Forensik ist die wissenschaftliche Erkundung krimineller Handlungen – und war bisher eine Domäne von Gerichtsmedizinern und Detektiven. Forensik ist spannend und durchaus auch unterhaltsam, wie uns Sherlock Holmes oder Dr. Quincy gelehrt haben. Und: Forensik ist aktuell, gerade und insbesondere im Bereich der IT. Das Themenfeld ist gigantisch: es reicht vom eher defensiven Fall (wie schütze ich mich gegen Hacks und Datenklau) über die klassische Forensik (wer hat wann was getan) bis hin zu offensiven Maßnahmen (z.B. Einbruchstest). Sowohl private Unternehmen als auch Ermittlungsbehörden interessieren sich für das Handwerkszeug des um sich greifenden Cyberwars.
Vor diesem Hintergrund ist es nur konsequent, dass das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) am 1. Oktober den 4. Anwendertag IT-Forensik ausgerichtet hat. Rund 100 Teilnehmer informierten sich über State-of-the-Art Tools und Vorgehensweisen im Umgang mit Computersicherheit. Laut Auskunft des Veranstalters waren ca. 1/3 der Teilnehmer Strafverfolger, in den Kaffeepausen konnte man jedoch den Eindruck gewinnen, dass noch deutlich mehr Ermittler zugegen waren. Ich war beruflich ebenfalls beim Anwendertag zugegen – auch wir sind immer wieder damit beschäftigt, Angriffe auf Websites zu analysieren und Sicherheitslücken zu schließen.
Vorab will ich hier schon einmal festhalten, dass die Veranstaltung gut gemacht war. Leider geht das aus dem offiziellen Rückblick zum IT-Forensik-Anwendertag nicht so recht hervor, weswegen hier die spannendsten Erkenntnisse des Tages aus einem etwas anderen Blickwinkel zusammengefasst werden sollen.
Computer-Forensik – Spurensuche im IT Zeitalter
Volker Stein von der Finanz Informatik der Sparkasse berichtete aus erster Hand, was es braucht, um einen Sicherheitsvorfall vernünftig analysieren zu können. Kurz&knapp: ein freier Besprechungsraum und ordentliche Hardware zum Klonen von Festplatten sind die Grundvoraussetzung, wenn die Sparkassen-IT’ler ans Werk gehen. Der Vortrag blieb insgesamt leider zu sehr an der Oberfläche.
Doch immerhin: auf die Frage, inwieweit die Enthüllungen von Edward Snowden das Sicherheitskonzept der Sparkasse verändert hätten, antwortete der Referent mit viel Bedacht, dass es genügend offizielle Schnittstellen gäbe, an denen staatliche Stellen ganz legal Daten der Sparkasse abgreifen könnten. Der Saal quittierte mit schmunzelnden Gesichtern.
Erfahrungen des privaten CSIRT malware.lu
Der Luxemburger Carlo Harpes, Gründer von itrust consulting, übernahm das Mikrofon und verstand es gekonnt, die Zuhörer sofort in seinen Bann zu ziehen. Er stellte das Tool Malwasm vor und demonstrierte, wie es das Reverse Engineering einer Malware erleichtert. Anschließend folgten eine Erkenntnisse seiner Firma in Bezug auf die Sicherheit von USB-Chipkartenlesern, die bspw. auch für den elektronischen Personalausweis genutzt werden. Die Botschaft des Referenten war klar: die Chipkartenleser können gehakt werden, ist ganz einfach.
Abschließend berichtete Carlo Harper davon, wie einer seiner Partner damit beauftragt wurde, einen Hackerangriff abzuwehren – und dabei auch der Einsatz offensiver Mittel zum tragen kam. Unumwunden gab der Referent zu: „das war nicht legal, erfolgte aber nach streng ethischen Prinzipien.“ Der ganze Saal lachte.
