Ein Anti-Malware-Programm ist schnell installiert und der Rechner ist damit gegen Viren und Co. geschützt. Das denken viele, doch so leicht ist es dann doch nicht. Kommt es zu einem Befall, werden die verdächtigen Systeme häufig vom Netz getrennt und abgeschaltet und danach die Festplatte analysiert. Doch dieses Prozedere hilft nicht, wenn die Schadsoftware sich nur im RAM, dem Arbeitsspeicher, befindet. Denn die darauf befindlichen Daten sind nur flüchtig und verschwinden, sobald der Rechner ausgeschaltet wird.
In einem Workshop zum Thema RAM-Forensik konnten Studierende und Mitarbeiter der FH Aachen nun lernen, wie man auch in einem solchen Fall der Schadsoftware auf die Schliche kommt. Der Workshop wurde von Kriminalhauptkommissar Thomas Haberland vom Landeskriminalamt (LKA NRW) geleitet, auch unter den Teilnehmern befanden sich ein LKA-Mitarbeiter sowie ein Mitarbeiter des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Thomas Haberland hat sechs echte, aber anonymisiert nachgestellte Fälle mitgebracht. Die Teilnehmer mussten herausfinden, ob und seit wann sich Malware auf dem Rechner befindet und welche Daten diese Software möglicherweise manipuliert oder übertragen hat. "Alle wurden sofort zu Kriminalhauptkommissaren", erzählt Hans-Wilhelm Höfken vom Fachbereich Elektrotechnik und Informationstechnik. "Hacker können die Schadsoftware eben auch im RAM verstecken, unsere Aufgabe ist es dann herauszufinden, was von der Malware übertragen wird und von wem. So kann man den Tätern auf die Spur kommen", so Höfken.
Als RAM (Random Access Memory) wird der Arbeits- oder Hauptspeicher bezeichnet. Der RAM-Speicher ist, anders als die Festplatte, ein nicht-permanenter Speicher, auf dem sich die Daten unverschlüsselt befinden. "Es ist sehr wichtig die RAM-Analyse auf diesem Weg zu lernen, es gibt nur sehr wenig Literatur darüber", erläutert Höfken.
Der dreitägige Workshop ist bei allen Beteiligten gut angekommen und beweist erneut die enge und gute Zusammenarbeit zwischen dem LKA und der FH Aachen. "In diesem Jahr werden voraussichtlich zwei Abschlussarbeiten beim LKA geschrieben, wir profitieren also beide voneinander", so FH-Professor Dr. Marko Schuba, zuständig für das Lehrgebiet Datennetze, IT-Sicherheit und IT-Forensik und Mit-Organisator des Workshops.