Gerichtsverwertbare Beweissicherung von digitalen Medien

Alle durch uns durchgeführten Beweissicherungen können auch als Beweismittel bei Gericht vorgelegt werden

Wenn Sie den Verdacht haben, dass bei Ihnen ein Datenverlust – womöglich mit kriminellem Hintergrund – vorliegt, dann hilft nur schnelles und professionelles Handeln. Eine zeitnahe Beweissicherung, die auch vor Gericht gültig ist, kann nur von einem Profi – einem erfahrenen Computer Forensiker – mittels computerforensischer Soft- und Hardware fachgerecht erfolgen. Die eigene IT-Abteilung ist meist mit den computerforensischen Verfahren nicht vertraut, und kann dadurch eine gerichtsverwertbare Beweissicherung nicht vollumfänglich erstellen. Eine sehr zeitnahe Beweissicherung von digitalen Medien ist aber die notwendige Grundlage, um digitale Spuren bestmöglich wiederherzustellen und eine Aufklärung des Tatherganges zu ermöglichen. Ohne den Forensiker Ihres Vertrauens sollten Sie nicht einmal ausgeschaltetes IT-Equipment wieder einschalten. Allein durch das bloße Einschalten können wertvolle digitale Beweise vernichtet werden.

Bei einem Cyberverbrechen oder Datendiebstahl analysiert Computerforensic & more Ihr digitales Umfeld und sichert aus den benutzten Netzwerken, Speichermedien, Geräten bzw. aus Anwendungen und Datenbanken die relevanten Datensätze als Beweise. Der Bereich der Beweissicherung erstreckt sich auf PCs, Notebooks, Server, Backup-Bänder, CDs, USB-Sticks, Raid-Systeme, Tablets, Smartphones, Mobiltelefone, Betriebssysteme, Netzwerkkomponenten (Firewalls, Switches, IPS, IDS, WAFs, Syslog-Server, Proxy-Server) Datenbanken, E-Mail Server, Spielekonsolen, Digitalkameras, digitale Diktiergeräte, Navigationssysteme und vieles mehr.

Ihr Vorteil mit Computerforensic & more: Als österreichisches Unternehmen mit Servern in Österreich bleiben Ihre Daten ausschließlich in unserem computerforensischen Labor nahe bei Wien. Es gilt der strenge heimische Datenschutz. Unsere Partner sind zudem führend in ihren Bereichen, und somit können wir Ihnen die beste Betreuung in allen Fragen der Netzwerk-, System- und Computersicherheit garantieren. Als flexibles Vor-Ort-Unternehmen in Wien kann unser Team im Regelfall innerhalb von zwei Stunden mit der Datensicherung bei Ihnen beginnen. Im Bedarfsfall können bis zu sieben Rechner parallel gesichert und zeitnahe mit der Analyse der Daten begonnen werden.

Nach der Beweissicherung erfolgt die Datenauswertung in unserem Forensischen Labor. Falls es die Firmenvorgaben oder die Sensibilität der Daten verlangen, kommen wir aber ebenso gerne mit unserem mobilen Computer-Forensic-Labor – innerhalb von 24 Stunden – zu Ihnen. Ein Anruf genügt!

Sobald Sie den Verdacht haben, dass eine unerlaubte Weitergabe oder Veröffentlichung von Informationen in Ihrem System stattgefunden hat – egal ob durch Selbst- oder Fremdverschulden – wenden Sie sich vertrauensvoll an uns. Mit unserem Know-how können wir Ihnen die Sicherheit geben, ob, wann und über welche Dienste und Geräte tatsächlich ein Datenleck aufgetreten ist bzw. ob sie Opfer eines Cyberangriffs geworden sind. Zudem können wir den Schaden mittels Filecarving – einer forensischen Technik zum Wiederherstellen von Daten – in nahezu allen Fällen wieder beheben.

