Abwehr und Aufklärung von Cyber-Crime ein Dienstleistungsbereich der
Einleitung In der heutigen Geschäftswelt ist eine funktionierende IT-Infrastruktur ein wesentliches Erfolgsmerkmal und ein nicht zu unterschätzender Faktor der Wertschöpfungskette. Dementsprechend werden Datenverlust und Datenabfluss (ggf. zur Konkurrenz) schnell für ein Unternehmen zu einer Bedrohung für die Existenz. Die polizeiliche Kriminalstatistik weist für das Jahr 2011 allein für Bayern eine durchschnittliche Steigerung der Fallzahlen um fast 20 % gegenüber dem Vorjahr aus. Nachfolgend der Auszug aus der PKS: Quelle: Polizeiliche Kriminalstatistik Bayern_2011 (http://www.polizei.bayern.de) In jedem Deliktsbereich spielen moderne Kommunikationsmittel wie Computer, sog. Handys und auch die immer vielseitiger einsetzbaren und beliebter werdenden Smartphones eine wichtige Rolle. Aber: Jeder (!), der diese Kommunikationsmittel nutzt, hinterlässt auch Spuren. Sei es auf den Geräten selbst, im Internet, auf lokalen Server usw.
Wir sind seit 1994 als Detektei und Sicherheitsunternehmen tätig und haben uns auch dieser Herausforderung gestellt. So bieten wir Ihnen diese spezialisierte Leistung im Bereich der Aufklärung und der Abwehr der so genannten Cyber-Kriminalität oder Cyber- Crime an. Dazu bedienen wir uns der Methoden der IT-Forensik. Wir vergeben Aufträge nicht an externe EDV-Sachverständige / IT-Forensiker sondern haben ausgebildete Spezialisten im Haus. Bilder: Blick in unsere IuK-Abteilung (links: Mobilfunkendgeräteauswertung- MEA mittels UFED; rechts: eine forensische Arbeitsstation zur Auswertung von Datenträgern aller Art) Fotos: N.Roschewski Was ist IT-Forensik und was kann sie leisten? IT-Forensik beschäftigt sich mit der Analyse von IT-Systemen, um Vorkommnissen zuverlässig auf den Grund zu gehen: Sowohl der Gebrauch als auch der Missbrauch von IT-System hinterlässt auf den Datenträgern Spuren. Spuren, die in aller Regel nicht ohne weiteres zu entfernen sind und die ggf. auch nach langer Zeit noch gefunden und interpretiert werden können. Im Zuge einer forensischen Analyse werden Datenträger ausgewertet. Dabei ist es nahezu gleichgültig, um welche Art Datenträger es sich handelt. Neben herkömmlichen Festplatten unterstützen wir z.b. mobile Datenträger wie USB- Sticks, Disketten, Speicherkarten aus Handys, Digitalkameras usw. Nach dem Auslesen, dem Extrahieren der Daten, wird zunächst nach gelöschtem Kontent gesucht und dieser soweit als möglich wieder hergestellt. Erst dann beginnt die eigentliche Arbeit unserer Forensiker. Aus der Masse von Daten müssen tatrelevante Spuren extrahiert, interpretiert und schließlich Ihnen präsentiert werden.
Besonderes Augenmerk legen wir auf die Extraktion der Daten von Handys und Smartphones, der so genannten MobilfunkEndgeräteAuswertung (MEA). Hier arbeiten wir, wie auch viele Polizeibehörden und Ermittlungsdienste mit Spezialtechnik der Firma Cellebrite, dem Marktführer in diesem spezialisierten Bereich. Bilder : (UFED-Ultimate ) mit freundlicher Genehmigung von Cellebrite Deutschland Am Informationsstand der Firma Cellebrite anlässlich des Kongresses 17. Deutscher Präventionstag im April 2012 in München. v.l.n.r: Herr Joachim Müller, Herr Peter Warnke (beide Firma Cellebrite) und Herr Walter Fortmühler Bei welchen Fragestellungen sollten Sie uns hinzuziehen? Die Fragestellungen, bei denen Ihnen die IT-Forensik helfen kann, sind vielfältig. Hier einige, vielleicht harmlosere Beispiele: - Es besteht der Verdacht, dass Mitarbeiter unerlaubt oder unmäßig viel im Internet surfen (Arbeitszeitbetrug) oder die IT-Infrastruktur für unerlaubte Aktionen.
