Eine wichtige Aufgabe nach einem Cybervorfall in Unternehmen ist, neben der unverzüglichen Bereitstellung alternativer Systeme zur Sicherung des Geschäftsbetriebs, die Aufarbeitung des Vorfalls und die Analyse betroffener Systeme. Neben unzähligen kostenpflichtigen Werkzeugen für die Analyse und Rekonstruktion von Logs und Daten gibt es auch sehr gute, frei verfügbare und quelloffene Werkzeuge wie die Tools der Sleuthkit-Sammlung und die zugehörige grafische Benutzeroberfläche Autopsy [1].

Bevor Sie sich an die Analyse der Festplatteninhalte machen, sollten Sie zunächst ein komplettes Abbild der Festplatte anlegen. Zwar können Sie mit Autopsy grundsätzlich auch direkt im laufenden System arbeiten oder nur einzelne Ordner analysieren, um aber auf Nummer sicher zu gehen und nicht durch versehentliche Schreibzugriffe auf die Festplatte wichtige Daten zu zerstören, schließen Sie die Festplatte zunächst an ein weiteres System an und erstellen etwa unter Linux mit dd ein entsprechendes Abbild.

Ob Sie anschließend mit der Festplatte oder dem Abbild weiterarbeiten, hängt auch ein wenig von den Umständen ab. Autopsy selbst macht da keine Unterschiede und unterstützt neben klassischen dd-Images auch solche im "Expert Witness Compression Format" (EWF), einem proprietären Format der EnCase-Software [2] des Softwareherstellers Opentext, oder Abbilder von virtuellen Maschinen in den Dateiformaten VMDK und VHD.

Installieren Sie nun Autopsy. Wenn Sie unter Windows arbeiten, können Sie die aktuelle Version mit allen Abhängigkeiten direkt von der Sleuthkit-Webseite herunterladen und mit dem enthaltenen Wizard installieren. Unter Linux installieren Sie zunächst Sleuthkit mit dem Paketmanager der von Ihnen eingesetzten Distribution. Anschließend wählen Sie auf der Webseite den Download der Autopsy-ZIP-Datei. Nach dem Entpacken starten Sie im "bin/"-Ordner das Programm "autopsy". Erhalten Sie die Meldung, dass das Verzeichnis des Java-JDKs nicht gefunden wurde, passen Sie die Datei "autopsy.conf" im Unterordner "etc/" an. Entfernen Sie die Kommentierung der Zuweisung des Verzeichnisses an die Variable "jdkhome". Anschließend können Sie Autopsy ohne Probleme starten.

Nach dem Start von Autopsy erstellen Sie mit der Schaltfläche "New Case" einen neuen Bearbeitungsfall. Wählen Sie zunächst einen Namen und das Arbeitsverzeichnis und geben Sie anschließend Ihre Kontaktdaten ein. Im nächsten Schritt wählen Sie die erste Datenquelle aus. Möchten Sie unter Windows auf einer lokal eingebundenen Festplatte arbeiten, ist es nötig, Autopsy mit Administratorrechten zu starten.

Holen Sie dies nun nach, erstellen Sie wie gehabt einen neuen Bearbeitungsfall, wählen Sie anschließend "Local Disk" als Datenquelle und klicken Sie auf "weiter". Haben Sie eine aktive Festplatte ausgewählt, besteht an dieser Stelle noch einmal die Möglichkeit, ein Abbild der Festplatte in Form einer VHD-Datei von Autopsy erzeugen zu lassen. Nach dem ersten Einlesen der Daten arbeitet das Tool dann mit diesem Abbild und Sie können die zu untersuchende Festplatte wieder aus dem System entfernen und sicher aufbewahren.

Im nächsten Schritt wählen Sie basierend auf den verfügbaren Modulen die Dateitypen aus, die Sie für die Analyse berücksichtigen möchten. Anschließend starten Sie den Analyselauf. Dieser dauert einige Zeit, stellen Sie sich Getränke und Snacks bereit und warten Sie, bis Autopsy Ihnen die Inhalte der Festplatte beziehungsweise des Images anzeigt. Bereits während der Suche können Sie im Menü auf der linken Seite beobachten, wie Daten in den unterschiedlichen Kategorien gefunden werden. Wählen Sie etwa Web-Cookies aus, sehen Sie wie im Bild dargestellt eine Liste gefundener Cookies für die unterschiedlichen installierten Browser.

Drücken Sie auf den Button "Timeline", erhalten Sie eine Übersicht der Meldungen entsprechend der Parametrisierung, die Sie vornehmen können. Bei älteren Systemen mit vielen Einträgen in der Systemprotokollierung dauert das Erstellen der zeitlichen Darstellung der Events ein wenig. Im oberen Bereich des Ergebnisfensters können Sie die Anzeige ändern und so neben der Anzahl an Events zusätzliche Details zu diesen anzeigen lassen. Im linken Bereich lässt sich unter "Filters" die Menge der angezeigten Events reduzieren. Sie können die Zeitleiste bereits während der Analyse des Datenträgers starten. Autopsy weist Sie dann bei Bedarf darauf hin, wenn neue Daten gefunden wurden, und bietet Ihnen an, die Anzeige zu aktualisieren.

Sogenannte Indicators of Compromise (IoCs), also Hinweise auf die Kompromittierung eines Computersystems, lassen sich etwa in STIX [3] modellieren und austauschen. Analysten erstellen auf Basis der von ihnen analysierten Schadsoftware STIX-Dokumente und beschreiben, welche Hinweise es auf eine Kompromittierung gibt. Erhalten Sie von Partnern oder Dienstleistern STIX-Dokumente, etwa über Plattformen wie MISP [4], können Sie diese mit Autopsy unmittelbar testen. Klicken Sie dafür auf den Button "Generate Report" und wählen zunächst das STIX-Reporting-Modul aus und anschließend das STIX-Dokument, indem Sie auf "Choose file" klicken. Hier können Sie auch einen ganzen Ordner mit STIX-Dokumenten auswählen, Autopsy wird dann alle enthaltenen Dateien prüfen und beim Reporting berücksichtigen. Nach der Analyse sehen Sie gefundene Elemente im Menü unter "Interesting Items".

Die Funktionalität von Autopsy zur nachträglichen Analyse erlaubt auch die Wiederherstellung gelöschter Dateien. Insbesondere im Bereich der Bild- und Videorekonstruktion leistet Autopsy wertvolle Dienste. So können Sie auch Bildfragmente wieder zusammensetzen – selbst wenn Teile des Bildes bereits überschrieben wurden. Dafür durchsuchen die Werkzeuge Block für Block des Datenträgers nach möglichen zusammenhängenden Bilddaten, damit Sie auch versehentlich gelöschte Bilder von SD-Karten aus Digitalkameras oder von Smartphones retten können.

Die Funktionalität erweitern Sie über zusätzliche Module. Für Android-Geräte erlaubt das "Android Analyzer Module" auch die Analyse von Smartphone-Speichermedien. Das Modul ergänzt das Ergebnismenü um spezifische Einträge wie Anrufprotokolle, Kontakte oder Nachrichten. So können Sie auch Konversationen und Kontakte sichern.

Das Forensikwerkzeug Autopsy erlaubt Ihnen nach einem Systemausfall eine erste Analyse der auf dem Datenträger noch vorhandenen Informationen und Spuren eines möglichen Angriffs. Solange Sie keine eigene Abteilung haben, die entsprechende Ressourcen für derartige Analysen hat, sollten Sie bei kritischen Vorfällen jedoch auf externe Spezialisten zurückgreifen.