Anti-Forensik

Die Anti-Forensik umfasst vielseitige Techniken, Methoden und Werkzeuge, um Beweise und Spuren einer (kriminellen) Handlung oder eines Vorgehens zu sabotieren, sodass die tatsächliche Handlung durch die IT-Forensik nicht mehr nachgewiesen werden kann. Bereits während Planung und Vorbereitung einer Tat bzw. einer Handlung, werden Schritte und Vorgehensweisen festgelegt, um der IT-Forensik als Mittel zur Vorfallsaufklärung entgegen zu wirken. Hauptaugenmerk der Anti-Forensik liegt aus Sicht des Täters/Angreifers darin, gezielten Einfluss auf die digitale Beweiserhebung zu nehmen und folglich ein (Gesamt-) Ergebnis der IT-Forensik massiv zu verfälschen oder zu verhindern. Die Maßnahmen und Methoden der Anti-Forensik bedienen sich den bekannten Techniken und Vorgehensweisen, wie sie auch in der Informationssicherheit zur Umsetzung der Schutzziele Anwendung finden.

Zeitlich lassen sie sich nach der Vorgehensweise des Täters oder Angreifers kategorisieren und zuordnen:

I. In Vorbereitung auf die Tat/des Vorgehens:

Recherche und Wissensaufbau hinsichtlich Möglichkeiten und Methoden der IT-Forensik nach Stand der Technik. Der Täter plant entsprechend sein konkretes Vorgehen und Handeln, um in einer später durchgeführten IT-Forensik möglichst wenig oder keine Rückschlüsse und Erkenntnisse aus den hinterlassenen Spuren und erhobenen Beweisen seiner Tat zu hinterlassen (Datenvermeidung).

Beispiele:

  • Deaktivierung automatischer Speicherung von Zugangsdaten und Verläufen (Historie)
  • Deaktivierung von Protokollierungs- und Trackingsfunktionen
  • Zulegen zusätzlicher (gestohlener) Identitäten

II. Während der Durchführung der Tat/des Vorgehens:

Anwendung gezielter Verschleierungstechniken, um eine spätere Nachvollziehbarkeit des Vorgehens zu erschweren (Datenverschleierung). Ziel ist es hierbein außerdem, die Gerichtsverwertbarkeit von erhobenen Beweisen zu vermindern oder vollständig zu verhindern.

Beispiele:

  • Einsatz kryptografscher Verfahren, z.B. für die Verschlüsselung von Datenträgern, Speichermedien und des Netzwerkverkehrs
  • Verstecken/Verbergen von Informationen durch Methoden der Steganographie
  • Gezielte Manipulation von Informationen, z.B. durch Auslegen falscher Spuren

III. Nach Abschluss der Tat/des Vorgehens:

Durch den Täter werden nach Möglichkeit, alle hinterlassenen Spuren vernich- tet, sodass eine spätere Beweissicherung der eigentlichen Tat erfolglos bleibt (Datenvernichtung).

Beispiele:

  • Sichere und nachhaltige Löschung von Geräten und Daten (Dateien, Browserverläufe, Logfiles)
  • Vernichtung von Bewerismitteln durch physische Einflussnahme auf Datenträger und Speichermedien (z.B. durch mechanische Zerstörung oder Entsorgung)
  • Einsatz von Anonymisierungsdiensten (Proxy-Server, VPN-Gateways, TOR-Netzwerk, ...)

Bei Analyse- und Auswertungswerkzeugen im Bereich der IT-Forensik handelt es sich i.d.R. um Softwareprodukte. Sicherheitslücken und Schwachstellen sind daher keine Seltenheit. Sie können auch von Tätern und Angreifern ausgenutzt werden, um eine spätere Einflussnahme auf die Beweisverarbeitung und -auswertung zu nehmen. Als Einfallstor bietet sich hierbei insbesondere die Möglichkeit, maliziöse Daten oder Schadprogramme über die Beweismittel in die Analyseumgebung der IT-Forensiker einzuschleusen. Eine Beeinträchtigung der Schutzziele Verfügbarkeit und Integrität der Forensik-Werkzeuge sowie den sichergestellten digitalen Beweismitteln stehen hierbei im Vordergrund. Unter bestimmten Voraussetzungen können eingebrachte Hintertüren ("`Backdoors"') einen direkten Zugriff auf die Analysesysteme ermöglichen, z.B. wenn die Infrastruktur der IT-Forensiker unzureichend abgesichert und zudem offen an das Internet angebunden ist.

Weiterführende Informationen:

https://cyberleninka.org/article/n/1418159.pdf

https://www.cin-consult.com/counter-forensics-pruefe-die-pruefer/