- verwenden (z.b. für Auktionen auf ebay, für Online-Spiele oder für das Kopieren von illegalem Material). - Vertrauliches Material ist in fremde Hände gelangt und es besteht der Verdacht, dass ein Mitarbeiter das Material unerlaubt kopiert, per Mail versendet oder ausgedruckt hat. - Es ist straf- oder zivilrechtlich relevantes Material (z.b. MP3-Dateien oder illegal kopierte Software,usw.) im Netzwerk aufgetaucht und es soll geklärt werden, wer dieses Material eingebracht hat. - Ein geschäftskritisches System steht still und es soll festgestellt werden, wer den Ausfall verursachte. Durch die forensische Analyse kann fast immer nachvollzogen werden, wer zuletzt am betroffenen System gearbeitet hat und wann welche Änderungen vorgenommen wurden. Dies ist oft auch noch möglich, wenn Teile des Systems gelöscht oder Datenträger formatiert wurden. - Es besteht der Verdacht eines Einbruchs in die IT-Infrastruktur. Hier kann die Forensik helfen, Klarheit zu verschaffen, die Art und den Umfang des Einbruchs zu bestimmen und ggf. die Täter zu ermitteln. Ein besonderes Augenmerk legen wir auf die anlassabhängige Recherche in Datennetzen. Mit den Möglichkeiten des Internet sind auch Gefahren für die Nutzer verbunden. Wir ermitteln daher auch bei Fällen von: - Phishing-Attacken (Erschleichung von Zugangsdaten mittels Schadsoftware), - Cyber Stalking, - Verleumdung / Rufschädigung im Internet, - Extremismus im Internet jeglicher Richtung, - Ermittlungen im sog. DarkNet des Internets, - dokumentiertem Kindesmissbrauch (Kinderpornographie), - uvm.
Preise Der Aufwand für forensische Untersuchungen richtet sich nach Art und Umfang der zu untersuchenden Systeme und der vereinbarten Schwerpunkte in der Analyse. Wir sprechen deshalb in jedem Fall den zu erwartenden Aufwand im Vorfeld mit Ihnen ab. Informieren Sie sich bei uns - wir erstellen Ihnen gerne ein maßgeschneidertes Angebot. Termine Wer eine forensische Analyse benötigt, kann im Regelfall keine langen Wartezeiten in Kauf nehmen. Deshalb bieten wir unsere Dienstleistungen auch sehr kurzfristig und - mit entsprechendem Aufschlag - nach Absprache auch an Wochenenden und Feiertagen an. Eine kurzfristige Beweissicherung bei Ihnen vor Ort ist ebenfalls nach Absprache möglich. Eine Checkliste mit Verhaltensregeln für den Ernstfall finden Sie am Ende der Broschüre. Vertraulichkeit Vertrauen ist wichtig besonders rund um die Informationssicherheit. Jeder Interessent erhält von uns eine auf ihn abgestimmte Vertraulichkeits- und Datenschutzerklärung nach den geltenden rechtlichen Vorgaben des Bundesdatenschutzgesetzes (BDSG). In Österreich und der Schweiz sind natürlich die jeweils geltenden Rechtsgrundlagen für uns bindend. Gerne unterzeichnen wir auch eine entsprechende Erklärung nach Ihren Vorgaben. Die Besonderheiten unserer forensischen Analysen? Forensische Analysen müssen mit besonderer Sorgfalt durchgeführt werden. So müssen z.b. die zu analysierenden Daten gerichtsfest erhoben und gespeichert werden, da sie ansonsten ihre Beweiskraft verlieren. Darüber hinaus bedarf es eines umfangreichen Wissens und eines ebenso großen Erfahrungsschatzes, um aus der Menge an gesicherten Daten alle relevanten Fakten zu extrahieren und korrekt zu interpretieren. Unter strenger Beachtung kriminaltechnischer Standards und unter Berücksichtigung der anerkannten Methoden der forensisch einwandfreien Arbeitsmethoden schaffen wir für Sie die Grundlage für eine beweispflichtige Prozessführung.
