Nils Wiesenburg

• Verschlüsselungsprogramme können auf jedem Computersystem installiert werden oder sind bereits im Betriebssystem enthalten. Durch Verschlüsselung schützen Benutzer ihre Daten vor unberechtigtem Zugriff. In einer IT-forensischen Untersuchung bildet dieser Umstand jedoch ein Hindernis, da inkriminierte Daten ohne die Zugangsdaten nicht erfasst werden können. Das Ziel dieser Masterthesis ist die Entwicklung eines Leitfadens für die IT-forensische Analyse von verschlüsselten Datenträgern. Er beschreibt, wie Verschlüsselung erkannt werden kann, auf welche Art und Weise Zugang zu den Daten erlangt wird und wie diese forensisch gesichert werden können. Um diese Schritte zu realisieren, wurden verschiedene Datenträger mit BitLocker und VeraCrypt verschlüsselt. Die davon angefertigten forensischen Abbilder wurden hinsichtlich Hinweise auf die Verschlüsselung selbst, verwendete Zugangsmechanismen und zugehörige Zugangsdaten analysiert. Um an die Zugangsdaten zu gelangen, wurden außerdem Ruhezustandsdateien analysiert und Passwort-Cracker eingesetzt. Anschließend wurden die Abbilder als Wechseldatenträger eingehangen oder als virtuelle Maschinen gestartet, um die Verschlüsselung zu entfernen und die Daten forensisch zu sichern. Die Durchführung der einzelnen Methoden hat ergeben, dass eine Verschlüsselung nicht immer eindeutig detektierbar ist. Die Zugangsmechanismen von BitLocker können immer ermittelt werden, bei VeraCrypt standardmäßig nicht. Zudem zeigt sich, dass die Ruhezustandsdateien keine sichere Quelle für Verschlüsselungsschlüssel sind. Zur Entschlüsselung der Daten eignen sich auch die Verschlüsselungsprogramme selbst, da diese immer alle Funktionen unterstützten. Ein allgemeingültiger Leitfaden für verschlüsselte Datenträger kann nicht konstruiert werden, da einige Methoden sehr von den Verschlüsselungsprogrammen abhängen.
• Encryption programs can be installed on any computer system or are already included in the operating system. By encryption, users protect their data from unwarranted access. However, in an IT-forensic investigation, this is an obstacle as incriminating data cannot be captured without the right credentials. The aim of this master’s thesis is to develop a guide for the IT-forensic Analysis of encrypted data. It describes how encryption can be detected, how access to the data can be gained and how create a forensic image from the data. To realize these steps, various disks were encrypted with BitLocker and VeraCrypt. The forensic images produced were analysed for clues to the encryption itself, the access mechanisms used and the associated credentials. In order to determine the credentials, hibernation files were analysed and password crackers were used. Subsequently, the images were mounted as removable disks or started as virtual machines to remove the encryption and forensically secure the data. The execution of the individual methods revealed that encryption is not always definitely detectable. BitLocker’s access mechanisms can always be safely determined, but VeraCrypt’s are not. Hibernation files are however not a secure source for encryption keys. The encryption programs themselves are suitable for decrypting the data, as they always support all functions. A general guide for encrypted disks cannot be constructed because some methods depend very much on the encryption programs.