Datensammlung
siehe BSI-Vorgehensmodell
Sammlung wichtiger Daten betroffener Systeme.
Idealerweise findet eine vollständige Erfassung und Speicherung aller Daten statt ohne, dass eine Verfälschung der Daten durch diese Sicherrungsmaßnahme eintritt. Es sollten alle Daten in der Reihenfolge Ihrer Flüchtigkeit gesammelt werden und es sollten forensische Duplikate von allen betroffenen Massenspeichern gewonnen werden. Alle erzeugten Duplikate werden mit kryptographischen Verfahren abgesichert, so dass Ihre Integrität gerichtsfest erhalten bleibt.
Datensammlung
Der Prozess der Datensammlung schließt sich an die operationale Vorbereitung an. Nachdem ein Symptom eine forensische Untersuchung ausgelöst hat und in der operationalen Vorberei-tungsphase mögliche Datenquellen identifiziert sowie eine Sicherungsstrategie festgelegt wurden, beginnt im Abschnitt der Datensammlung die eigentliche Bestandsaufnahme. Für die Sammlung der Daten werden Werkzeuge aus einem zuvor festgelegten Katalog ausgewählt und angewendet.
Bei der Datenerfassung stehen die folgenden Informationen im Mittelpunkt:
- Erfassung von Systemzeit und Systemdatum
- Erfassung der auf dem System laufenden Prozesse
- Erfassung der am System geöffneten Netzwerkverbindungen (Sockets)
- Erfassung der am System angemeldeten Nutzer
- Forensische Duplikation
Für die genannten Punkte ist die Authentizitätssicherung durch das Vier-Augen-Prinzip in der begleitenden Dokumentation festzuhalten. Im Rahmen der Datensammlung muss auch das Thema Datenschutz betrachtet werden. Um die rechtlichen Aspekte einzuhalten, müssen die gewonnenen Daten durch geeignete Programme verschlüsselt werden. Ab diesem Abschnitt müssen außerdem der lückenlose Nachweis über den Verbleib der Beweismittel sichergestellt sowie die Einsichtnahme im Rahmen des Weiteren Untersuchungs-prozesses dokumentiert werden.
Erfassung von Systemzeit und Systemdatum Für die Erfassung der Systemzeit ist ein forensisches Werkzeug notwendig, welches die Da-tenart „Hardwaredaten“ erfassen kann. Dabei werden sowohl die am System eingestellte Zeit-zone als auch eventuelle Abweichungen zu einer Referenzzeit erfasst. Während der Erfas-sung müssen integritätssichernde Maßnahmen ergriffen und durchgeführt werden.
Erfassung der auf dem System laufenden Prozesse Um die laufenden Prozesse erfassen zu können, muss das eingesetzte Werkzeug die Daten-art „Prozessdaten“ erfassen können. Die für die Erfassung notwendigen Veränderungen am lokalen Dateisystem sind ebenfalls sorgfältig zu dokumentieren.
Erfassung der am System geöffneten Netzwerkverbindungen (Sockets) Für die Erfassung der offenen Netzwerkverbindungen muss die Datenart „Kommunikations-protokolldaten“ erfasst werden. Die für die Erfassung notwendigen Veränderungen am lokalen Dateisystem sind ebenfalls sorgfältig zu dokumentieren. Erfassung der am System angemeldeten Nutzer Für die Erfassung der am System eingeloggten Benutzer muss die Datenart „Sitzungsdaten“ erfasst werden. Die für die Erfassung notwendigen Veränderungen am lokalen Dateisystem sind ebenfalls sorgfältig zu dokumentieren. Forensische Duplikation
Im Rahmen der Datensammlung ist das Erstellen eines forensischen Duplikates erforderlich. Hier werden die Rohdaten erfasst. Forensische Duplikate werden prinzipiell von allen relevan-ten Massenspeichern (z.B. USB-Sticks, externe Festplatten, Mobiltelefone) erstellt. Unverhält-nismäßig hohe Kosten oder zu lange Ausfallzeiten der IT-Komponenten können dazu führen, dass auf eine Anfertigung eines Abbildes verzichtet werden kann. Dies ist allerdings ange-messen zu begründen (vgl. BSI 2011, 88f).