09.01.2009, 12:48

Hans-Christian Dirscherl

Forensik

Verbrechen auf der Spur

In "Computer-Forensik. Computerstraftaten erkennen, ermitteln, aufklären" erfährt man, wie Computerverbrechen erkannt werden und wie man auf sie richtig reagiert und die Beweise gerichtsverwertbar sicher stellt. Eine Pflichtlektüre für IT-Verantwortliche, Geschäftsführer und Administratoren. Aber auch Privatanwender gewinnen wertvolle Informationen für die Sicherheit ihrer PCs und Heimnetzwerke.
Alexander Geschonneck, Computer-Forensik. Computerstraftaten erkennen, ermitteln, aufklären" (ISBN 978-3-89864-534-8) ist im Dpunkt-Verlag erschienen und kostet 42 Euro.
Das Buch ist durchwegs sehr sachlich und geradezu trocken geschrieben. Das ist der Sache aber auch angemessen, denn es geht Geschonneck nicht darum, reißerisch eine Art Hackerguide für Computer-Besitzer zu schreiben, die sich an spannenden Geschichte gruseln oder mal auf die Schnelle lernen wollen, wie man in Systeme eindringt. Stattdessen hat der Autor ein Buch vorgelegt, dass für jeden IT-Verantwortlichen, Geschäftsführer beziehungsweise Behördenvorstand, Systemadministrator und Rechtsanwalt (der für Unternehmen arbeitet) eine Pflichtlektüre sein sollte.
Vereinfacht gesagt geht das Buch folgende Fragen nach: Wie können Angreifer in ein System eindringen, wie erkennen die Systemverantwortlichen, dass sie einen unerwünschten Besucher haben und wie können sie darauf technisch und juristisch korrekt reagieren. Soll das System sofort vom Netz genommen werden oder soll der Angreifer sozusagen beobachtet werden bei seinem Tun? Ein ganz wichtiger Aspekt dabei: Wie können die angegriffenen Firmen und Behörden alle Beweise sichern, damit die Verursacher vor Gericht belangt und eventuell zu Schadensersatz verurteilt werden können? Welche Tools kann der Systemadministrator für die Sicherstellung der Beweise und für die Wiederherstellung des angegriffenen Systems verwenden? Wer soll in den betroffenen Firmen überhaupt reagieren, wer soll Zugriff auf das angegriffene System haben und wer muss wem berichten? Eine Flut von Fragen also, die bereits im Vorfeld eines Angriffs geklärt werden müssen, damit im konkreten Schadensfall sofort umsichtig und schnell reagiert werden kann.
Genauso wie die oben geschilderten Fragestellungen teilweise technischer, teilweise aber auch nichttechnischer Natur sind, so variiert der Inhalt des Buches. Längere theoretische Kapitel mit eher juristischen, ermittelungstechnischen oder auch betriebswirtschaftlichen Denkweisen wechseln sich ab mit sehr technischen Abschnitten, in denen konkrete technische Ansätze und vor allem auch viele Tools vorgestellt werden. Das verlangt vom Leser die Bereitschaft, sich auf diese durchaus unterschiedlichen Herangehensweise einzulassen. Das Buch spiegelt damit aber nur die Tatsache wieder, dass die angemessene Reaktion auf einen Hackerangriff eben nicht von technischer Seite, sondern eben auch von juristischer und betriebswirtschaftlicher Seite erfolgen muss.
Der Autor stellt zunächst mögliche Bedrohungsszenarien vor und versucht die Motive der Täter darzustellen. Danach folgte sehr anschaulich und für Leser mit Programmier- und Adminkenntnissen nachvollziehbar ein typischer Angriff. Man bekommt bei diesem Kapitel die Gedankengänge des Angreifers demonstriert und kann dessen Überlegungen Schritt für Schritt nachvollziehen - sofern man die nötigen Unix-/Konsolen-Kenntnisse besitzt.
