Forensic Analyst: Wer die Kunst der Logdateianalyse beherrscht

Hackerangriffe auf Unternehmen, manipulierte IT-Geräte oder gelöschte Kinderpornos auf der Festplatte eines Tatverdächtigen. Immer wenn Ermittler nicht weiterwissen, kommen Analysten der IT-Forensik ins Spiel. Sie untersuchen verschiedenste Fälle von Cyberkriminalität und machen sie gerichtsfest.

Detektive am Computer

Von Friedrich List

Cybercrime ist Teil der populären Kultur, aber die Folgen sind oft mehr als nur ärgerlich. Ob es nun um Phishing geht, den physischen Einbruch in einen Computersystem, die Verbreitung von Kinderpornografie oder das Ergaunern von Geld über einen falschen Online-Shop – Cyberkriminalität ist vielfältig.

Allgemein versteht man unter IT-Forensik wissenschaftliche Vorgehensweisen, mit denen Sachverhalte aus der Informationstechnik analysiert und bewertet werden. Weil Systemzustände oder Datenbestände für die direkte Betrachtung nicht fassbar sind, greift man im Gerichtsverfahren auf Gutachten von Sachverständigen oder sachverständige Zeugen zurück. Auch bei firmeninternen Untersuchungen müssen die Probleme zunächst untersucht und dann gerichtsfest nachvollziehbar dokumentiert werden.

Die Aufgaben eines Forensic Analyst

Arbeitsfelder für Forensic Analysts bieten die Polizei- und Ermittlungsbehörden, aber auch Beratungsdienstleister, die sich auf Computerkriminalität spezialisiert haben. Das können Wirtschaftsprüfungsgesellschaften, Anwaltskanzleien, aber auch Wirtschaftsdetekteien sein. „Ich analysiere nicht das Blut am Tatort, sondern die Log-Dateien“, beschreibt die IT-Forensikerin Vicky Eleser gegenüber der Computerwoche ihre Arbeit. Das Sachverständigenunternehmen, für das sie arbeitet, wird bei möglichen Hackerangriffen, beim Verdacht auf Malware in Firmennetzen oder ähnlichen Fällen beauftragt. Oder auch dann, wenn Mitarbeiter ein Unternehmen verlassen und möglicherweise firmeneigene Daten mitgenommen haben.

Neben Unternehmen berät die Firma auch Polizei und Staatsanwaltschaften. Häufig müssen sich Eleser und ihre Kollegen dann mit Kinderpornografie und ihrer Verbreitung beschäftigen. Sie werten dann alle möglichen Speichermedien aus – Festplatten, Tablets, USB-Sticks und sogar Spielekonsolen. Vor Ort führen sie zunächst eine Live-Sicherung und eine erste Analyse durch. Sie lassen ihre Prüfprogramme über kompromittierte IT-Systeme, Desktop-PCs oder mobile Endgeräte laufen. Dabei sichern sie RAM-Daten, Daten über den Netzverkehr und machen ein vollständiges Speicherabbild. Eine Festplatte beispielsweise schließt Vicky Eleser zunächst an einen sogenannten Writeblocker an. Der verhindert, dass Inhalte auf der Festplatte verändert oder überschrieben werden. Außerdem macht sie eine Eins-zu-eins-Kopie für die spätere Untersuchung im Labor. Besonders das ist für die weitere Analyse wichtig, denn das eigentliche Beweisstück muss im Originalzustand erhalten bleiben. Daten und wichtige Hardware werden dann im firmeneigenen Labor genauer unter die Lupe genommen.

ITuK1.2021.gesamt.neu.jpg

Schwarz auf Weiß
Dieser Beitrag ist zuerst in unserer Magazin­reihe „IT & Karriere“ erschienen. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften be­kommen Sie online im Presse­zentrum des MittelstandsWiki.

Ein weiteres Aufgabengebiet sind Sicherheitsanalysen für Unternehmen. Dabei führen Eleser und ihre Kollegen einen „Pen Test“ (Penetrationstest) durch, bei dem sie wie Hacker die Firmen-IT angreifen. Außerdem bieten sie Unterstützung in Krisensituationen an und erarbeiten für ihre Kunden eine Forensic Readiness Policy, mit der diese dann auf den Fall der Fälle vorbereitet sind.

Viele Wege führen zum Tatort

Das Berufsbild Forensic Analyst oder IT-Forensiker ist relativ jung und bislang nicht verbindlich geregelt. So kann man relativ einfach ein Zertifikat als IT-Forensic-Analyst per Online-Kurs erwerben. Trotzdem gibt es auch zahlreiche qualifizierende Ausbildungswege. Man kann sich auch erst dann spezialisieren, wenn man bereits einen Bachelor bzw. Master oder aber eine entsprechende Berufsausbildung durchlaufen hat. Mittlerweile bietet ein gutes Dutzend Hochschulen und Fachhochschulen Studiengänge an. Das sind neben klassischen Präsenzstudiengängen auch berufsbegleitende Studiengänge und die Möglichkeit eines Online- oder Fernstudiums.

