Kriminellen in der Cloud auf den Fersen bleiben

„Wer amerikanische Krimiserien wie Navy CIS oder Criminal Minds sieht weiß, was IT-Forensik ist: Es sind alle Arbeiten an Computern und ihrem digitalen Umfeld, um Sachverhalte aufzuklären. Das gilt im Zusammenhang mit polizeilichen Ermittlungen, aber auch ganz allgemein für die Auswertung von Daten, etwa in Unternehmensnetzen“, so Dr. Daniel Spiekermann. Der IT-Forensiker bei der Polizei hat an der FernUniversität in Hagen in seiner Dissertation eine Lösung entwickelt, mit der auch in Cloud-Umgebungen lückenlos ermittelt werden kann. Bisher ist das aufgrund der hohen Dynamik in diesen Speichernetzwerken alles andere als einfach. In erster Linie hatte er dabei die Bedürfnisse der Polizei im Auge, seine Lösung können aber auch Unternehmen bei der Analyse ihrer Netzwerke einsetzen.

Das Bild zeigt schematisch den Weg von Computerdaten in einen Cloud-Speicher. Foto: Thinkstock_cofotoisme

Spiekermanns Arbeitsbereich bei der Kriminalpolizei ist neben der Computer- auch die Netzwerkforensik. Im Rahmen seiner Forschung hat er sich daher auf die „Netzwerkforensik in virtuellen Umgebungen“ konzentriert. Dies war auch der Titel seiner Dissertation.

Die Netzwerkforensik ist ein Teil der IT-Forensik: „Wenn man z.B. eine E-Mail schreibt, kommuniziert der eigene Computer mit einem Server im Internet oder im Rechenzentrum. Die mit Handys und Festnetzanschlüssen beim Internetsurfen ausgetauschten Daten kann die Polizei mit richterlicher Genehmigung abfangen, aufzeichnen und analysieren.“

Zwei Arten von Netzwerkforensik

Grundsätzlich gibt es zwei Arten von Netzwerkforensik: „Bei einer will ich wissen, was in meinem gesamten Netzwerk geschieht. Da sieht man genau, wie sich Computer ‚unterhalten‘, wenn z.B. ein Rechner langsam wird“, erläutert Spiekermann. Bei der Gesamtbetrachtung im Rahmen eines Störungsmanagements nehmen Unternehmen und (Polizei-)Verwaltungen, aber auch Unternehmensberatungen einen gewissen Datenverlust in Kauf.

Dagegen benötigen Strafverfolgungsbehörden ausschließlich die Daten eines bestimmten Systems. Sie überwachen konstant und lückenlos über einen längeren Zeitraum, um sich nicht vorwerfen lassen zu müssen, die gesuchte Information sei in einem fehlenden Datenpaket gewesen.

Daher hat sich Spiekermann mit seiner Forschung auf die Arbeit von Strafverfolgungsbehörden konzentriert, wobei seine Ergebnisse grundsätzlich auch von Unternehmen und Verwaltungen verwendbar sind.

Portraitfoto eines Mannes mit Brille Foto: FernUniversität
Daniel Spiekermann

Millionen Maschinen in einer Cloud

Große Probleme verursacht bei Ermittlungen das neue Cloud Computing. Dabei werden IT-Infrastrukturen – Speicher, Rechenleistung, Software u.a. – in einem Rechnernetz genutzt, Installationen auf lokalen Rechnern sind nicht notwendig: Benötigt man beispielsweise mehr Speicherplatz, werden keine neuen Festplatten angeschlossen, sondern eine Software speichert Dateien irgendwo bei einem Dienstleister in einer Cloud.

Eine Cloud besteht aus „virtuellen Maschinen“, die zu Millionen auf einer Untergrund-Hardware laufen. Tatsächlich ist eine solche „Maschine“ eine Software, die sich wie ein (Hardware-)Rechner verhält. Somit können in der Cloud nicht nur Daten hin- und hergeschoben werden, sondern auch die Computer selbst. Die logische Folge ist für Spiekermann, keinen bestimmten physischen Computer mehr zu überwachen, sondern die „Überwachung in einer Cloud“.

Die Maschinen dort fahren blitzschnell und flexibel herauf und herunter. „Diese Dynamik erschwert den Einsatz der IT-Forensik sehr“, erläutert Spiekermann. „Wie soll ich mit einer virtuellen Maschine mitkommen, die plötzlich hier ausgeschaltet und an ganz anderer Stelle wieder gestartet wird? Vielleicht ‚bewegt‘ sie sich sogar von einem Server zu einem anderen. Bei der ‚klassischen‘ Ermittlung schließen wir Kopier-Hardware an einen Server an. In der Cloud ist unser Zielsystem jedoch oft schon wieder ausgeschaltet, bis das System identifiziert und die Aufzeichnungstechnik bereit ist.“ Ein großes Defizit gegenüber Kriminellen, die strafvereitelnden Techniken sehr aufgeschlossen gegenüberstehen.

Software überwacht automatisch

In seiner Promotion entwickelte Spiekermann eine Software zur automatischen Überwachung, die das schnelle An und Aus der Systeme, das Kopieren von einem Server auf den anderen, verfolgt. Sein Ansatzpunkt: „Die Umgebung eines Systems protokolliert unheimlich viel, die Komponenten kommunizieren höchst umfangreich miteinander.“

Bisher werden alle Daten der virtuellen Maschinen, die zeitgleich auf einem realen Computer laufen, abgegriffen, obwohl man nur die Daten eines bestimmten Systems haben will. Ein einzelnes virtuelles Kabel konnte bisher nicht „angegriffen“ werden, weil nicht schnell genug zu ermitteln war. Die neue Software bemerkt nun, wenn die Daten von einem Computer zum nächsten wandern. Sie zapft den virtuellen Switch auf dem Server an und „fragt“, wo ihr Ziel jetzt angeschlossen ist. Meldet sich ein Switch, wird die virtuelle Kopiertechnik zum ihm verschoben und der Switch angewiesen, die gesuchten Dateien zu kopieren. Bemerkt dieser, dass das „angezapfte“ System herunterfährt, meldet er das dem Server, der nun wiederum alle Switches auffordert: „Sagt Bescheid, wenn das System bei Euch auftaucht!“, erläutert Spiekermann. „Dann beginnt das Spiel von neuem, ganz automatisch.“ Nicht nur das: „Die Daten habe ich sofort wieder zur Verfügung.“

Mit seiner herstellerunabhängigen Entwicklung betrat Spiekermann Neuland: Er entwickelte sowohl die Software als „Proof of Concept“ – in dem die prinzipielle Realisationsmöglichkeit belegt wird – als auch das zugrundeliegende theoretische Modell. Im Polizeialltag eingesetzt wurde seine Lösung zwar noch nicht, er ist sich sicher, dass dies geschehen wird: „Innovationen brauchen manchmal lange, bis sie in der Forensik ankommen. Wenn der ‚passende‘ Ermittlungsfall eintritt, wird der Provider wahrscheinlich sagen, dass er keine Überwachung durchführen kann. Dann bieten wir unsere Lösung an.“

Gerd Dapprich | 01.03.2018