Seite 175 - CLOUD Migration - Alles was Sie über die CLOUD wissen müssen

175 
entsprechend abzusichern, Beweisspuren gewissenhaft zu sichern und die 
Integrität der gesicherten Daten zu bewahren und nachzuweisen. Im 
Analyseschritt werden daraufhin die Spuren sorgfältig ausgewertet, die 
Ergebnisse objektiv bewertet und die daraus gezogenen Schlüsse immer 
wieder kritisch hinterfragt. Die Erkenntnisse werden im Zuge der 
Präsentation schlüssig und nachhaltig dokumentiert. 
Herausforderung Cloud – forensische Untersuchungen in der Cloud 
Gerade die Phase „Erfassung“ stellt den Forensiker in der Cloud vor eine 
große Herausforderung. Dienen bei konventioneller Computer‐Forensik oft 
die physischen Datenträger als Einstiegspunkt, um im besten Falle Bit‐weise 
Kopien dieser zu erstellen, ist genau das in der Cloud fast unmöglich. Auf 
welchen Datenträgern die Daten gespeichert sind bzw. wo sich diese 
Datenträger physisch befinden, ist für den Cloud‐Anwender, aber auch für 
den Forensiker, in den meisten Fällen nicht feststellbar.  
Für die forensische Datenerfassung in der Cloud müssen alternative − aber 
ebenso qualitative − Verfahren angewendet werden. Der Forensiker muss 
die Daten über logische Schnittstellen (z.B. virtuelle Verzeichnisse, 
Datenbanken) sichern. Einige Cloud‐Provider speichern bereits heute zu 
jedem Datensatz entsprechende „Hashes“ (digitale Fingerabdrücke), die im 
Falle einer forensischen Analyse verwendet werden könnten. Wenn solche 
Möglichkeiten für den Cloud‐Nutzer wesentlich sind, ist es wichtig, dass 
bereits vorab entsprechende Verfahren vertraglich vereinbart werden. Des 
Weiteren sollte auch eine entsprechende technische Dokumentation 
existieren, um die Glaubwürdigkeit der Daten sicherzustellen. 
Ein wesentlicher Erfolgsfaktor für computerforensische Untersuchungen ist 
das Vorhandensein von ausreichenden Log‐Daten. So sollten für Netzwerke, 
Systeme und Applikationen die entsprechenden Aufzeichnungen vorhanden 
sein. Auch die Verfügbarkeit der Log‐Daten für den Forensiker und die 
Aufbewahrungsdauer sollten gemäß gesetzlicher und interner 
Vereinbarungen festgelegt werden. Wichtig ist hier eine Synchronisation der 
Systemzeiten bei allen Systemen. Bei Analysen werden oft die Log‐Daten 
verschiedener Systeme miteinander verknüpft, um Sachverhalte zu 
analysieren. Nur anhand synchronisierter Aufzeichnungen können Abläufe 
rekonstruiert und Tatvorgänge verstanden werden. 
Cloud‐Provider könnten ihre Cloud‐Dienste sogar mit Zusatzleistungen 
ergänzen, um mögliche forensische Untersuchungen proaktiv zu 
unterstützen. Eine Versionierung von Datenständen, alternative forensische 
Speicherung von Daten (wie beispielsweise Kopien aller E‐Mails),