Wie reagiert man am besten auf einen Sicherheitsvorfall im Computerbereich?

Meist gilt es nach einem Sicherheitsvorfall, die Beweismittel zu sichern. Doch dabei kommt es nicht nur darauf an, gewisse Spuren und Hinweise zu entdecken, sondern diese auch gerichtsverwertbar sicherstellen.

Mit dieser Art der Beweismittelsicherung beschäftigt sich die so genannte Computer-Forensik.

Wie in anderen Bereichen der Kriminalistik gilt auch hier, möglichst viele relevante Beweise zu sammeln, diese zu analysieren und zu rekonstruieren, um diese neutral, nachvollziehbar und gerichtstauglich auszuwerten und darzustellen.

Ist auch nur im Entferntesten damit zu rechnen, dass der Vorfall in einem Rechtsstreit oder in einer Strafverfolgung eine Rolle spielen könnte, muss besonders überlegt gehandelt werden, um die Beweislage nicht zu verschlechtern. Leider werden dabei oft aus Unwissenheit, in guter Absicht oder auch in Panik viele Fehler gemacht, die eventuelle Spuren der kriminellen Aktionen unwiederbringlich vernichten oder ihre Verwendung in einem Gerichtsprozess verhindern.

Als erste Aktion sollte daher in jedem Fall ein forensisch korrektes Abbild aller betroffenen Daten erstellt und authentifiziert werden, ohne dabei die Originaldaten zu verändern. Muss oder kann man ein „live-system“ untersuchen, sollten die Daten möglichst in der Reihenfolge ihrer Halbwertszeit gesichert werden, also die flüchtigsten zuerst. Die konkrete Vorgehensweise dabei ist von Fall zu Fall verschieden. In der überwiegenden Anzahl der Fälle wurden die betroffenen Systeme jedoch bereits abgeschaltet und die Ermittlungen konzentrieren sich auf die permanenten Datenträger.

Ein forensisch korrektes Image ist eine exakte Kopie eines Datenmediums. Seine Erstellung sollte unabhängig von dessen logischer Organisation und dem verwendeten Dateisystem sowie eventuellen Fehler auf dieser Ebene sein. Physikalische Fehler müssen robust und nachvollziehbar behandelt werden. Seine Authentizität sowie die Unverändertheit des Originalmediums sollten möglichst sicher nachgewiesen werden können.