Es ist gerade ein paar Wochen her, als der Wurm Sasser durchs Internet fegte. Der Schaden geht in Millionen Euro. Es ist also nur zu logisch, dass der Urheber des Schädlings auf der ganzen Welt wie eine Stecknadel im Heuhaufen gesucht wurde. BKA, BND, FBI, CIA und viele andere Behörden ermittelten ohne Erfolg, wähnten den Urheber in Russland. Die Ergreifung des Schuldigen gelang schließlich auf höchst konventionelle Weise, nämlich durch einen sachdienlichen Hinweis eines Mitbeteiligten. Mit einer neuen Software namens "Network Forensics" könnten die Ermittler künftig schneller zum Resultat gelangen. Forensisch im kriminalistischen Sinn bedeutet "der Aufklärung von Rechtsfällen dienend." Dementsprechend sammelt das Programm Daten, die im Nachhinein zur Aufklärung von Straftaten dienen, erklärt Georg Lauer vom Hersteller Computer Associates:
Das Programm besteht aus drei beziehungsweise vier Komponenten. Der erste Teil sind ein oder mehrere Kollektoren, die den Netzwerkverkehr mitlesen. Ihre Daten werden dann in einer zweiten Phase in eine Datenbank geschrieben. Der dritte Schritt ist der Analyseteil, der die aufgezeichneten Daten nach bestimmten Kriterien analysiert. Eine Visualisierungsschicht stellt dann schließlich die Auswertungen zwei- oder drei-dimensional die Daten dar.
eTrust Network Forensics kann allerdings weder Firewall noch Virenscanner ersetzen. Es hat keine Alarmfunktion, sondern sammelt still im Hintergrund Daten. Zum Beispiel lässt sich im Unternehmen genau kontrollieren, wer wann auf welche vertraulichen Informationen zugriffen hat. Auch lässt sich im Nachhinein der Weg eines Angriffs, wie im Beispiel Sasser, genau verfolgen. Der Administrator kann sehen, welche Maschinen auf welche Weise infiziert wurden und wie sich ein Wurm verbreitet hat. Dazu wird einfach in den gesammelten Daten nach der für diesen Wurm typischen Bitfolge gesucht. Ein Verfahren, das sich auch ermittelnde Behörden zu Nutze machen. So durchforsten die Geheimdienste der USA, Großbritannien, Australien, Kanada und Neuseeland mit dem Echelon-System weltweit Telefongespräche, Emails, Fax- und Telexsendungen automatisch nach bestimmten Schlüsselwörtern. Ein Stützpunkt von Echelon, das von der US-amerikanischen National Security Agency, NSA, aufgebaut wurde, befindet sich in Griesheim in der Nähe von Darmstadt. Das FBI überwacht mit dem System Carnivor - zu deutsch Fleischfresser - stündlich mehrere Millionen Emails. Network Forensics, seinerzeit unter dem Namen Silent Runner vom US Spezialisten für Raketensteuerungen, Raytheon entwickelt, setzt die National Security Agency der USA zu Abhörzwecken ein, denn das Programm kann noch mehr, so Lauer:
Das Produkt kann alles, was digital vorliegt, analysieren. Es benutzt dazu fortschrittliche Analysetechniken zum Datenvergleich. Einerseits kann es feststellen, ob etwa Sound- oder Bilddateien exakt gleich sind. Andererseits kann es aber auch Ähnlichkeiten zweier Dateien ermitteln.
Nicht nur im Firmen-Intranet, sondern auch im Internet kann der Spürhund so etwa Viren zum Programmierer zurückverfolgen. Auch die Absender beispielsweise von Kinderpornografie oder rechtsradikalen Schriften wären auszumachen und durch die lückenlose digitale Beweissammlung somit auch zu verurteilen. Das Problem dabei: der gesamte Internetverkehr müsste dazu von den Datenkollektoren mitgeschnitten werden, was aber sehr aufwendige Rechenzentren mit riesiger Speicherkapazität voraussetzt. Zur Geräuschsanalyse in den Ozeanen nutzt die Marine eines europäischen Landes das Programm. Durch Unterwassermikrofone aufgenommen und digitalisiert, heftet es sich so an die Spuren von Schiffen und Lebewesen. Zum Beispiel kann die Software nur aufgrund der Geräusche nicht nur Wale erkennen, sondern auch zwischen ein und demselben oder einem U Boot gleicher Bauart unterscheiden. Eine Arbeit die noch den Sonarmeistern an Bord der Schiffe obliegt.
