Am 30. September 2014 fand der 5. Anwendertag IT-Forensik statt. Die Teilnehmer aus Strafermittlung, Unternehmen und Forschung trafen sich in dem kürzlich eingeweihten Neubau des Fraunhofer SIT und konnten so einer der ersten Veranstaltungen in dem neuen Konferenzsaal beiwohnen.

Der Anwendertag 2014 stand unter dem Motto »Big Data – Big Evidence?«. Die Referenten hatten zu diesem großen Thema umfangreiche Vorträge im Gepäck, so dass kaum genug Zeit war, alles zu erzählen.

Zu den Vortragsfolien.

Big Picture für die forensische Analye großer Datenmengen

Den Anfang machte Henrik Becker vom SAS Institute mit einem breiten Bogen von forensic Readiness über Datenerhebung und ‑analyse hin zu juristischen Aspekten. Er hatte auch zwei Beispiele als Videovorführung dabei – unter anderem zur 4-dimensionalen Netzwerkanalyse. Mark Mattingley-Scott von IBM ging in seinem Vortrag auf den rasanten Wandel in der Informationstechnologie ein und schilderte, wie man darauf mit modernen Analysemethoden reagiert. Dabei müssen auch professionelle Täter, die in der Regel keinen Fehler machen, in den Unmengen von Daten entlarvt werden.

Best Practice in der Ermittlung auf großen Datenmengen

Werner Poppitz von FAST-DETECT schilderte die Herausforderungen in der Sicherstellung großer Datenmengen für die Strafermittlung. Oft müssen nach einer Durchsuchungsanordnung innerhalb eines Arbeitstages große Datenbestände in Unternehmen kopiert werden. Die Sicherstellung von Daten aus der Cloud erfordert besondere juristische, technische und organisatorische Vorgehensweisen. Helmut Brechtken von Warth & Klein Grant Thornton brachte eine Fülle von Ermittlungsfällen mit, beispielsweise zu Data Leakage und Sabotage. Für Erheiterung sorgte ein Fall, bei dem anhand der Analyse von Logdateien nachvollziehbar war, dass ein Täter in ein Unternehmensnetzwerk eingedrungen ist, jedoch durch fehlende SQL-Grundkenntnisse am Datendiebstahl gescheitert ist.

Beweisgewinnungsmethoden aus Forschung und Entwicklung

Andreas Dewald von der Universität Erlangen-Nürnberg erklärte, dass anhand von Zeit­stempeln in Dateisystemen nachvollzogen werden kann, wann welche Anwendung welche Aktion durchgeführt hat. Dabei spielen »charakteristische Spuren« eine zentrale Rolle. Im abschließenden Vortrag postulierte York Yannikos vom Fraunhofer SIT Effizienzsteigerung bei forensischen Analysen, beispielsweise durch Parallelisierung, Vermeidung mehrfachen Einlesens von Daten und Nutzung geeigneter Filterungsstrategien. Dabei ging er auf bestehende Lösungen und aktuelle Arbeiten am Institut ein.

Autor: Christian Winter

Vorträge

• »Big Data Analytics im Rahmen forensischer Untersuchungen« von Henrik Becker, SAS Institute
• »Big Data und investigative Analysemethoden« von Mark Mattingley-Scott, IBM
• »IT-Forensik im Strafprozesskontext – Umgang mit großen Datenmengen« von Werner Poppitz, FAST-DETECT
• »IT-Forensik im Unternehmen: Herausforderungen durch Big Data und Beispiele aus der Beratungspraxis« von Helmut Brechtken, Warth & Klein Grant Thornton
• »Erkennung von charakteristischen Anwendungsspuren in Dateisystem-Metadaten« von Andreas Dewald, Universität Erlangen-Nürnberg
• »Effiziente Automatisierung von IT-forensischen Standardverfahren« von York Yannikos, Fraunhofer SIT

Veranstaltungsort

Fraunhofer SIT in Darmstadt

Datum

30. September 2014