Neue Ansätze für die Forensik in Cloud-Umgebungen

Eigentlich liegt auf der Hand, dass computerforensische Untersuchungen auch oder gerade in einer Cloud nötig sind, um das Risiko eines Angriffs zutreffend zu beurteilen und sich gegen Angriffe wirksam wappnen zu können. Doch die Wissenschaft hat das Problem der Forensik in Cloud-Umgebungen bisher vernachlässigt. Interessanterweise hatten einige Autoren bereits 2009 darauf hingewiesen [1], und weitere Publikationen [2,3] bestätigten das. Trotzdem wird das Thema immer noch stiefmütterlich behandelt, und es gibt nach wie vor gerade im Bereich des Incident Handlings in Cloud-Umgebungen noch jede Menge Arbeit [8].

Gleichzeitig investieren viele Firmen bereits massiv in neue Cloud-Umgebungen und die Umstellung auf Dienste in der Cloud. Sicherheits- und Datenschutz werden zwar zunehmend diskutiert, stehen aber oftmals hinter den scheinbaren Vorteilen für den Anwender zurück.

Ein altes Problem der Forensik ist die Tatsache, dass Beweisspuren im Allgemeinen fragil und flüchtig sind. Gerade bei der Erfassung von neuen Beweisen muss man deshalb sehr darauf achten, potenzielle Beweise nicht zu verändern oder gar zu zerstören. Diese Problematik ist nicht nur auf die digitale Welt beschränkt, sondern gilt etwa auch für die Gerichtsmedizin. Der Vorteil der digitalen Beweiserfassung war bisher, dass der Untersucher in vielen Szenarien vor der Analyse der Beweise eine 1:1-Kopie des Datenträgers erstellen konnte. Dadurch konnte er wirksam verhindern, dass die Analyse potenzielle Beweise zerstörte. In Cloud-Umgebungen ist dies in aller Regel aber nicht mehr so einfach.

Abhängig vom verwendeten Service-Modell (SaaS, PaaS oder IaaS, für die Details siehe [4]) und der Zusammenarbeit mit dem Cloud Service Provider (CSP) kann der Anwender zwar auf potenzielle