„Gelöschte“ Daten und digitale Forensik – ein Blick hinter die Kulissen

1. Juni 2021

Es gibt viele Szenarien, in denen Menschen sich wünschen, dass die Daten einfach weg sind, möglicherweise um eine Spur kriminellen Verhaltens zu verbergen. Andere wiederum hoffen, dass Daten wiederhergestellt werden können, vielleicht um Beweise zu finden und eine Abfolge von Handlungen zu rekonstruieren. Basierend auf nahezu täglichen Erfahrungen mit vorsätzlich oder unabsichtlich verschwundenen Daten erläutert Palo Alto Networks, was es mit „vermeintlich gelöschten“ Daten auf sich hat.

Angenommen ein Mitarbeiter hat gekündigt und ist zu einem Konkurrenten gewechselt, der an einem ähnlichen Produkt arbeitet. Das Unternehmen vermutete, dass der Mitarbeiter geschützte Informationen mit seiner neuen Firma teilte, bevor er gekündigt hatte. Der Mitarbeiter hat jedoch seinen Laptop „gelöscht“ zurückgegeben, d. h. ohne jegliche Benutzerdaten. Was kann das Unternehmen in diesem Zustand darüber erfahren, wie der Computer genutzt wurde?

Anzeige
magic x optB

Die Frage ist, ob digitale Beweise effektiv und vollständig gelöscht oder verschleiert werden können. Während einige Zeitgenossen immer noch vom Gegenteil ausgehen, setzt sich die Erkenntnis durch, dass das bloße „Löschen“ von Daten nicht unbedingt bedeutet, dass sie wirklich verschwunden sind. In der Tat gibt es Tools, die über das einfache Löschen hinausgehen, um Daten wirklich sicher zu löschen.

Um die Sache weiter zu verwirren, kann der Begriff „Löschen“ sehr unterschiedliche Bedeutungen annehmen. Er kann sich auf einfaches Löschen, das Neuformatieren eines Laufwerks oder das sichere Überschreiben von Daten beziehen, so dass sie wirklich nicht wiederherstellbar sind. Im Folgenden geht es darum, wie digitale Forensik eingesetzt werden kann, um festzustellen, inwieweit Daten gelöscht wurden, und um digitale Beweise wiederherzustellen.

Einsatz digitaler Forensik zur Wiederherstellung gelöschter Daten

Spezialisten für digitale Forensik haben gelernt, immer ein wenig tiefer zu graben, wenn auf einem Computer die Daten „gelöscht“ sein sollen. Oft gibt es relevante Antworten oder Informationen für eine Analyse, selbst wenn sie nur bestätigt, wann und wie die Löschung erfolgte. In vielen Fällen lassen sich jedoch gelöschte Daten und Beweise für zusätzliche Aktivitäten wiederherstellen, die dabei helfen, wichtige Hinweise darauf zu finden, wie ein Computer verwendet wurde.

In ihrer einfachsten Form ist die digitale Forensik die Sammlung, Erhaltung, Untersuchung und Analyse von Daten, die auf digitalen Medien gespeichert sind. Experten für digitale Forensik wenden forensische Methoden an, die zuverlässig, wiederholbar und so wenig invasiv wie möglich in die Daten eingreifen, so dass alle Aktionen und Prozesse vor Gericht Bestand haben.

Jede Aktion, die ein Benutzer auf einem Computer durchführt, kann einen digitalen Fußabdruck hinterlassen. Experten für digitale Forensik verwenden Tools und Techniken, um diese Spuren aufzudecken, indem sie die Daten auf ihrer physischen oder Festplattenebene untersuchen. So kann eine forensische Analyse beispielsweise den Zeitpunkt der Verbindung eines Benutzers mit dem WLAN eines Cafés feststellen, den Chatverlauf zwischen zwei Kollegen aufdecken, in der Vergangenheit angeschlossene externe Speichergeräte und andere Aktionen identifizieren. Die Forensik gibt Aufschluss darüber, wie ein Benutzer mit seinem Gerät interagiert hat, insbesondere dann, wenn er Schritte unternommen hat, um seine Spuren zu verwischen oder Daten zu löschen. In der digitalen Welt ist das, was weg ist, eben oft nicht wirklich weg.

