Digitale Forensik bei militärischen Cybervorfällen: Untersuchung und Reaktion

Digitale Forensik im militärischen Kontext — das systematische Sammeln, Sichern und Analysieren digitaler Beweise nach einem Cybervorfall — dient zwei Zielen, die nicht immer übereinstimmen: die sofortige Wiederherstellung des Betriebs zu unterstützen und Beweise zu sammeln, die für Zuordnung und potenziell rechtliche oder militärische Konsequenzen ausreichen. Dies ist eine grundlegende operative Spannung, die militärische Incident-Response-Organisationen vor dem Auftreten eines Vorfalls lösen müssen, nicht im Eifer der Krise.

Kommerzielle Forensik ist für juristische Beweise und Strafverfolgung optimiert. Militärische Cyber-Forensik ist primär für das Verstehen des Angriffs und die Unterstützung operativer Entscheidungen optimiert — Akteurs-Attribution, TTP-Analyse zur Identifizierung anderer potenziell kompromittierter Systeme, Wiederherstellung der operativen Fähigkeit — bei gleichzeitiger Wahrung der Handlungsfreiheit für rechtliche oder operative Konsequenzen, wenn diese Entscheidung später getroffen wird.

Speicheranalyse: Volatility und Live-Forensik-Techniken

Volatility ist der De-facto-Standard für Open-Source-Speicherforensik-Analyse. Es analysiert RAM-Dumps (erfasst von Live-Systemen mit Tools wie winpmem, LiME oder VMware-Snapshots), um forensisch wertvolle Artefakte wiederherzustellen: laufende Prozesse und ihre Eltern-Kind-Beziehungen, etablierte Netzwerkverbindungen, geladene Kernel-Module, entschlüsselte Strings aus verschlüsselten Payloads, Registry-Schlüssel und Datei-Handles, die nur im Speicher zugänglich sind, nicht auf der Festplatte.

Für Windows-Systeme bieten Volatility-Plugins detaillierte Analyse: pslist/pstree zur Prozess-Enumeration mit Eltern-Kind-Hierarchien, netscan für Netzwerkverbindungen (einschließlich TCP-Verbindungen zur C2-Infrastruktur), malfind zur Erkennung von bösartiger Speicherseiten-Injektion in legitime Prozesse, dlllist zur Auflistung von DLLs, die von jedem Prozess geladen werden. Für Linux-Systeme bieten linux_bash- und linux_netstat-Plugins ähnliche Fähigkeiten.

Die Dauer der Speichererfassung ist eine kritische operative Einschränkung. Ein Speicher-Dump von einem System mit 32 GB RAM dauert erhebliche Zeit abhängig von der Speichergeschwindigkeit. Für Live-Systeme in zeitkritischen Umgebungen kann die Taktik der "Live-Forensik" — Erfassung nur kritischer Speicher-Artefakte statt eines vollständigen Dumps — operativ vorteilhafter sein, auch wenn sie forensisch weniger vollständig ist.

Beweissicherung und Beweismittelkette

Die Beweismittelkette (Chain of Custody) — ein dokumentierter Nachweis jeder Berührung eines digitalen Beweismittels, wer und wann — ist notwendig, damit forensische Beweise einer Überprüfung im rechtlichen oder militärjuristischen Kontext standhalten. Für militärische Cyber-Incident-Ermittler bedeutet dies: Dokumentation, wann und wie Beweise erfasst wurden (einschließlich Hash-Werte zur Integritätsverifizierung), Aufzeichnung aller an den Beweisen durchgeführten Analysen, Aufbewahrung der Originalbeweise (verschlüsselter Festplatten und Speicher-Dumps) in zugriffsbeschränktem und unveränderlichem Speicher, Durchführung von Analysen nur auf verifizierten Kopien.

SHA-256-Hashing jeder Beweisdatei bei der Erfassung sowie vor und nach jeder Analysesitzung liefert den mathematischen Nachweis, dass der Beweis nicht verändert wurde. Forensik-Tools wie dd und dcfldd automatisieren diesen Prozess. Die Beweisaufbewahrung sollte sowohl primären als auch Backup-Speicher mit Zugriffsprotokoll umfassen.

Netzwerk-Forensik: Zeek und Verkehrsrekonstruktion

Netzwerkbeweise — Verkehrsaufzeichnungen, DNS-Protokolle, NetFlow — liefern eine Chronologie der Vorfallsereignisse, die von einem einzelnen kompromittierten Host nicht verfügbar sein könnte. Zeek (früher Bro) ist der De-facto-Standard für Netzwerkanalyse: Es generiert strukturierte Protokolle (conn.log, dns.log, http.log, ssl.log, files.log) aus rohem Datenverkehr, der über konfiguriertes Port-Mirroring oder passive Abzweigungen erfasst wurde. Diese Protokolle können aufgrund gepufferter vollständiger Paketerfassung (ein 30–90-tägiges Full-Packet-Fenster wird in einem gut ausgestatteten SOC aufbewahrt) retrospektiv untersucht werden.

Die Verkehrsrekonstruktion aus vollständigen Paketen bietet die höchste forensische Auflösung: Wireshark und tcpdump können den tatsächlichen Inhalt von Sitzungen aus erfasstem Paketverkehr wiederherstellen, was Ermittlern ermöglicht, exfiltrierte Inhalte zu rekonstruieren, genaue in SSH-Sitzungen ausgegebene Befehle zu sehen oder Inhalte verdächtiger Downloads zu überprüfen.

MITRE ATT&CK-Mapping: Strukturierung forensischer Befunde

Das Mapping forensischer Befunde auf die MITRE ATT&CK-Matrix — eine hierarchische Taxonomie von TTP (Tactics, Techniques, Procedures) bei Cyberbedrohungen — bietet eine strukturierte Methode, beobachtetes Angreiferverhalten zu kommunizieren. Anstatt roher technischer Details liefert ATT&CK-Mapping eine normalisierte Beschreibung, die von Analysten in verschiedenen Organisationen und Informationsaustauschplattformen verstanden wird.

ATT&CK Navigator ermöglicht es Ermittlern, die gesamte Angriffskette als Heatmap der ATT&CK-Matrix zu visualisieren und die vollständige TTP-Signatur des Angriffs zu enthüllen. Für militärische Organisationen ist diese TTP-Signatur das primäre analytische Ergebnis der forensischen Untersuchung: Sie informiert Threat-Hunting-Aufgaben in anderen potenziell kompromittierten Systemen, Erkennungsverbesserungen durch SIEM-Regelanpassung und den Austausch von Attributionsdaten mit alliierten Organisationen über standardisierte Intelligence-Austauschformate (STIX/TAXII). Im BSI/BMVg-Kontext bildet dies die Grundlage für die Zusammenarbeit im Rahmen der Cyber-Abwehrgruppen.