Leicht schockiert ob dieser Offenheit fragte ich einen neben mir sitzenden Strafverfolger, ob er denn den Referenten jetzt nicht festnehmen sollte. Dessen Antwort: „Nein, dass muss ich nicht machen. Dieses Hacking ist ein Antragsdelikt, dass müssten wir nur verfolgen, wenn der Geschädigte das beantragen würde. Und es ist ja nicht anzunehmen, dass der aus Ostasien jetzt hier anruft und das zur Anzeige bringt. Harhar.“
Abschließend nahm auch dieser Referent Bezug auf die Enthüllungen von Edward Snowden. Er brachte es mit vier Eskalationsstufen auf den Punkt: Es begann mit Sorglosigkeit (sind doch nur Metadaten), dann folgte die Scheinheiligkeit (also DAS konnte ja NIEMAND ahnen) und driftete ab ins Absurde (Pofalla beendet die Affäre). Der nächste logische Schritt ist aus Sicht des IT-Experten nun die Revolte gegen das System.
Kryptographie in der Praxis
Erik Tews von der TU Darmstadt nutzte seinen Vortrag, um auf beliebte Fehler bei der Anwendung von Verschlüsselungssoftware zu setzen. Zwei besonders schöne Beispiele:
- was hilft eine verschlüsselte E-Mail, wenn das Mailprogramm die dekodierte Mail anschließend Pflichtschuldig im (unverschlüsselten) Suchindex abgelegt?
- was hilft ein Crypto-Container auf einem Stick, wenn Windows zur Bearbeitung von Dateien aus dem Container diese ins unverschlüsselte Temp-Verzeichnis auf der Systemfestplatte kopiert?
Durchaus unterhaltsam und gut verständlich arbeitete Erik Tews am Beispiel von TOR, GPG und Truecrypt heraus, dass die verfügbaren Crypto-Tools recht gut funktionieren. Und auch wenn diese vielleicht nicht 100%ig gegen die Internet-Totalüberwachung der NSA helfen würden, gegen die „Rechteverwerter aus der Musikindustrie“ genügten sie allemal. Der Saal lachte erneut.
Sprachunabhängige Autorenschafts-Verifikation
Ein überaus engagierter Oren Halvani brachte voller Elan und guten Mutes der versammelten Zuhörerschaft die Bedeutung von Stilabweichungen und textlichen Abstandsregelungen nahe. Obwohl der ein oder andere Zuhörer von den Funktionsdiagrammen durchaus erschlagen wurde, blieb doch am Ende die Erkenntnis: über Algorithmen lässt sich mit hoher Wahrscheinlichkeit herausfinden, ob ein bestimmtes Dokument von einer bestimmten Person stammt. Diese Technik kann helfen, die Urheberschaft von Drohbriefen oder Testamenten zu überprüfen.
In der Kaffeepause diskutierten einige Teilnehmer darüber, inwieweit ein solches System im Verbund mit Facebook geeignet sei, anonyme Postings einem Verfasser zuzuordnen. Das Ergebnis war so klar wie bedenklich: technisch ist es nur noch eine Frage des Geldes, ob solche Systeme auf die ganze Bevölkerung angewandt werden können.
Computer-Forensik aus der Ermittlungspraxis
Hakan Özbeck von Deloitte&Touch berichtete aus der Praxis, wie on the fly ein Server forensisch untersucht werden sollte. Das Problem: der Linux-Server mit einem Raidverbund (8×1 TB) ließ sich nicht mit Standardtools wie Encase und FTK analysieren – die Images waren dafür schlicht zu groß. Am Ende brachte dann das Opensource-Tool ewfmount den Durchbruch, so dass das Raid geklont und anschließend analysiert werden konnte.
Ermittlungen durch Datenauswertung von Smartphones
Souverän und absolut entspannt übernahm Marko Rogge von Conturn Analytical das Zepter. Sein Thema war die forensische Auswertung von iPhones. Unter anderem kam dabei heraus, dass Ermittler durchaus auch mit Freeware-Tools wie dem iPhone Backup Extractor gut arbeiten könnten. Allerdings wies er auch darauf hin, dass ein iPhone5 Geräte mit komplexem Passwort derzeit noch ein Problem für die Forensiker sei. Doch dafür hatte Marko Rogge einen speziellen Rat: er ließ die verdutzten Ermittlungsbeamten wissen, dass seiner Erfahrung nach viele Passwörter freiwillig hergegeben würden, wenn der Verdächtige erstmal eine Woche in Untersuchungshaft verbracht hätte. Der Saal johlte.