Ein Auszug an Medien, aus denen Computerforensic & more gerichtsverwertbare Beweise für Sie sichern kann:

  • PCs, Notebooks, Server, Backup-Bänder, CDs, USB-Sticks, Raid-Systeme
  • Tablets, Smartphones und ältere Handy-Modelle
  • Server Betriebssysteme (Windows, Linux, virtuelle Maschinen, Embedded Systeme)
  • Netzwerkkomponenten (Firewalls, Switches, IPS, IDS, WAFs, Syslog-Server, Proxy-Server)
  • Datenbanken, E-Mail Server
  • Spielekonsolen (Wii, Xbox, PS3, PSP, ..)
  • Digitalkameras, digitale Diktiergeräte
  • Navigationssysteme (TomTom Go oder fix in ein Auto eingebaute Navigationsgeräte)
  • Digitalisierung von Papierdokumenten (bis zu 1.000.000 Seiten)

Wir garantieren gerichtsverwertbare Beweissicherung, eDiscovery, Cyberforensic, Mobileforensic und Cyberforensic

Notebook – Beweissicherung

Notebooks sind mobile Geräte, die in einer digitalen Umwelt Verbindungen aufbauen und dadurch einerseits sehr verwundbar sind

Notebooks sind Geräte mit sehr hohen und vernetzen Speichermöglichkeiten. Sie sind zudem mobile Geräte, die in einer digitalen Umwelt – mit allen kurzzeitigen Hotspot-Verbindungen bzw. lokalen Netzwerken – Verbindungen aufbauen und dadurch einerseits sehr verwundbar sind, andererseits aber dem Forensiker viele Möglichkeiten bieten, den Datenverlust nachzuvollziehen. Das ist sowohl für die Beweissicherung als auch für die Wiedergewinnung der Daten enorm wichtig.

Über Backups, E-Mail Server, Ortungs-Protokolle oder im Datenabgleich mit verbundenen Mobile-Geräten wie Mobiltelefonen, Smart-Watches, Web-Diensten, Druckern, Datensticks und vielen anderen digitalen Devices mehr, kann der Computer Forensiker im Falle des Verschwindens von Daten eine Rekonstruktion der Hergänge ableiten und Fakten in einer zeitlichen Abfolge für eine Bearbeitung und Analyse durch das Management des Unternehmens darstellen.

Auch die Überprüfung der Daten, die auf einem Notebook gespeichert werden, kann etwa für den Arbeitgeber eminent wichtig sein – vor allem, wenn es sich um sensible Daten handelt oder der Mitarbeiter durch rechtswidrige Benutzung – Stichwort „Bring your own device“ (BYOD) – einen Schaden verursacht hat.

Desktop – Beweissicherung

Vom Desktop ausgehend, können Indizien und Spuren auf Mobile Devices wie Mobiltelefon, Laptop oder Tablet als Tatinstrumente verweisen

Auch und vor allem Desktop Computer sind ein wichtiger Gegenstand der Beweissicherung. Sie sind als zentrale Speicher- und Aktionsgeräte in jedem Unternehmen vorhanden. Über sie werden Daten vernetzt gespeichert, verarbeitet und versendet. Sie verfügen über zahlreiche Sicherungs- und Speichermechanismen, die selbst nach einer oberflächlichen Löschung der Daten – in der Systemtiefe – durch Kombination und Rekombination von Datenspuren nachvollzogen werden können.

Vom Desktop ausgehend können Indizien und Spuren auf Mobile Devices wie Mobiltelefon, Laptop oder Tablet als Tatinstrumente verweisen. Aber auch die Vernetzungen mit Datenbanken, Servern, Cloud- und etwa Mobile-Diensten bieten fast immer eine Erhellung des Tatvorgangs. Der erfahrene Computerforensiker kann in Kombination mit den Daten aus haushalts- oder firmeninternen Servern, LAN-Netzwerken, Lade- und Aktivitätsprotokollen, Backup-Servern und daran angeschlossenen bzw. damit synchronisierten Speichermedien, Beweise sichern oder “verlorene” Daten wiederherstellen. Denn im digitalen Raum hinterlässt jede Bewegung digitale Spuren. Computerforensic & more sichert und analysiert für Sie diese Spuren, sodass diese vor Gericht als Beweismittel gelten.

Je nachdem wie dringend das Problem, wie sensibel die Daten sind und welche Priorität die Sicherungsarbeit hat, kann die Beweissicherung auch bei Ihnen vor Ort durchgeführt werden, und zwar mit unserem mobilen Forensischen Labor. Wenn Sie heute anrufen, sind wir morgen bei Ihnen.

Server – Beweissicherung

Wir liefern Ihnen nicht nur gerichtsverwertbare Beweise, sondern tätigen in weiterer Folge auch strategische, cyberforensische Ermittlungen

Der Server in einem System ist der Knotenpunkt vieler Informationen. Ein Angriff oder eine Manipulation in diesem sensiblen Datenbereich kann weitreichende Folgen haben. Auch hier sichern wir zunächst das System durch ein Verfahren, das den Zustand des Systems zum eindeutigen Zeitpunkt erfasst. Dieses Verfahren ist vor Gericht die Grundlage für die richterliche Entscheidung.

