Antiforensik: Wie die Arbeit der Forensiker behindert wird

Wilfried Honekamp

Antiforensik ist jeder Ansatz, die Verfügbarkeit oder den Nutzen von Beweisen für die IT-forensische Untersuchung zu reduzieren. Anhand von Fallbeispielen werden in diesem Vortrag verschiedene Antiforensiktechniken vorgestellt und kategorisiert. Dabei können ganz unterschiedliche Vorgehensweisen beobachtet werden. Von der Verschleierung des Quellcodes von Schadsoftware über den Schutz von auszuwertenden Systemen bis zur Manipulation von Auswerteumgebungen und -tools. Darüber hinaus führen fachliche und menschliche Fehler bei der forensischen Untersuchung und technische Mängel in den verwendeten Tools zu weiteren Unzulänglichkeiten. Hier spricht man von Self-Antiforensik. Durch Anti-Forensik kann die forensische Auswertung erheblich erschwert, verzögert und sogar komplett verhindert werden. Abschließend werden Maßnahmen gegen Antiforensik diskutiert.