perspektiven der online-beweissicherung mit zentraler
TRANSCRIPT
Immer neue Arbeitsweise in derComputerkriminalität – das Pro-blem der „flüchtigen Beweise“
In – und Ausländische Strafverfolgungs-behörden stellten im vergangenen Jahreine weitere Zunahme von Straftatenfest, die per Computer oder Rechenzen-trum durchgeführt wurden. Das Spek-trum der Straftaten reicht vom Betrug mitDialern, Phishing, gefälschten Marken-produkten und Angaben über die Verbrei-tung von illegalem Material wie Kinder-oder Tierpornografie, bis zur Verbreitungvon Computerviren und dem Einbruch inoder der Manipulation fremder Rechner-systeme.
Bislang galt die goldene Regel,schnellstmöglich der zur Straftat verwen-deten Computer habhaft zu werden, umeinen technischen und kriminalistischenProzess, den man als Digitale Forensik be-zeichnet, durchzuführen. Doch wie sichertman „flüchtige Beweise“, Beweise, vondenen man erwarten muss, dass sie inkürzester Zeit nicht mehr verfügbar oderrekonstruierbar sein werden?
I n t e r n e t - K r i m i n a l i t ä t – D i g i t a l e F o r e n s i kI n t e r n e t - K r i m i n a l i t ä t – D i g i t a l e F o r e n s i k
der kriminalist 07-08/2006 Bund Deutscher Kriminalbeamter1 | Seite
Perspektiven der Online-Beweissicherungmit zentraler Sammelstellevon Bert Weingarten,Vorstand der PAN AMP AG, IT-Sicherheitsexperte und Erfinder der Online-Beweissicherung
Beflügelt durch eine umfassende Verfügbarkeit, immer schnellere Anbindungen und eine immer weitergehende Ver-breitung des Internets erreicht die jederzeit für jedermann verfügbare Menge an Informationen und Daten ständigneue Dimensionen. Doch nicht nur legale Netzbetreiber, die lizenzierte und rechtlich einwandfreie Inhalte vertreiben,stellen immer größere Datenmengen in das Internet ein. Auch Kriminelle haben das Internet voll erschlossen; mit demEffekt, dass in vielen staatlichen Einrichtungen bereits heute die Personalkapazitäten für die Verfolgung von Strafta-ten bis an die Grenze ausgeschöpft sind. Die noch immer verbreitete Recherche und Beweissicherung per Einzelplatz-PC mit Webbrowser und Screenshot (Abbild eines Programmfensters) wird der heutigen Anforderung bei weitem nichtmehr gerecht.
So ist es heutzutage Gang und Gebe,dass auf Servern die zu Betrugsdelikteneingesetzt werden, ein „cron job“ einge-richtet ist, welcher in vorgegebenen Zeit-abständen Spuren verwischt oder Datenzerstört, indem er diese mehrfach mit Da-
tenmüll überschreibt. Bekommen die Fo-rensik-Experten den Server nach der Ak-tivierung eines „cron jobs“ zur Analyse,kann oftmals der Stecker gleich wiederaus dem Server gezogen werden.
Bert Weingarten,
Vorstand der PAN AMP
AG, IT-
Sicherheitsexperte und
Erfinder der Online-
Beweissicherung
ZSOP – Zentrale Sammelstelle zur Online-Beweissicherung, PAN AMP AG, 12.05.2006
Eine weitere ungelöste Problematik istdie Gegebenheit, dass die zur Straftatverwendeten Rechnersysteme oftmals ih-ren physikalischen Standort in einem an-deren Bundesland oder im Ausland ha-ben, oder es sicht gar um weltweit ver-teilte Rechnersysteme handelt. Eine Her-ausforderung, der bislang mit einem Aus-druck zur Akte begegnet wurde, da dieDokumentation Bestandteil der Beweis-mittelsicherung ist.
