Trufflepig

Eine Analyseplattform zur Unterstützung von IT-Forensik

das Bild zeigt die drei Gründer von Trufflepig
Das Gründerteam im Trufflepig entwickelt eine Analyseplattform, die IT-Forensiker bei der Arbeitsspeicherauswertung unterstützen soll. © Trufflepig Forensics

Motivation

Aufgrund der schnell zunehmenden Verbreitung von Geräten wie Smartphones, Tablets und Computern und deren steigender Leistungsfähigkeit gewinnen IT-forensische Auswertungen immer mehr an Bedeutung. Viele wichtige Erkenntnisse in einer IT-forensischen Untersuchung können über die Auswertung des Arbeitsspeichers von Geräten gewonnen werden. Die Arbeitsspeicheranalyse wird oft in Unternehmen im Rahmen der sogenannten „Incident Response“ genutzt, zum Beispiel bei der Identifikation und Untersuchung von Schadsoftware. Außerdem hilft sie Strafverfolgungsbehörden dabei, Informationen und Beweise zu sichern. Beispielsweise können mithilfe von Daten aus dem Arbeitsspeicher verschlüsselte Festplatten von Verdächtigen entschlüsselt werden.
Arbeitsspeicheranalysen sind allerdings sehr aufwendig, denn es gibt eine Vielzahl technischer Systeme und Konfigurationen, die verschiedenste Werkzeuge und einen hohen manuellen Arbeitsaufwand erfordern. Digitale Forensiker müssen von der Erstellung des Arbeitsspeicherabbilds über die Auswertung der Daten bis hin zur Weiterverarbeitung der Ergebnisse komplexe Werkzeuge einsetzen, die für sich genommen bereits sehr fortgeschrittene Systemkenntnisse voraussetzen. Das alles verlangsamt die Analyse nicht nur, sondern macht sie auch fehleranfällig.

Ziele und Vorgehen

Im Projekt „Eine umfassende Arbeitsspeicheranalyse-Plattform zur Unterstützung von Incident Response und Strafverfolgung (Trufflepig)“ wird ein neuartiges Werkzeug zur Arbeitsspeicheranalyse für IT-Forensiker entwickelt, das sowohl die Komplexität als auch die Anzahl der notwendigen Arbeitsschritte im Zusammenhang mit der Auswertung des Arbeitsspeichers erheblich reduzieren soll. Die Plattform vereint eine Vielzahl von Analysemöglichkeiten, mit deren Hilfe die Speicher von Computern nach relevanten Daten und Datenstrukturen durchsucht werden können. Die Plattform ermöglicht es zudem, einen Teil der Aufgaben zu automatisieren. Durch einen innovativen Ansatz können dabei ohne zusätzliche Informationen über das zu analysierende Betriebssystem vollautomatisierte Analysen des Arbeitsspeichers vorgenommen werden. Die Lösung soll eine zuverlässige Auswertung des Speicherabbilds von Geräten und eine gerichtsfeste Protokollierung ermöglichen. Im Vorhaben wird die Analyseplattform mit ersten Anwendern, wie beispielsweise IT-Sicherheitsexpertinnen und -experten in Unternehmen, erprobt und durch deren Feedback kontinuierlich optimiert und weiterentwickelt.

Innovationen und Perspektiven

Das Vorhaben leistet einen Beitrag zur Sicherheit digitaler Informationssysteme, indem es den Zugang zu Informationen über fehlerhafte Software oder Schadsoftware im Arbeitsspeicher verschiedenster Geräte vereinfacht. Dies erleichtert nicht nur die Aufklärung von Straftaten, sondern ermöglicht zudem, Störungen oder Fehlfunktionen von IT-Systemen zu analysieren und aufzuklären. Die Analyseplattform ist in vielen Branchen einsetzbar, von der Medizin über das Finanzwesen und produzierende Gewerbe bis hin zu kritischen Infrastrukturen.