175
entsprechend abzusichern, Beweisspuren gewissenhaft zu sichern und die
Integrität der gesicherten Daten zu bewahren und nachzuweisen. Im
Analyseschritt werden daraufhin die Spuren sorgfältig ausgewertet, die
Ergebnisse objektiv bewertet und die daraus gezogenen Schlüsse immer
wieder kritisch hinterfragt. Die Erkenntnisse werden im Zuge der
Präsentation schlüssig und nachhaltig dokumentiert.
Herausforderung Cloud – forensische Untersuchungen in der Cloud
Gerade die Phase „Erfassung“ stellt den Forensiker in der Cloud vor eine
große Herausforderung. Dienen bei konventioneller Computer‐Forensik oft
die physischen Datenträger als Einstiegspunkt, um im besten Falle Bit‐weise
Kopien dieser zu erstellen, ist genau das in der Cloud fast unmöglich. Auf
welchen Datenträgern die Daten gespeichert sind bzw. wo sich diese
Datenträger physisch befinden, ist für den Cloud‐Anwender, aber auch für
den Forensiker, in den meisten Fällen nicht feststellbar.
Für die forensische Datenerfassung in der Cloud müssen alternative − aber
ebenso qualitative − Verfahren angewendet werden. Der Forensiker muss
die Daten über logische Schnittstellen (z.B. virtuelle Verzeichnisse,
Datenbanken) sichern. Einige Cloud‐Provider speichern bereits heute zu
jedem Datensatz entsprechende „Hashes“ (digitale Fingerabdrücke), die im
Falle einer forensischen Analyse verwendet werden könnten. Wenn solche
Möglichkeiten für den Cloud‐Nutzer wesentlich sind, ist es wichtig, dass
bereits vorab entsprechende Verfahren vertraglich vereinbart werden. Des
Weiteren sollte auch eine entsprechende technische Dokumentation
existieren, um die Glaubwürdigkeit der Daten sicherzustellen.
Ein wesentlicher Erfolgsfaktor für computerforensische Untersuchungen ist
das Vorhandensein von ausreichenden Log‐Daten. So sollten für Netzwerke,
Systeme und Applikationen die entsprechenden Aufzeichnungen vorhanden
sein. Auch die Verfügbarkeit der Log‐Daten für den Forensiker und die
Aufbewahrungsdauer sollten gemäß gesetzlicher und interner
Vereinbarungen festgelegt werden. Wichtig ist hier eine Synchronisation der
Systemzeiten bei allen Systemen. Bei Analysen werden oft die Log‐Daten
verschiedener Systeme miteinander verknüpft, um Sachverhalte zu
analysieren. Nur anhand synchronisierter Aufzeichnungen können Abläufe
rekonstruiert und Tatvorgänge verstanden werden.
Cloud‐Provider könnten ihre Cloud‐Dienste sogar mit Zusatzleistungen
ergänzen, um mögliche forensische Untersuchungen proaktiv zu
unterstützen. Eine Versionierung von Datenständen, alternative forensische
Speicherung von Daten (wie beispielsweise Kopien aller E‐Mails),