Ablauf einer Analyse Bitte nehmen Sie im Falle eines Falles möglichst umgehend Kontakt mit uns auf. Je weniger seit einem Vorfall auf den Datenträgern gearbeitet wurde, umso besser können wir Ihnen helfen. Bei einer ersten telefonischen Besprechung können wir abschätzen, wie hoch der Aufwand sein wird und können alle notwendigen Schritte einleiten. In aller Regel holen wir die relevanten Datenträger bei Ihnen ab oder erstellen Images bei Ihnen vor Ort. Wir stellen dabei sicher, dass die Originaldaten nicht verändert werden. Dazu setzten wir so genannte Writeblocker (Schreibblockierer) ein. Bild: Writeblocker für den mobilen Einsatz. Dieser wird zwischen den zu untersuchenden Datenträger und unsere forensische Auswertestation oder unser forensisches Notebook geschaltet. Dieser garantiert unveränderten Datenbestand und somit Gerichtsverwertbarkeit. Um die Vertraulichkeit der Arbeiten zu gewährleisten, kann dies natürlich auch am Wochenende oder nach Feierabend geschehen. Anschließend analysieren wir die Datenträger bzw. die erstellten Images in unserem Hause. Sie erhalten nach Abschluss der Arbeiten einen ausführlichen Bericht. Unsere Sicherungs- und Analysetechnik ist grundsätzlich auch mobil einsetzbar. Was steht im Bericht? Nach Abschluss unserer Arbeiten erhalten Sie einen ausführlichen Bericht. Der Bericht enthält in allgemein verständlicher Form: - die Vorgehensweise und Methodiken der durchgeführten Arbeitsschritte, - die dabei ermittelten Fakten, - sowie die Analyse und Interpretation der ermittelten Fakten.
Grenzen unserer Dienstleistungen Bei defekten Datenträgern oder speziell überschriebenen Daten stoßen wir an Grenzen. In diesem Fall können wir Ihnen aber helfen, die entsprechenden Firmen für eine Analyse zu finden und abzuschätzen, ob sich der zu erwartende finanzielle Aufwand wirklich lohnt. Darüber hinaus können wir keine Aussage zum Verlauf und Ergebnis eventuell anhängiger Verfahren, in denen unsere Untersuchungen als Beweise eingebracht werden, treffen. Wir weisen ausdrücklich darauf hin, dass es sich bei unserer Dienstleistung nicht um eine Rechtsberatung handelt und eine forensische Analyse nicht eine Beratung durch einen entsprechenden Fachanwalt ersetzt. Der Ablauf einer forensischen Analyse als Schema:
Ihre Checkliste bei Verdacht auf Cyber-Crime 1. Wer ruft an / Wer meldet? Name:. Uhrzeit / Datum:. Rückrufnummer:. 2. Wann fand der Vorfall statt (Datum/Uhrzeit):.. 3. Wie wurde der Vorfall entdeckt?:.. 4. Auswirkungen auf Anwender oder das Unternehmen?.. 5. Betroffene Systeme: Hardware / Software / Betriebssystem.. IP-Adresse oder Netzwerk des betroffenen Systems.. Netzwerktyp (Ethernet, Token Ring, ATM).. Verbindungen (LAN, WLAN, Bluetooth).. Modem / UMTS / GPRS (Telefonnummer).. Kritikalität für den Geschäftsprozess oder das Unternehmen.. Befinden sich kritische Informationen auf dem System?.. Physischer Standort. Physische Schutzmaßnahmen vorhanden?. Wer ist Hauptuser / Hauptadministrator? Kontaktdaten..... In welchem Zustand befindet sich das System. 6. Angreifer Angreifer aktiv? Quell-Adresse Anzeichen für DDoS? Anzeichen für Vandalismus? Erste Vermutung über Angreifer (Insider oder Outsider)...
7. Vorgenommene Tätigkeiten Netzwerkstecker gezogen?.. Audit Logfiles analysiert?.. Remote oder lokaler Zugriff auf die Systeme möglich?... Änderungen am Netzwerk, Firewalls, Virenscanner etc.?... Wer wurde informiert?.. 8. Welche Werkzeuge sind vor Ort verfügbar? Ist Systemaudit-Software bereits im Einsatz?.. Netzwerkprotokolle?.. Sniffer im Einsatz?.. 9. Wer kann für weitere Informationen angerufen werden? Systemanwender?.. Systemadministrator des betroffenen Systems... Lokaler Netzwerkadministrator... 10. Wer soll (im Unternehmen) NICHT kontaktiert werden?... Bei Fragen wenden Sie sich einfach an unsere Spezialisten in der Informations- und Kommunikationsabteilung (IuK) unter der E-Mail Adresse iuk@detektei-fortmuehler.de oder rufen Sie uns an +49 (0) 89 431 33 31