen) sowie Statistik- und Marketing-Cookies (die uns erlauben, die Nutzung unserer Angebote und Werbemassnahmen zu verstehen und zu optimieren). Weitere Informationen finden Sie unter Datenschutz.