Das Highlight des Tages folgte kurz darauf – Stichwort: Remote Wipe. Der Referent wurde gefragt, wie denn Forensiker damit umzugehen hätten, wenn ein Verdächtiger sein Handy vor Sicherstellung durch die Polizei gelöscht (im Sinne von Wipe) hätte. Darauf antwortete Rogge: in so kurzer Zeit wird doch kein 64 GB Smartphone gelöscht, das wirft doch nur den Key weg. Und der Key würde doch im übrigen binnen 4 bis 6 Wochen von Apple wieder hergestellt, wenn man von der richtigen Stelle aus anfragen würde. Einige BKA Beamte in den hinteren Reihen nickten ihm zu.
Herausforderungen bei der Smartphone-Forensik
Angesichts des starken Vorredners und der fortgeschrittenen Uhrzeit hatte Martin Pfeiffer von der TU Darmstadt keinen leichten Stand. Dennoch schaffte er es, der bereits etwas beanspruchten Runde die Tool-Koffer Xry und Ufed nahe zu bringen. Hut ab!
Ausklang
Wenn so viele IT-Forensiker an einem Buffet zusammenkommen, ist in nahezu jedem Gespräch die Grundlage für eine Schlagzeile bei der Bildzeitung enthalten. Ich will es damit nicht übertreiben, nur so viel: u.a. beriet man sich an einem Tisch ob des Problems, dass mitunter Geldautomaten einer speziellen Bank einfach mal Geld ausgeben, wenn man seine Karte einlegt. Wohlgemerkt ohne das man eine PIN eingeben muss geschweige denn den Geldbetrag selbst ausgewählt hätte.
Ebenfalls gut im Gedächtnis blieb mir der Hinweis einiger Beamter, die mit der Software intella in kürzester Zeit sehr gute Erfolge bei der Auswertung von Mailpostfächern gemacht hätten. Die Auswertung von Outlook&Co sei kein Problem, einzig mit Lotus Notes hätte man so seine Probleme. Da wird sicherlich so mancher Notes-User zustimmend nicken.
Fazit
Es gibt viel Freeware, einige wenige deutsche und große amerikanische Unternehmen, die sich mit Forensik auseinandersetzen. Die Ermittlungsbehörden, namentlich das BKA und diverse LKA, waren mit Personal bei dieser Veranstaltung präsent – was mir das Gefühl gab, dass sich wenigstens einige Beamte bemühen, am Puls der Zeit zu bleiben. Auf der anderen Seiten hat die Veranstaltung gezeigt, wie wenig durchdacht der Umgang der Politik mit IT-Forensik ist – das Neuland lässt grüßen. Obwohl es durch den hochumstrittenen Hackerparagraphen in Deutschland eine eindeutige Regelung zum Umgang mit offensiven IT-Sicherungsmaßnahmen gibt, scheint diese Regelung nicht für alle Akteure zu gelten: wer in einen Regierungscomputer einbricht, macht sich strafbar. Wenn ein Unternehmen selbst einbrechen lässt, um Hacker aus Fernost abzuwehren, ist es wieder ok. Und das Dilemma geht noch weiter: während der Bundesinnenminister die Bevölkerung zur Datenverschlüsselung auffordert, rüstet Deutschland seine Polizeidienste mit immer neuer Überwachungs- und Infiltrationstechnik aus. Konsequenter wäre es stattdessen, sich das Geld für die Cyberwaffen zu sparen und den Einsatz von starker Kryptographie einfach zu verbieten. Mit einer Großen Koalition ließe sich das sogar im Rahmen der Verfassung regeln – notfalls durch ein paar Grundrechtsänderungen.
Das Thema bleibt spannend!
Kryptographie zu verbieten ist keine Lösung die der Praxis stand halten wird. Egal wie man es dreht bzw sich wünscht, Quellen-TKÜ wird das Mittel zur Wahl in den nächsten Jahrzehnten werden. Ob PC oder Mobilgerät.