Diese Akte wurde bislang zu einem vorGericht verwertbaren Gutachten aufbe-reitet, in dem die Forensik-Spezialistentechnische Sachverhalte und Indizien sodokumentierten, dass auch für die intechnischer Hinsicht unbedarften Pro-zessteilnehmer der Tatbestand und dieBeweiskette augenfällig, also evident,werden. Allein die starke zeitliche Inan-
I n t e r n e t - K r i m i n a l i t ä t – D i g i t a l e F o r e n s i kI n t e r n e t - K r i m i n a l i t ä t – D i g i t a l e F o r e n s i k
Bund Deutscher Kriminalbeamter der kriminalist 07-08/2006 Seite | 2
FAS Online-Beweissicherung zum Phishing-Be-
trugsfall,HypoVereinsbank, 21.04.2006
FAS Report zur Online-Beweissicherung zum Phishing-Betrugsfall, HypoVereinsbank, 21.04.2006
spruchnahme der Experten zur Herstel-lung des Gutachtens, die oftmals einMehrfaches der Zeit der Beweissicherungausmacht, zeigt auf, dass dieses Proze-dere ineffektiv und veraltet ist.
Der Weg zur Online-Beweissiche-rung – nur einen Mausklickentfernt
Wäre es nicht ausgezeichnet, wenn eineTechnologie diese Arbeit erledigte?
Das dachten wir uns auch und stelltenbasierend auf der bereits entwickeltenSniffer-Technologie der PAN AMP AG um-fassende Funktionen zur automatisiertenProtokollierung plus Expertenanalyse her,die verdächtige Computer und Netzwerkemit fundiertem Know-How identifizieren,analysieren, Dossiers erstellen und dieOnline-Beweissicherung herstellen. Kurz:FAS-Report mit Online-Beweissicherung.(FAS = Filter Administrations System).
In Zeiten, in denen die Beweissicherungzur Straftat nur einen Mausklick entferntist, der Server, von dem die Straftat aus-geht, sich aber an jedem beliebigen Ortder Welt befinden kann, stellt die Online-Beweissicherung die vollumfängliche Ab-lösung der bislang händischen Bearbei-tung da.
So stellt FAS-Report die vollständige Be-weissicherung des Ausgangssystemsüber Datennetze her, ganz gleich ob Fire-walls, SSL oder „Locked-Down“-Servereingesetzt werden. Somit ist es oftmalsmöglich, den kompletten Serverinhalt mitder vollen Funktionalität zu sichern.
Nach der Sammlung und Sicherung al-ler Beweise kann die Analyse der Online-Beweissicherung beginnen. AutomatischeAuswertungen und Berichte können inkürzester Zeit zu vollständigen Dossiersverdichtet werden. Aus dem Dossier las-sen sich etwa Zugangsberechtigungenund verschiedene Zeitstempel analysie-ren, die zu Antworten auf die Fragen füh-ren, wann die letzte Veränderung stattfand und wer das System administrierthat. In nicht wenigen Fällen können wei-tere eindeutige Beweise über den ver-wendeten Onlinezugang des rechtlichVerantwortlichen sichergestellt werden.
Kommunikationsbeziehungs-analysen legen Identitätder Straftäter offen
Mit Zuführung von weitergehenden Da-ten aus Firewall-Systemen, Routing- undAccounting- Daten, Datenbestände, diebeim jeweiligen betroffenen Provider vor-rätig sind, lassen sich vollständige Kom-munikationsbeziehnungsanalysen (Foren-sic Accounting) herstellen, die die Iden-tität der Straftäter offen legen.
In der ZSOP (Zentrale Sammelstelle zurOnline-Beweissicherungen) erfolgen alleSpeicherungen auf NTP-Basis (NetworkTime Protokoll). Der integrierte Zeitstem-pelserver, der sämtliche Online-Beweissi-cherungen und sonstige Ereignisse mitexakter Uhrzeit festhält, kann entwederdie Referenzzeit über eine Funkuhr(DEC77/GPS) empfangen, oder per Ser-ver der Physikalish-Technischen Bundes-anstalt in Braunschweig online synchroni-siert werden.
Die in der ZSOP gespeicherten Online-Beweissicherungen sind somit manipula-tionssicher. Alle Zugriffe werden zusätz-lich durch einem im „ZSOP“ integriertenLog-Server festgehalten. Sowohl die On-line-Beweissicherungen als auch die Dos-siers werden auf optischen WORM-Lauf-werken (Write Once Read Many) zusätz-lich gespeichert. Somit besteht eine hun-dertprozentige Sicherheit vor Manipula-tionen.