Beispiele für digitale Forensik bei Datenrettungsaktionen

Die folgenden zwei Beispiele beschreiben, wie digitale Forensik die wahre Geschichte erzählt und kriminelle Handlungen aufgedeckt hat.

Im ersten Beispiel wird geht es um die Datenrettung. Sie deckt eine weitreichende Vertuschung des Diebstahls von geistigem Eigentum auf. Das in der Zusammenfassung beschriebene Szenario zeigte, wie digitale Forensik letztlich den Diebstahl von geistigem Eigentum und die Zerstörung von Daten aufdecken kann. Ein Forensik- Experte stellte in diesem Fall Fragmente von zuvor gelöschten Dateien und andere wichtige forensische Artefakte vom Laptop des ehemaligen Mitarbeiters wieder her.

Zu den wichtigsten Ergebnissen gehörte, dass der Forensik-Experte Beweise dafür fand, dass auf Code-Reviews, Rollout-Pläne und andere geschützte Informationen von Thumb Drives zugegriffen wurde. Der Laptop war dabei mit dem Netzwerk eines Konkurrenten und zugleich neuen Arbeitgebers des Ex-Mitarbeiters verbunden, Tage nachdem er gekündigt hatte.

Die gravierendste Enthüllung war, dass es mittels digitaler Forensik gelang, die beträchtlichen Anstrengungen aufzudecken, die der Benutzer unternahm, um Dateien massenhaft zu löschen und Spuren zu verwischen. Nur wenige Tage vor der Rückgabe des Laptops an seinen ehemaligen Arbeitgeber installierte der Ex-Mitarbeiter ein Fernzugriffstool und es gab eine eingehende Verbindung von einer IP-Adresse. Diese führte zum entfernten Standort eines ausgelagerten Technikers, der im Verdacht stand, ein Mitverschwörer zu sein. Sekunden nach der erfolgreichen eingehenden Verbindung kam es zu Massenlöschungen auf dem Laptop. Ohne den Einsatz von digitaler Forensik hätte das Unternehmen nie von den illegalen Handlungen seines ehemaligen Mitarbeiters und des Technikers erfahren.

Digitale Forensik beweist Datendiebstahl

In einem anderen Fall hatte ein Unternehmen den Verdacht, dass ein kürzlich ausgeschiedener Mitarbeiter geistiges Eigentum gestohlen hatte, kurz bevor er das Unternehmen verließ. Das Unternehmen hatte aber keine Möglichkeit, dies zu beweisen. Eine erste Überprüfung des Mac-Laptops des Mitarbeiters ergab, dass die meisten Dateien und Ordner gelöscht worden waren.

Die digitale Forensik bewies jedoch, dass der ehemalige Mitarbeiter seinen Arbeitslaptop mit seinem persönlichen iCloud-Konto verbunden, mehrere Ordner mit geschützten Daten synchronisiert und dann dieselben Ordner nur wenige Tage vor seinem Ausscheiden vom Laptop gelöscht hatte.

Experten analysierten forensische Artefakte und Systemprotokolle, die historische Aufzeichnungen dieser Ordner, den ungefähren Zeitpunkt der iCloud-Synchronisation und die anschließenden Löschungen vom Laptop erfassten. Forensische Beweise zeigten, dass die Daten etwa zur gleichen Zeit in einer persönlichen Zeitkapsel gesichert wurden. Diese Erkenntnisse unterstützten die Rechtsgrundlage des Unternehmensanwalts, eine Untersuchung der persönlichen Geräte dieses ehemaligen Mitarbeiters zu verlangen.

Wie diese Beispiele zeigen, bedeuten Daten, die scheinbar verschwunden sind, nicht, dass sie es auch wirklich sind. Mithilfe der digitalen Forensik konnte die wahre Geschichte rekonstruiert werden. Jede dieser Personen hat Informationen von ihrem Arbeitgeber gestohlen und dann gezielt Schritte unternommen, um Daten zu vernichten und ihre Spuren zu verwischen. (rhh)

Palo Alto Networks

Lesen Sie auch