Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE
Zweiter internationaler Best Paper Award für das Team »Digitale Forensik« des Fraunhofer FKIE
Zum zweiten Mal in Folge haben Wissenschaftler des Fraunhofer-Instituts für Kommunikation, Informationsverarbeitung und Ergonomie FKIE den Best Paper Award des »Digital Forensic Research Workshop (DFRWS)« USA, einer der weltweit führenden Konferenzen für digitale Forensik, gewonnen. Die Cyber-Sicherheitsexperten Jan-Niclas Hilgert und Martin Lambertz knüpften damit auch thematisch an ihren Erfolg aus dem Vorjahr an: Ihre wissenschaftliche Einreichung »Forensic analysis of multiple device BTRFS configurations using the Sleuth Kit« ist die Fortführung ihres Gewinnerbeitrags aus 2017. Sie ergänzt eines der bislang verbreitetsten Standardmodelle zur forensischen Analyse um das neuere Dateisystem BTRFS.
Das Copy-On-Write-Dateisystem BTRFS ist ein zunächst für Linux und seit 2016 auch plattformübergreifend für Windows und ReactOS entwickeltes Dateisystem der Oracle Corporation, das als frei verfügbare Software erhältlich und verbreitet ist. »Mit der Integration von BTRFS in das ›Sleuth Kit‹ haben wir nicht nur die Richtigkeit unseres im vergangenen Jahr vorgestellten Modells bestätigt, sondern gleichzeitig auch eine weitere Lücke für forensische Analysen geschlossen«, erläutert FKIE-Wissenschaftler Jan-Niclas Hilgert den wissenschaftlichen Erfolg der Forschungsarbeit. Zudem gelang es ihnen, Daten eines BTRFS-Dateisystems wiederherzustellen, das sich über mehrere Festplatten erstreckte, auf die sie nur teilweise Zugriff hatten. Dies ist besonders wertvoll bei Untersuchungen, bei denen Festplatten fehlen oder zerstört wurden.
Dennoch hätten er und sein Kollege Martin Lambertz nicht damit gerechnet, von der hochkarätigen Jury, die sich aus Vertretern international renommierter Universitäten und Sicherheitsexperten der NSA, Facebook und Google zusammensetzte, erneut mit dem Preis für den besten Konferenzbeitrag ausgezeichnet zu werden. »Wir waren schon sehr überrascht«, gibt Lambertz stolz zu.
Dabei hatte sich die Jury bereits im vergangenen Jahr von dem Ansatz der Informatiker begeistert gezeigt, ein vorhandenes Standardmodell der Forensik zu nehmen und es um eine neue Klasse von Dateisystemen zu erweitern. Das betrachtete Modell wird in dem Buch »File System Forensic Analysis« des US-Sicherheitsexperten Brian Carrier beschrieben. Es stammt bereits aus dem Jahr 2005, bietet aber bis heute die umfassendste und detaillierteste Übersicht über verbreitet genutzte Dateisysteme. Es wird ergänzt durch eine Tool-Sammlung zur forensischen Analyse, das sogenannte »Sleuth Kit«. Das Problem dieses Modells: Es wurde nie aktualisiert und war somit nicht auf neuere Dateisysteme anwendbar. Mit dem eingereichten Forschungsbeitrag stellten Hilgert und Lambertz jetzt die Gültigkeit ihrer im vergangenen Jahr vorgestellten Erweiterung des Modells für ein weiteres Dateisystem unter Beweis.
Und nicht nur den Best Paper Award brachten die Wissenschaftler Mitte Juli aus Providence mit zurück. Ihre Arbeit fand sowohl bei anwesenden Herstellern von forensischer Software als auch bei Brian Carrier Anklang, wodurch sich spannende Kooperationsmöglichkeiten ergeben. Lambertz: »Die gemeinsame Idee ist, die Dinge, die sich überschneiden, zusammenzubringen und in die offizielle Implementierung des ›Sleuth Kits‹ zu bringen.«
Über den DFRWS:
Der »Digital Forensic Research Workshop« (DFRWS) ist eine seit 2001 jährlich in den USA stattfindende Konferenz. Ihr Ziel ist es, Wissenschaftler, Entwickler, Anwender, Industrie, Strafverfolgungsorgane und Militär aus der ganzen Welt zusammenzubringen, um sich auszutauschen und sich gemeinsam für die aktuellen und bevorstehenden Herausforderungen der digitalen Forensik zu rüsten. Aktuelle Forschungsansätze werden dazu vorgestellt und diskutiert. Vor dem Hintergrund der weltweit zunehmenden Cyberkriminalität wurde im Jahr 2015 zusätzlich eine europäische Ausgabe der Veranstaltung etabliert.