Serie: IT-Forensik
Teil 1 umreißt das Berufsbild Computerforensiker und beschriebt die wichtigsten Einsatzszenarien. Teil 2 sieht nach, welche Zertifikate, Abschlüsse und Studiengänge es bereits gibt. Zwei Updates erklären neue Studiengänge und konzentrieren sich auf die Karrierechancen für Frauen.

So kann man an der Hochschule Albstadt-Sigmaringen einen Master of Science erwerben oder aber Digitale Forensik online oder berufsbegleitend studieren. Wer einen Bachelor-Abschluss in Informatik mitbringt, braucht dort sechs Semester bis zum Examen. Ansonsten müssen die Studierenden die Inhalte in einem zusätzlichen Einführungssemester nachholen. Voraussetzung ist zudem mindestens ein Jahr Berufserfahrung in einem Fachgebiet wie Informatik oder in der polizeilichen Strafverfolgung.

Das Bachelor-Studium IT-Forensik an der Hochschule Wismar ist ein Beispiel für ein berufsbegleitendes Fernstudium mit Präsenzphasen. Hier können sich nicht nur Abiturienten und Fachabiturienten bewerben, die sechs Monate Berufserfahrung in der IT-Branche oder in der öffentlichen Verwaltung gesammelt haben. Das können auch Interessierte mit Meisterabschluss oder einer Aufstiegsfortbildung tun. Wer eine dreijährige Berufsausbildung sowie mindestens zwei Jahre Praxis oder auch fünf Jahre einschlägige Berufserfahrung vorweisen kann, ist ebenfalls willkommen. Allerdings muss man eine Hochschulzugangsprüfung bestehen, um zum Studium zugelassen zu werden. Der Studiengang selbst dauert in der Regel vier Jahre, kann aber je nach Bedarf gestreckt oder verkürzt werden.

Weil IT-Forensiker auch fundierte kriminalistische und juristische Kenntnisse brauchen, nehmen in der Ausbildung auch diese Themen einen breiten Raum ein. Dazu gehören etwa Strafverfolgungsrecht, Polizeirecht und Fragen der Provider-Haftung. Juristische Kenntnisse sind erforderlich, um die Ergebnisse ihrer Arbeit gerichtsfest aufbereiten zu können.

IT-Ermittler im Polizeidienst

Auch öffentliche Arbeitgeber, speziell die Polizeibehörden in den Ländern, die Bundespolizei, das Bundeskriminalamt, das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Bundeswehr beschäftigen IT-Forensiker. Zum Teil bilden diese Behörden selber aus, zum Teil stellen sie Quereinsteiger ein.

Wer beispielsweise bei der bayerischen Polizei arbeiten will, braucht keine Polizeiausbildung. Aber man muss eine IT-Ausbildung oder ein entsprechendes Bachelor-Studium durchlaufen haben. Hat man das Bewerbungsverfahren erfolgreich abgeschlossen, startet man als technischer Beamter in der IT-Forensik oder im Bereich Cybercrime.

Bei der Bundespolizei sieht das anders aus. Dort durchläuft man zunächst eine dreijährige polizeiliche Ausbildung, erst dann kann man sich weiter qualifizieren. Die Fortbildung zum IT-Forensiker dauert dann ein halbes Jahr. Ohne Abitur beginnt man mit der 2,5-jährigen Ausbildung zum mittleren Dienst und qualifiziert sich danach für den gehobenen Dienst. Erst dann beginnt die eigentliche Ausbildung zum IT-Forensiker. Quereinsteiger mit Master-Studium oder einem Abschluss in Ingenieurswissenschaften mit Schwerpunkt Informatik beginnen als Verwaltungsbeamte in der IT-Forensik.

Bewerber bei der Bundeswehr müssen für die Offizierslaufbahn qualifiziert sein und ein technisches FH- oder Hochschulstudium abgeschlossen haben. Und man muss bereit sein, bundesweit versetzt zu werden und an Auslandseinsätzen teilzunehmen. Zeitsoldaten müssen sich für mindestens drei Jahre verpflichten.

Wir sind die Guten

Grundvoraussetzung sind aber in jedem Fall das Interesse an kniffligen technischen Fragen und die Fähigkeit, sich in andere Nutzer hineinzuversetzen. Hinzu kommt die Bereitschaft, sich ständig weiterzubilden und die aktuellen Entwicklungen zu verfolgen. So war bis vor Kurzem von „Cloud Forensics“ oder „Car Forensics“ kaum die Rede. Das änderte sich spätestens mit der medienwirksamen Aktion US-amerikanischer Journalisten und IT-Experten, die es fertigbrachten, in die Elektronik eines fahrenden Autos einzubrechen und dieses fernzusteuern.

Friedrich-List-square.jpg

Friedrich List ist Journalist und Buch­autor in Hamburg. Seit Anfang des Jahr­hunderts schreibt er über Themen aus Computer­welt und IT, aber auch aus Forschung, Fliegerei und Raum­fahrt, u.a. für Heise-Print- und Online-Publikationen. Für ihn ist SEO genauso interessant wie Alexander Gersts nächster Flug zur Inter­nationalen Raum­station. Außerdem erzählt er auch gerne Geschichten aus seiner Heimatstadt.

Nützliche Links