Wir liefern Ihnen aber nicht nur gerichtsverwertbare Beweise, sondern tätigen in weiterer Folge auch strategische, cyberforensische Ermittlungen. Bei Angriffen auf Servern handelt es sich oft um koordinierte und geplante Aktionen, sprich Cybercrime. Steckt ein Hackerangriff dahinter? Ging es den Tätern einzig um Datendiebstahl? Wer hat wann und wo auf das System zugegriffen und die Sicherheitsvorkehrungen umgangen? Wo ist die undichte Stelle? Und wie kann man für diese Fragen eindeutige Beweise finden? Der Computerforensiker weiß, wie es geht! Denn jeder Befehl auf Systemen, jede Handlung darin und jede Bewegung im Netz hinterlassen digitale Spuren.

Neben der Beweissicherung und der kriminalistischen Ermittlung unterstützen wir Sie aber auch gerne bei strategischen Analysen zur Cybercrime-Prävention, um Ihr System gegen Angriffe – ob von innen oder außen – schon im Vorhinein zu schützen. Wir bieten auch Mitarbeiter-Schulungen an und testen Ihr System mittels Penetrationstests auf Herz und Nieren.

Mobile device – Beweissicherung

Ob es Apps, Mails, SMS-Nachrichten, LAN-Netzwerke oder Dienste sind, die Geo-Targeting bzw. GPS verwenden – die Geräte kommunizieren nahezu immer und selbständig untereinander.

Der Sinn von Mobilen Geräten ist, dass man mit ihnen von unterwegs kommunizieren kann. Dabei bedient man sich fremder Netzwerke und öffnet damit das Tor zu den eigenen Daten. Ob es Apps, Mails, SMS-Nachrichten, LAN-Netzwerke oder Dienste sind, die Geo-Targeting bzw. GPS verwenden – die Geräte kommunizieren nahezu immer und selbständig untereinander. Und sie senden und zeichnen ständig Daten auf und hinterlassen somit einen digitalen Abdruck davon, wie und wo das Gerät verwendet wurde.

Das sollte man besonders bei Firmengeräten beachten, die teilsweise mit dem Firmensystem verbunden sind – teilweise aber auch privat benutzt werden. Ein aktuelles Fallbeispiel, das wir aufklären konnten, zeigt die Komplexität der kriminalistischen Recherche bei Mobilen Geräten: Ein Mitarbeiter wurde jüngst von unserem Unternehmen durch eine Timeline-Analyse – gerichtsgültig – des Datendiebstahls überführt. In Kombination mit eingehenden SMS, seinem Besuch von Webseiten, einem Anruf und dem Empfang von E-Mails über Cloud-Dienste und seiner Ortung an zwei W-LAN Punkten in Wien und Zürich, war die Strafhandlung bewiesen.

Für das Auslesen von Mobilen Geräten verwenden wir das weltweit führende Spezial-Gerät, das derzeit in Österreich bei nur drei weiteren Unternehmen im Einsatz ist. Damit können wir auch vermeintlich gut geschützte Smart-Phones analysieren und Geo-Daten besser auswerten. Weiters können wir sogar gelöschte Daten wiederherstellen, spezifischere Malware Analysen durchführen und sogar WhatsApp und Facebook Mitteilungen auslesen.

Was für Mobiltelefone gilt, gilt ebenso für Tablets oder Laptops. Wichtig ist aber immer eine fachlich korrekte, forensisch-digitale Sicherung am Gerät. Nur damit hat man auch den vor Gericht gültigen Beweis und kann belegen, dass es sich tatsächlich um die Daten zum Zeitpunkt X handelt.

Home Entertainment – Beweissicherung

TV & Co. sind heute ebenso online wie ein Laptop, und sind dadurch ebenso potenzielles Angriffsziel von Cybercrime

Allein die Computer-Technologie von heutigen Fernsehern ist stärker als diejenige, mit der die Mondlandung erfolgte. Ein moderner Haushalt ist mit seinen Arbeits- und Entertainment-Bereichen meist über W-LAN vernetzt. Selbst die Bewässerung im Garten oder die Heizung steuert man heutzutage von mobilen Geräten – alles kein Problem.

