Der vor Kurzem durchgeführte Hackerangriff auf die Uni Gießen hat vielen Menschen vor Augen geführt, dass die Bedrohung durch Angreifer aus dem Internet stetig zunimmt. Um aus solchen Sicherheitsvorfällen lernen zu können, benötigt es IT-Forensiker, die den 7 W-Fragen der Kriminalistik nachgehen: Wer (Täter), was (Straftat), wann (Tatzeitpunkt), wo (Tatort), wie (Tathergang) womit (Werkzeuge) und warum (Motiv). So versuchen sie über die vom Angreifer hinterlassenen digitalen Spuren den Sicherheitsvorfall zu rekonstruieren und den Täter – im Idealfall – zu überführen.


Über Hochschulkontakte bot sich mir im Wintersemester 19/20 die Gelegenheit das Modul „Digitale Forensik“ im Masterstudiengang der Wirtschaftsinformatik an der Technischen Hochschule Mittelhessen (THM) anzubieten. Mit der Sichtweise eines Angreifers auf IT-Systeme, beschäftigte es mich als Pentester ohnehin, welche Spuren bei einem Angriff hinterlassen werden und wie diese verschleiert werden können. Dahingehend standen für mich folgende Themen auf der Agenda:

  1. Hacking
  2. Antiforensik
  3. Gutachtenerstellung
  4. Live Forensik
  5. Datenträgeranalyse
  6. Anwendungsforensik
  7. Erstellung von Schadsoftware
  8. Malwareanaylse
  9. Reverse Engineering

Getreu dem Zitat von Sunzi – „Du musst deinen Feind kennen, um ihn besiegen zu können“ -, wechselte ich je nach Vorlesungseinheit die Perspektive zwischen den beiden Kontrahenten und ließ die besprochenen Inhalte im nachstehenden Szenario von den Studierenden anwenden:

Die Dubius Payment Ltd. ist ein vor Kurzem gegründeter Zahlungsdienstleister, welches Kreditkarteninformationen in seinen Systemen speichert, verarbeitet und weiterleitet. Seit dem 14. November 2019 gegen 16:45 Uhr (Donnerstag) verzeichnet das Produktionssystem Ausfälle und ihr Intrusion Detection System meldet in regelmäßigen Abständen einen ungewöhnlich hohen Netzwerkverkehr über ihr Payment Gateway. Aus Angst vor einem Hackerangriff haben sie den Studierenden als IT-Forensiker beauftragt, den Fall zu analysieren.

In ihrer praktischen Arbeit stellten die Studierenden über das Sammeln und der Analyse von digitalen Spuren auf dem Livesystem fest, dass ein Mitarbeiter des Unternehmens in regelmäßigen Zeitabständen Kreditkartendaten aus der Datenbank abzieht. Wie in der Realität üblich, blieb es nicht bei dieser Schlussfolgerung, sondern die Studierenden mussten nun über eine anschließende Datenträgeranalyse des Arbeitscomputers vom Tatverdächtigen die Zweifelsfrage klären, ob der Nutzer das Opfer eines Hackerangriffs geworden ist oder tatsächlich die Schuld am Datendiebstahl trägt. Ihre Ergebnisse hielten sie in Form eines Gutachtens fest.

Natürlich lief im ersten Durchlauf nicht alles reibungslos. So hatte ich beispielsweise mit dem Aufbau meines geplanten Labors zu kämpfen: Damit die Studierenden lernen ihr eigenes Toolkit auf einem kompromittierten System zu verwenden, sollte das Linuxprogramm „/usr/bin/ls“ mit folgendem „Schadcode“ auf dem Livesystem ersetzt werden:

#include <iostream>

#include <cstdlib>

using namespace std;

int main() {

cout << "I've got ya! ;)" << endl;

system("sleep 1");

system("sudo reboot");

return 0;

}

Da “ls” jedoch auch von Init-Skripten aufgerufen wird, führte die Schadsoftware im Falle eines Neustarts zu einer Endlosschleife. Die Verwendung eines Aliases in Linux lieferte hier Abhilfe. Umso erfreulicher ist die positive Resonanz der Studierenden, welche sich in den Anmerkungen der Lehrveranstaltungsevaluation abzeichnet (s. Evaluationsergebnis).

“Es ist das spannendste Modul im gesamten Wirtschaftinformatik Studium, es fesselt und macht viel Spaß anzuwenden/zu lernen“

Student/in

So hat beispielsweise der vorige Kommentar mit dazu beigetragen, dass ich mir als Ziel genommen habe, einen neuen Online-Kurs für die binsec academy zu entwerfen: Das “Digital Forensics Training”, welches zukünftig Teilnehmer als Binsec Academy Certified Digital Forensic Professional (BACDFP) zertifizieren soll.