Rechtsanwalt Henrik Becker Monday, September 6, 2010
Impressum

 

Erstreaktion für Beweissicherung bei Computern

Im Falle einer Untersuchung müssen Sie schnell reagieren. Es bleibt so gut wie keine Zeit, sich über das Vorgehen zu diesem Zeitpunkt Gedanken zu machen. Wenn ein Angriff stattgefunden hat oder noch andauert, könnte es gut sein, daß der Angreifer (ggf. mit automatisierten Tools) gerade zum Zeitpunkt Ihres Eintreffens seine Spuren verwischt. Oder das angegriffene System wurde derart in Mitleidenschaft gezogen, daß ernste Schäden drohen, die eine weitere Verwendung von Beweisen später unmöglich machen. Gleichfalls möglich ist, die ein oder andere logische Bombe darauf wartet, ausgelöst zu werden oder weitere Gefahr für Drittsyteme von dem aktuellen System ausgeht.

Planung

Was müssen Sie beachten? Welche Maßnahmen können Sie planen? Die folgende Liste soll einen ersten Einblick darüber geben, was an Vorgehen für eine Beweissicherung sinnvoll sein kann.

HINWEIS: Diese Liste ist weder vollständig noch ohne Weiteres im realen Betrieb nutzbar. Ohne fundiertes Wissen sollten Sie KEINE der folgenden Maßnahmen vornehmen, wenn es Ihnen auf eine ,,saubere'' Beweisführung oder auch nur auf Ihre Daten ankommt! Ich übernehme KEINE GEWÄHR und LEHNE JEDE HAFTUNG AB! Für eine ernsthafte und verantwortungsvolle Planung sollten Sie sich von einem Spezialisten beraten lassen!

Zuerst müssen Sie wissen, um welches System es sich überhaupt handelt. Versuchen Sie, das System so genau wie möglich einzugrenzen. Ideal ist eine genaue Kenntnis des/der PC/Server/Hardware, der/die in den Angriff verwickelt ist. Die Erstsicherung von ganzen Netzen oder Teilnetzen ist hoch komplex und durch eine Person (fast) nicht zu bewerkstelligen.

Haben Sie den zu untersuchenden Rechner identifiziert, können Sie beginnen. Behalten Sie bei allem, was Sie von nun an tun, auf jeden Fall die rechtlichen Aspekte im Auge (Beweisrecht, Datenschutz usw.) und ziehen Sie einen (!) Zeugen hinzu. Horden von Ermittlern haben den gleichen Effekt wie Bisonherden ...

Zuerst Tatort absichern!

  1. Eigensicherung - aufgebrachte Beschuldigte neigen zu unvorhergesehen Aktionen. Klingt lustig, ist es aber nicht!

  2. Falls Fingerabrücke relevant werden können - beachten Sie dies bei Ihrem Vorgehen. Tragen Sie Handschuhe, fassen Sie so wenig Flächen an wie irgend möglich!

  3. Verändern Sie so wenig am Tatort wie möglich; wenn die Zeit bleibt, können Sie Fotos machen.

  4. Verhindern Sie weitere Zugriffe auf das System. Das gilt sowohl für physikalischen als auch logischen Zugriffe, z.B. durch Netzwerk- oder Telefonkabel.

  5. Sollte der Nutzer noch an dem System arbeiten, fordern Sie ihn sofort auf, das Büro/den Raum zu verlassen. Sollten Sie für oder in einem Unternehmen arbeiten, ziehen Sie daher einen Vertreter des Betriebsrates und/oder der Revision hinzu.

Sichern des Systems

Wenn das System abgeschaltet ist - nicht starten!

Wenn das System aktiv ist UND es handelt sich um einen "einfachen" Arbeitsplatzrechner:

  1. Fotografieren Sie den Bildschirm, wenn möglich mehrfach.

  2. Unterbrechen Sie die Stromversorgung, sowohl an der Steckdose als auch am Rechner selbst. Die anderen Kabel sollten unverändert bleiben!

  3. Versiegeln Sie die Laufwerke.

  4. Fotografieren Sie alle (!) Anschlüsse und wenn möglich machen Sie eine Zeichnung, in der Sie die vorhandenen Kabel und Stecker näher bezeichnen.

  5. Bringen Sie Marker an allen Kabeln, Steckern, Hardware und Komponenten an, die zum Zeitpunkt des Auffindens mit dem betreffenden Gerät verbunden sind.

  6. Wenn nötig, bereiten Sie den Transport vor (Beschädigung/Veränderung vermeiden!).

  7. Legen Sie einen Beweiszettel an.

  8. Sorgen Sie für Schutz vor magnetischen Feldern, Sendern, Hitze, Wasser usw.

  9. Fotografieren Sie den Fundort weiträumiger. Versuchen Sie, auf den Fotos viele Details und einen Eindruck der Situation zu vermitteln, in der das System angetroffen wurde.

  10. Sperren Sie den Raum bis zur Freigabe durch einen Verantwortlichen ab!

Wenn das System aktiv ist UND es handelt sich um einen wichtigen Arbeitsplatzrechner oder einen Server, der für ein Netzwerk von gehobener Bedeutung ist oder der eine für das Geschäft wichtige Funktion hat:

  1. Klären Sie das Vorgehen final mit dem zuständigen Administrator ab. (Grundsätzlich sollte das bereits geschehen sein - aktuelle Rückfragen haben aber noch nie geschadet!)

  2. Fotografieren Sie Büro, Computer, Kabel und vor allem Monitor.

  3. Versiegeln Sie die Laufwerke und achten Sie darauf, daß keine Kabel oder Geräte gesteckt oder getrennt werden, wenn dies nicht unbedingt notwendig für die Aufgabe des Systems ist.

  4. Organisieren Sie zusammen mit dem zuständigen Administrator den Zugriff auf das System.

  5. Legen Sie das Vorgehen fest und

    1. ziehen Sie einen Zeugen hinzu,

    2. versuchen Sie das System zu verstehen,

    3. suchen Sie im laufenden System nach Hinweisen,

    4. machen Sie von allen relevanten Informationen Fotos UND Bildschirmfotos und

    5. drucken Sie aus, was relevant sein könnte.

(c) RA Henrik Becker 2002 - 2006

::: Print-Version  :::

 

Forensik Blog

HenrikBecker.de

Dig.Forensik

Grundlagen

Risiken

Erstreaktion Computer und Server

Erstreaktion andere Hardware

Beweiserlangung und Mitbestimmung

Daten sicher loeschen

Forensik Tools

Forensik Toolkits

Sonstige Tools

Datenschutz

Wirtschaftskriminalitaet

Spionage

Referententaetigkeit

Security

Text

J-Pilot

Scripting

Links

Privates Blog



My status

Powered by Linux

Made with Emacs

Powered by PHP

Powered by Apache

If you like this fine website you may want to say Thank you! or Good job! Thank you!