So schön die Vorteile der digitalen Vernetzung im Privatbereich auch sind, und so verwoben alles funktioniert: wenn einmal das System angegriffen wird oder abstürzt, dann ist die Gefahr groß, dass nicht nur isolierte Systemteile betroffen sind, sondern gleich mehrere. Datenverluste sind meist die logische Folge.

Aber auch schädliche Software, Virenproblematik, Hacker-Angriffe oder die Frage, ob das W-LAN von jemand anderem mitbenutzt wird, sind virulent. Wer kann an welchen Schwachstellen die Passwörter mitlesen oder leicht herausfinden? Wer kann über diese Schwachpunkte vielleicht sogar in die Systemtiefe gelangen, wo die wirklich sensiblen Daten wie etwa private Fotos und Videos sind – oder die vielleicht sogar im privaten Bereich gespeicherten Firmendaten anzapfen, die eines besonderen Schutzes bedürfen (weil sie Geheimnisträger sind und entweder Ihre Klienten einen besonders vertrauensvollen Umgang mit ihren Daten verlangen, oder Sie dazu sogar dementsprechend durch einen Arbeitsvertrag verpflichtet sind?) Klingeln da bei Ihnen die Alarmglocken?

Dann lassen Sie Ihre digitale Umgebung gesamtheitlich von unseren IT-Security-Spezialisten prüfen. Wie sicher sind Ihre Daten? Können Sie ausschließen, dass Sie Malware in Ihrem Netzwerk haben, die im Hintergrund läuft? Wahrscheinlich nicht – denn dazu braucht man mehr als einfache Virenprogramme. Dazu braucht man das Fachwissen und die Spezialsoftware eines Profis. Eines Digitalen Forensikers. Gehen Sie deshalb auf Nummer sicher!

Beweissicherung & More

Datenbanken, Festplatten, ERP-Systeme, Backup-Bänder, Maildatenbanken, Netzwerkkomponenten

DATABASES
Festplatten sind ein datenkriminalistischer Hot-Spot – der nicht kontaminiert werden sollte

Datenbanken und Festplatten enthalten aufgrund ihres Aufbaus, vor allem aber durch ihrer Speichertechnologie, Schlupflöcher. Das heißt: Nicht immer stehen verwandte Datensätze in physischer Nähe zueinander, sie werden fragmentiert und sind somit auf dem System verstreut. So etwa in freien Speicherbereichen innerhalb eines Clusters (File-Slack). Oder weil in einem Speichervorgang nur der letzte Sektor einer Datei aufgefüllt wird und willkürlich Daten aus der RAM verwendet werden (RAM-Slack). Oder weil – in einem anderen möglichen Fall – bei diesem Prozess willkürlich Daten vom Datenträger verwendet werden (Drive-Slack).

Außerdem gibt es bei verschiedensten Festplattenarten – etwa bei HPA Platten – die Möglichkeit, den oberen Bereich der Festplatte zu verstecken. Für Betriebssysteme und Programme ist das meist nicht sichtbar und kann nicht verändert werden.

Man kann diese erwähnten Bereiche primär zur Systemwiederherstellung oder als Konfigurationsdaten verwenden. Interessant für den Computer Forensiker hierbei ist, dass an diesen Orten eventuell Beweise versteckt sein könnten. Die Sicherung dieser Beweise – mit der speziellen forensischen Software und einer Methode, die einer physischen oder logischen Kopie eines Systems einen unverwechselbaren Code zuweist – ist aber das Um und Auf. Und zudem das einzig gültige Beweismittel vor Gericht!

Ähnlich wie bei HPA-Festplatten verhält es sich bei DCO-Festplatten. Hier kann eine Entfernung des oberen Teils der Festplatte sogar die Gesamtinformation der Platte dauerhaft ändern und alle Beweise vernichten. Deshalb gilt auch für IT-Administratoren die Regel: Hände weg bei einem Verdacht auf Datendiebstahl und Cybercrime. Andererseits verunreinigt man den Tatort und erschwert dem Cyber Forensiker seine Arbeit.

Auch etwa bei SSD-Speicherkarten können – selbst nach einem Überschreiben – Daten zurückgeblieben sein, da aufgrund des Wear-Leveling Mechanismus nicht feststellbar ist, welche Speicherzellen angesprochen werden. Wer sicher gehen will oder muss, sollte nur den Profi ans System heran lassen.

Host Protected Area Festplatten (HPO) enthalten Informationen, die nicht im Datei- und Betriebssystem gefunden werden können.

Device Configuration Overlay Festplatten (DCO) enthalten ebenfalls versteckte Bereiche.

Solid State Drive Speicherkarten (SSD) arbeitet ähnlich wie ein USB-Stick.

ERP SYSTEMS
Mit ERP-Systemen die relevante Information in ihrem Unternehmen finden

Ein ERP-System ist eine komplexe oder eine Vielzahl von miteinander kommunizierenden Anwendungssoftwaren bzw. IT-Systemen, die zur Unterstützung der Ressourcenplanung des gesamten Unternehmens eingesetzt werden. Konkret geht es um die Frage: Wie erhalte ich aus einem System die relevanten Informationen, die ich punktgenau suchen kann?

Bei ERP Systemen handelt es sich um strukturierte Daten, weshalb spezielle Analyse-Tools benötigt werden. Diese Tools werden einerseits von kommerziellen Anbietern geliefert – bei der Implementierung für genau Ihren Bedarf beraten wir Sie natürlich gerne. Computerforensic & more kann Ihnen aber auch auf Ihr Unternehmen maßgeschneiderte Tools schreiben. Mit diesem diesem Predictive Coding, wie es genannt wird, suchen wir nach verschiedenen Patterns und filtern genau die Information heraus, die uns Hinweise auf die relevanten Daten gibt, die Sie suchen und brauchen.

BACKUP BÄNDER
Speichersicherheit ist wichtig – vor allem bei Backup-Bändern

Auch Backup-Bänder und Video-Material, sofern es an digitale Systeme und Speichermedien angebunden ist, kann einer forensischen Beweissicherung, Auswertung und Analyse unterzogen werden, die vor Gericht gültig ist, und Ihnen hilft, Ihre Ansprüche bzw. den entstandenen Schaden durch Datendiebstahl oder Cybercrime abzugelten.

Ausgewertet werden nicht nur die gespeicherten Inhalte sondern der Zustand des Systems – ob es Ein, Aus oder auf Standby war – weiters Passwörter und Protokolllisten sowie die erlaubten Zugänge von Mitarbeitern und die tatsächlich vorgenommenen Zugriffe auf das System. Eine Analyse der Sicherheitsvorkehrungen und die Bestimmung von deren Einhaltung bzw. Zuwiderhandeln können damit belegt werden.

Einmal gelöschte Daten auf Bändern, die nicht digitalisiert wurden, sind jedoch nicht mehr zu retten. Deshalb unterstützen und beraten wir Sie aber gerne, wie sie Ihr System optimal aufsetzen, das heißt: Wie man mit wenigen einfachen Regeln und einem vorgegebenen Workflow, ein digitales Sicherungssystem etabliert, das Ihnen Speichersicherheit und vor allem Sicherheit im Zugang zu den Daten garantiert.

MAILDATENBANKEN
Maildatenbanken sind cyberforensisch sehr ergiebig

Maildatenbanken sind ein zentraler Ort der Beweissicherung. Schließlich geht der Großteil der Kommunikation über den Mailordner, der für viele Mitarbeiter auch eine „Archiv-Funktion“ hat. In Maildatenbanken schlummern zudem viele Informationen und Daten, die auf den Rechnern eines Unternehmens vielleicht nicht mehr oder nur teilweise physisch vorhanden sind.

Bei einer Forensischen Untersuchung, werden nach einer fachgerechten Sicherung der Beweismittel durch eine physische und logische Abbildung des Systems, einerseits die entsprechenden Objekte des E-Mail Clients untersucht – wie Gesendete Objekte, Inbox, Archive, Gelöschte Objekte, Adressen, Header u.v.m. Andererseits die E-Mail Server selbst und die dazugehörigen Logs, E-Mail-Daten, Backups, Disaster Recovery Daten und das E-Mail Gateway.

Als Computer Forensiker gehen wir detektiv vor, das heißt: Zuerst muss einmal festgestellt werden, was der Fall ist. Danach können aus dem gesicherten Datenkörper Schlüsse gezogen werden bzw. Daten durch Filecarving gerettet werden.

© Computerforensic & more GmbH
Gesellschaft mit beschränkter Haftung. Dienstleistungen in der automatischen Datenverarbeitung: Computerforensik, IT-Security, IT-Consulting, Ethical Hacking.
Michael Meixner, CISSP - Security & Privacy, IT Forensiker, IT-Security Experte, Allgemein beeideter und gerichtlich zertifizierter Sachverständiger