Spurensuche – Ablauf einer digitalforensischen Untersuchung

• Bodo Meseke

Never argue with people who write with digital ink and pay by the kilowatt-hour.
Historiker Don Rittner

Kiew im Herbst 2013. Ein Geldautomat in der Innenstadt der ukrainischen Hauptstadt spuckt plötzlich Geldscheine aus. Niemand hat eine Bankkarte eingesteckt oder einen Knopf gedrückt, wie Kameraaufnahmen zeigen. Einige Passanten, die offenbar das Glück haben, im richtigen Moment am richtigen Ort zu sein, greifen zu. Dieses Szenario spielt sich in der Stadt nicht nur einmal, sondern mehrfach ab. Die zu Hilfe gerufenen Experten der russischen Cybersicherheitsfirma Kaspersky Lab stellen fest, dass verwirrte Geldautomaten das geringste Problem der Bank sind. Hackern ist es gelungen, das gesamte Computernetzwerk des Instituts mit Malware zu verseuchen. Sie können nicht nur Geldautomaten steuern, sondern nahezu jede Bewegung der Bank mitverfolgen und manipulieren.
Der „Carbanak“-Hack, später so benannt nach der eingesetzten Malware, sollte sich als größter bisher da gewesener digitaler Bankraub herausstellen. Wie die digitalforensische Untersuchung ergab, war nicht nur die Bank in der Ukraine betroffen, sondern Dutzende Finanzhäuser weltweit. Die Beute soll nach Angaben von Kaspersky die Milliardengrenze erreicht haben. Ganz am Anfang der Ermittlungen aber sah es nach etwas ganz anderem aus – nämlich nach einem großen Mysterium. An dem Geldautomaten in Kiew fanden die IT-Forensiker keinerlei Hinweis auf eine Manipulation. Lediglich die Konfiguration der Datenverbindung wies eine Anomalie auf. Die Experten standen zunächst vor einem Rätsel. Erst weitere digitalforensische Untersuchungen sollten ein klares Bild ergeben.

Seiten 109 - 141