Das Programm besteht aus drei beziehungsweise vier Komponenten. Der erste Teil sind ein oder mehrere Kollektoren, die den Netzwerkverkehr mitlesen. Ihre Daten werden dann in einer zweiten Phase in eine Datenbank geschrieben. Der dritte Schritt ist der Analyseteil, der die aufgezeichneten Daten nach bestimmten Kriterien analysiert. Eine Visualisierungsschicht stellt dann schließlich die Auswertungen zwei- oder drei-dimensional die Daten dar.
eTrust Network Forensics kann allerdings weder Firewall noch Virenscanner ersetzen. Es hat keine Alarmfunktion, sondern sammelt still im Hintergrund Daten. Zum Beispiel lässt sich im Unternehmen genau kontrollieren, wer wann auf welche vertraulichen Informationen zugriffen hat. Auch lässt sich im Nachhinein der Weg eines Angriffs, wie im Beispiel Sasser, genau verfolgen. Der Administrator kann sehen, welche Maschinen auf welche Weise infiziert wurden und wie sich ein Wurm verbreitet hat. Dazu wird einfach in den gesammelten Daten nach der für diesen Wurm typischen Bitfolge gesucht. Ein Verfahren, das sich auch ermittelnde Behörden zu Nutze machen. So durchforsten die Geheimdienste der USA, Großbritannien, Australien, Kanada und Neuseeland mit dem Echelon-System weltweit Telefongespräche, Emails, Fax- und Telexsendungen automatisch nach bestimmten Schlüsselwörtern. Ein Stützpunkt von Echelon, das von der US-amerikanischen National Security Agency, NSA, aufgebaut wurde, befindet sich in Griesheim in der Nähe von Darmstadt. Das FBI überwacht mit dem System Carnivor - zu deutsch Fleischfresser - stündlich mehrere Millionen Emails. Network Forensics, seinerzeit unter dem Namen Silent Runner vom US Spezialisten für Raketensteuerungen, Raytheon entwickelt, setzt die National Security Agency der USA zu Abhörzwecken ein, denn das Programm kann noch mehr, so Lauer:
Das Produkt kann alles, was digital vorliegt, analysieren. Es benutzt dazu fortschrittliche Analysetechniken zum Datenvergleich. Einerseits kann es feststellen, ob etwa Sound- oder Bilddateien exakt gleich sind. Andererseits kann es aber auch Ähnlichkeiten zweier Dateien ermitteln.
Nicht nur im Firmen-Intranet, sondern auch im Internet kann der Spürhund so etwa Viren zum Programmierer zurückverfolgen. Auch die Absender beispielsweise von Kinderpornografie oder rechtsradikalen Schriften wären auszumachen und durch die lückenlose digitale Beweissammlung somit auch zu verurteilen. Das Problem dabei: der gesamte Internetverkehr müsste dazu von den Datenkollektoren mitgeschnitten werden, was aber sehr aufwendige Rechenzentren mit riesiger Speicherkapazität voraussetzt. Zur Geräuschsanalyse in den Ozeanen nutzt die Marine eines europäischen Landes das Programm. Durch Unterwassermikrofone aufgenommen und digitalisiert, heftet es sich so an die Spuren von Schiffen und Lebewesen. Zum Beispiel kann die Software nur aufgrund der Geräusche nicht nur Wale erkennen, sondern auch zwischen ein und demselben oder einem U Boot gleicher Bauart unterscheiden. Eine Arbeit die noch den Sonarmeistern an Bord der Schiffe obliegt.