Zugriff der Sicherheitsbehördenüber integrierte Schnittstellen
Durch integrierte Schnittstellen könnenweitere staatliche Stellen – nach jeweili-ger Berechtigung und/oder Freigabe – aufOnline-Beweissicherungen ohne jeglichesRisiko eines unglücklichen Missgeschicks(Daten-Manipulation) zugreifen. Alleindiese Position ist nicht zu unterschätzen,da so im Einsatzfall des ZSOP in Landes-kriminalämtern die erste bundesweitnutzbare Datenschnittstelle entsteht, diezeitgleich für Internetfahnder zugänglichist und plattformunabhängig per Web-browser genutzt werden kann, ohne dassweitere Rechenlast auf lokalen Computernentsteht.
Zur vollständigen Beantwortung der ju-ristischen Frage der so genannten „7-Gol-denen-W“ (wer? was? wann? wo? womit?wie? warum? reicht ein einziger Mausklick.Hierdurch werden die Online-Beweissi-cherung und das dazugehörige Dossiermit den erforderlichen Servernotwendig-keiten der Staatsanwaltschaft online zu-gestellt bzw. auf CD oder DVD zur Über-gabe gespeichert. Vor Gericht kann dieStraftat nicht nur angesehen, sonderndurch die vorliegende Online-Beweissi-cherung nachgestellt werden.
Wie im Fall des Phishing-Betrugsfalls derHypoVereinsbank am 21.04.2006.
Hier ist aus dem Report der Standort, dieverwendete Konfiguration und der voll-ständige betrügerische Auftritt ersichtlich(FAS Online-Beweissicherung HypoVe-reinsbank). Im Falle der Markenpirateriewurde die Online-Beweissicherung bereitszur Überführung von Markenpiraten ver-wendet (FAS Online-BeweissicherungEbay).
Automatisierten Analyse- undReportingsystemen gehört dieZukunft der Internet-Beweissicherung
Automatisierten Analyse- und Repor-tingsystemen, die nicht gesetzeskon-forme Inhalte im Internet aufspüren, ent-sprechende Analysen und Berichte erstel-len, sowie die Online-Beweissicherungdurchführen, gehören nicht nur die Zu-kunft. Sie sind bereits heute von erfolgs-
entscheidender Bedeutung für die Abwehrvon Gefahren und die Verfolgung vonStraftaten. Die zusätzlichen Schnittstellenzur Ansicht, Analyse und zur Übergabe derBeweise beschleunigen die Strafverfol-gung erheblich. Denn eines ist klar-dieInternetstraftaten werden auch weiterhinansteigen. Nur mit automatisierten Pro-zessen und Experten-Know-How kann dieDurchsetzung bestehender Gesetzte auchzukünftig noch gewährleistet werden.
Aktuell befindet sich der Hersteller be-reits mit zwei Landeskriminalämtern inkonkreten Verhandlungen zur Integrationder Online-Beweissicherung auf Landes-ebene. Die Inbetriebnahme ist hierbeinoch für 2006 vorgesehen. Eine starkeEinbindung der Datenschutzbeauftragtenist Bestandteil der Integration.
Kontakt:
PAN AMP AG Ausschläger Elbdeich 2 D-20539 HamburgTel.: +49 (40) 55 30 02-0 Fax :+49 (40) 55 30 02-100 E-Mail: [email protected] Internet: www.panamp.de
© 2006, PAN AMP AG
I n t e r n e t - K r i m i n a l i t ä t – D i g i t a l e F o r e n s i kI n t e r n e t - K r i m i n a l i t ä t – D i g i t a l e F o r e n s i k
der kriminalist 07-08/2006 Bund Deutscher Kriminalbeamter3 | Seite
FAS Online-Beweissicherung zur Markenpiraterie
der Marke Lacoste, Ebay Deutschland, 12.05.2006
FAS Online-Beweissicherung zur Rekrutierungs-
praxis von Terror-Organisationen, Hürth bei Köln,
27.10.2005