Danach geht Geschonneck der Frage nach, wie man überhaupt bemerken kann, dass sich ein Hacker in das eigene System eingeklinkt hat. Diese Fragestellung ist nicht nur für professionelle Anwender interessant, auch ambitionierte Heimanwender dürften von den Tipps in diesem Kapitel profitieren. Darauf folgt ein längerer Abschnitt, der in die Computer-Forensik allgemein einführt. Dabei geht es unter anderem um die korrekte Beweissicherung und um die korrekte Dokumentation eines Angriffs. Besonders spannend ist der nächste Abschnitt, die Post-mortem-Analyse. Dieses Kapitel ist für jeden PC-Besitzer eine wertvolle Lektüre, erfährt man hier doch, welche längst gelöschte Daten sich tatsächlich wiederherstellen lassen und wie das konkret geht. Das ist somit nicht nur für die Computer-Forensik wichtig, sondern auch unter Datenschutzaspekten sehr aufschlussreich.
Wer Spuren eines Angriffs verwertbar sichern will, braucht dafür geeignete Werkzeuge. Diese stellt der Autor im Kapitel "Forensik- und Incident-Response-Toolkits im Überblick". Dabei handelt es sich sowohl um kostenpflichtige Programme als auch um Freeware und Open Source. Gerade mit letzteren kann jeder ambitionierte Anwender experimentieren und dabei spannende Erkenntnisse über seinen Rechner und sein eigenes Heimnetzwerk gewinnen.
Wie die forensische Analyse dann im Detail erfolgt, erläutert der Autor auf den folgenden Seiten. Lobenswert: Bei allen seinen Ausführungen geht Geschonneck sowohl auf Windows- als auch Unix-/Linuxsysteme ein. Das gilt ganz besonders auch für die vorgestellten Tools. Mobile Geräte wie PDAs und Smartphones und die dafür geeigneten Werkzeuge werden ebenfalls vorgestellt, sprich: man erfährt, wie man Daten und Spuren eines Angriffs auf einem kompromittierten Handheld sichert. Den Anschluss dieses Kapitels bildet dann die Spurensicherung auf Routern - der Autor beackert also ein bemerkenswert weites Feld.
Nach einem kurzen Abschnitt über Empfehlungen für den Schadensfalls folgt ein Kapitel, dass so manchen Anwender die Augen öffnen dürfte. Geschonneck erklärt nämlich, wie sich IP-Adressen fälschen lassen und wie man Spoofing auf die Spur kommt. Dabei wird unter anderem die konkrete Vorgehensweise mit Werkzeugen wie Traceroute, Nslookup und Routen-Validierung erläutert. Das Buch endet mit einem rechtskundlichen Kapitel über die Einbeziehung der Behörden - hier hat sich Geschonneck die Hilfe eines Kriminalhauptkommissars und Experten für Computerkriminalität gesichert. Ein ausführlicher Tool-Überblick (wieder lobenswert: zu jedem Tool werden die unterstützten Betriebssysteme sowie die lizenzrechtliche Situation genannt) und eine kurze Literaturliste runden das Buch ab.
Fazit: Das Buch liest sich trotz längerer theoretischer und juristischer Passagen durchwegs spannend, obwohl es überhaupt nicht zur Unterhaltung geschrieben ist. Der Informationsgewinn sowohl für Nichttechniker als auch für IT-Spezialisten dürfte durchwegs hoch sein. Wer in Unternehmen oder Behörden in irgendeiner Weise mit IT-Sicherheit und mit dem Funktionieren der IT-Infrastruktur befasst ist oder unternehmerische Verantwortung trägt, sollte dieses Buch lesen. Aber auch Privatanwender lernen viel über Datenwiederherstellung und Spurensicherung - ein Wissen, dass man durchaus auch für die Sicherheit des eigenen Rechners oder des eigenen kleinen Heimnetzwerkes gewinnbringend einsetzen kann. Ein gewisses Maß an fortgeschrittenen Kenntnissen von Betriebssystemen, insbesondere von Kommandozeilenbefehlen, sollte aber vorhanden sein, um der Lektüre folgen zu können.
Diskutieren Sie mit anderen Lesern über dieses Thema:
PC-WELT Hacks
PC-WELT Hacks Logo
Technik zum Selbermachen

3D-Drucker selbst bauen, nützliche Life-Hacks für den PC-Alltag und exotische Projekte rund um den Raspberry Pi. mehr

69476
Content Management by InterRed