Auf frischer Tat ertappt

Auf frischer Tat ertappt

IT-Projekt schult Unternehmen in Live-Forensik

Um IT-Angriffe auf Unternehmen und Schadsoftware zu entdecken, werden Informationen auf Computern analysiert. Doch viele wertvolle Daten gehen verloren, wenn Computer vom Strom getrennt werden. Live-Forensik setzt hier an und untersucht die Angriffe zeitnah. Im Projekt LIVEFOR haben ExpertInnen der FH St. Pölten und des Forschungszentrums SBA Research Unternehmen in diesem Fach geschult.

Flüchtige Daten jagen

Live-ForensikerInnen sind hinter sogenannten flüchtigen Daten her. Das sind Informationen, die beim Unterbrechen der Stromversorgung verloren gehen, weil sie nicht auf einem langlebigen Datenträger, z. B. einer Festplatte, gespeichert werden. Darunter fallen beispielsweise Inhalte des Arbeitsspeichers, aktive Prozesse und Informationen zu bestehenden Netzwerkverbindungen. Live-Forensik analysiert flüchtige Daten während oder kurz nach dem Eintritt eines sicherheitskritischen Ereignisses.

„Digitale Forensik ist aus Unternehmen nicht mehr wegzudenken: Rechtliche Vorgaben und Wissensaufbau sowie Rekonstruktion von Tathergängen, aber auch die Prävention krimineller Aktivitäten spielen hier eine Rolle. Aufgrund der Veränderung von technologischen Rahmenbedingungen in den vergangenen Jahren hat die sogenannte ‚Live-Forensik‘ zunehmend an Bedeutung gewonnen“, sagt Sebastian Schrittwieser, Leiter des Projekts LIVEFOR sowie des Josef-Ressel-Zentrums für konsolidierte Erkennung gezielter Angriffe (TARGET) an der FH St. Pölten. Das Projekt LIVEFOR unterstützt IT-Unternehmen bei eigenen Forschungsaktivitäten auf dem Gebiet der Live-Forensik und der Analyse von flüchtigen Daten.

Vorsprung und Hinterherhinken

Dies ist unter anderem deswegen wichtig, weil übliche international anerkannte IT-Forensik-Standards der technischen Entwicklung hinterherhinken. „Bei Smartphones und Laptops werden Daten zunehmend voll verschlüsselt, wodurch die klassische ‚Post-mortem-Forensik‘ nicht mehr funktioniert. Mit Live-Forensik kann auf Systemen mit Datenträger-Vollverschlüsselung aus dem Inhalt des Arbeitsspeichers der kryptographische Schlüssel extrahiert werden, der dann für eine spätere Analyse des Systems zur Verfügung steht“, erklärt Schrittwieser.

Wichtig für Live-Forensik sind Arbeitsspeicher, weil in ihnen während des Betriebs etwa Passwörter gespeichert werden, auf die ForensikerInnen zugreifen können, solange der Computer noch in Betrieb ist. „Früher galt bei Hausdurchsuchungen, dass man Computer sofort vom Netz nimmt. Heute weiß man, dass man besser zuerst den Arbeitsspeicher untersucht“, sagt Schrittwieser. Notfalls kann der Arbeitsspeicher auch mit flüssigem Stickstoff eingefroren werden. Die Information bleibt dann für einige Minuten erhalten und der Speicher lässt sich eventuell in ein anderes Gerät einbauen, auf das die ForensikerInnen zugreifen können.

Besonders herausfordernd seien vor allem Smartphones: Sie funktionieren anders als klassische Computer, haben Sicherheit und Datenschutz meist integriert und sind daher von ForensikerInnen schwerer zu analysieren.

Aufbau von Qualifikation und Austausch von Information

Das Projekt LIVEFOR ist ein sogenanntes Qualifizierungsnetzwerk, finanziert vom Bundesministerium für Wissenschaft, Forschung und Wirtschaft (BMWFW). Ziel des Qualifizierungsnetzes ist es, den beteiligten Unternehmen eigene Forschungsaktivitäten auf dem Gebiet der Live-Forensik zu ermöglichen, sowie den Aufbau eines Unternehmensnetzwerks und somit den Wissenstransfer von Konzepten der Live-Forensik zu forcieren, die von aktuellen digitalforensischen Richtlinien nicht abgedeckt werden.

„Die Unternehmen sind bereits im Bereich der IT-Forensik tätig, sollen aber durch das Projekt und das entstehende Netzwerk mit den raschen Technologiesprüngen besser mithalten können“, so Schrittwieser. Am Projekt beteiligt sind auch JuristInnen. Denn zur Aufklärung von Straftaten wäre es am einfachsten, möglichst viele Daten und Arbeitsschritte auf Computern – und daher von MitarbeiterInnen – bereits vorab zu sichern. In den USA ist dies erlaubt, in Österreich aus Datenschutzgründen nicht.

Die am Projekt teilnehmenden Firmen sind Bravestone Information-Technology GmbH, Cognosec GmbH, Cumulo Information System Security GmbH, Limes Security GmbH und T-Systems Austria GesmbH und ZT Zeiler GmbH.

Projekt LIVEFOR

Das Projekt LIVEFOR wird vom Bundesministerium für Wissenschaft, Forschung und Wirtschaft (BMWFW) über die Österreichische Forschungsförderungsgesellschaft FFG im Rahmen des Programms „Forschungskompetenzen für die Wirtschaft“ gefördert.

Projektbeschreibung lesen

Jetzt teilen: