Tobias Scheible Cyber Security & IT-Forensik Dozent
Buch Hacking & Security

Durchführung von IT-Forensik Untersuchungen

Wie eine IT-Forensik Untersuchung durchgeführt wird, habe ich in meinem IT-Forensik-Kapitel beschrieben, dass in der neuesten Auflage des Fachbuches „Hacking & Security“ veröffentlicht wurde. Dabei ist ein methodisches Vorgehen bei der Analyse von Vorfällen unerlässlich.

Dienstag, 10. Januar 2023
0 Kommentare

Die Neuauflage des umfassenden Handbuches im Bereich IT-Sicherheit ist im Dezember 2022 erschienen. In der Hacking & Security Artikelserie stelle ich mein Kapitel über IT-Forensik vor. Im ersten Blog-Post Neue Auflage des Buches „Hacking & Security“ gab ich einen Überblick über das Fachbuch. Im nächsten Artikel Über das Buch „Hacking & Security“ ging es um den Aufbau des über 1200 Seiten starken Buches und die anderen Mitautoren. Der dritte Beitrag Zielsetzung und Einsatzgebiete der IT-Forensik beschäftigt sich mit der Anwendung der Methoden der IT-Forensik. Im letzten Teil der Artikelserie geht es nun um die Durchführung von IT-Forensik Untersuchungen.

Methodische Analyse von Vorfällen

Um die Akzeptanz einer forensischen Untersuchung auch von Dritten zu gewährleisten, muss diese nach allgemeingültigen Standards durchgeführt werden. Sie folgen den Grundsätzen des wissenschaftlichen Arbeitens. Im Folgenden einige wichtige Punkte:

  • Nachvollziehbarkeit: Alle Schritte müssen so dokumentiert werden, damit sie von Dritten nachvollzogen werden können.
  • Wiederholbarkeit: Alle Informationen müssen vorhanden sein, damit das Ergebnis jederzeit von einer beliebigen Person reproduziert werden kann.
  • Integrität: Die erhobenen Informationen und daraus gewonnene Erkenntnisse müssen gegen eine spätere Änderung abgesichert werden.
  • Vollständigkeit: Es dürfen keine Erkenntnisse weggelassen werden, auch wenn sie für die Zielsetzung als nicht relevant eingestuft wurden.

Die nachfolgende Grafik gibt einen Überblick über die Handlungsfelder der IT-Forensik:

Überblick über das Themenfeld IT-Forensik
Überblick über das Themenfeld IT-Forensik
Überblick über das Themenfeld IT-Forensik Überblick über das Themenfeld IT-Forensik

Post-Mortem-Untersuchung

Bei einer typischen IT-Forensik-Untersuchung wird eine forensische Kopie eines Speichers erstellt und diese anschließend untersucht. Als Erstes wird ein Überblick erstellt, dazu gehört etwa welche Benutzer existieren und welche Anwendungen installiert sind.

Anschließend wird die Nutzung des Systems für einen relevanten Zeitraum rekonstruiert. So wird anhand von Zeitstempeln der Dateien rekonstruiert, welche Dateien wann geöffnet oder zum letzten Mal geändert wurden. Anschließend werden die Daten von Anwendungen ausgewertet, um etwa das Surfverhalten zu rekonstruieren.

Wichtig dabei ist, dass bei einer forensischen Untersuchung nur das System analysiert wird und zum Beispiel nachgewiesen werden kann, dass mit einem bestimmten Account eine spezifische Aktion durchgeführt wurde. Es kann aber keine Zuordnung zu einer Person erfolgen, da es meist keinen Nachweis gibt, dass diese Person auch den Account zu diesem Zeitpunkt genutzt hat. Es könnte auch jemand anderes die Zugangsdaten ausgespäht und die Aktionen durchgeführt haben.

Live-Analyse

Neben der Untersuchung eines forensischen Abbildes ist auch die Untersuchung eines laufenden Systems sehr interessant. Da es zum Beispiel auch Schadsoftware gibt, die sich nur im Arbeitsspeicher befindet und nach dem Ausschalten eines Rechners nicht mehr analysiert werden kann.

Grundsätzlich lassen sich im Abbild des Arbeitsspeichers die aktiven Prozesse, geöffnete Netzwerkverbindungen und Zugriffe auf Dateien erkennen. Aber zum Teil können auch eingegebene Passwörter, wie das Passwort zum Öffnen eins Passwortspeichers, aus dem Speicher extrahiert werden.

Bei einer Live-Analyse muss dabei sehr strukturiert vorgegangen werden, da jede Aktion das Zielsystem verändert. Diese Änderungen können nicht vermieden werden, daher müssen sie minimal gehalten und genau protokolliert werden.

Zusammenfassung

Die IT-Forensik ist ein spannendes Themenfeld, bei dem zum einen viel Wissen aus verschiedenen Bereichen benötigt wird, zum anderen gibt es aber auch ständig Neues zu entdecken.

Es war für mich eine große Freude, an diesem bereits sehr bekannten Fachbuch mitzuschreiben und ein neues Kapitel beizusteuern. Für das IT-Forensik-Kapitel habe ich „nur“ Platz für 30 Seiten vom Verlag bekommen, da das Buch zwar größer werden durfte, aber doch nicht allzu groß. Um in diesem Rahmen das Thema IT-Forensik zu schreiben, habe ich mich darauf konzentriert, den Charakter von forensischen Untersuchungen zu vermitteln, ohne dass allzu viel Theorie benötigt wird. So habe ich auch einige Aspekte wie die juristische Sichtweise entsprechend auch ausgeklammert. Für einen möglichst großen Nutzen für die Leserinnen und Leser habe ich das Kapitel wie einen Leitfaden für die Durchführung einer Untersuchung geschrieben.

Ich wünsche Ihnen viel Spaß beim Stöbern und Lesen des Buches Hacking & Security.

Artikelserie Hacking & Security

Cover des Buches Hacking & Security Cover des Buches Hacking & Security Buch Hacking & Security – Rheinwerk Computing

Dieser Blog-Artikel ist Teil der Hacking & Security Artikelserie, in der ich einen Einblick in mein Kapitel „IT-Forensik“ gebe, das im Fachbuch „Hacking & Security“ erschienen ist. In diesem Kapitel gebe ich einen fokussierten Einblick, wann forensische Untersuchungen zum Einsatz kommen und wie diese ablaufen.


Direkt zum Buch (Rheinwerk Verlag) | Download Leseprobe (PDF-Datei)

Die Artikelserie „Hacking & Security“ umfasst die folgenden Beiträge:

Über Tobias Scheible

Tobias Scheible

Hallo, mein Name ist Tobias Scheible. Ich bin begeisterter Informatiker und Sicherheitsforscher mit den Schwerpunkten Cyber Security und IT-Forensik. Mein Wissen teile ich gerne anhand von Fachartikeln hier in meinem Blog und in meinem Fachbuch. Als Referent halte ich Vorträge und Workshops für Verbände und Unternehmen u. a. auch offene Veranstaltungen für den VDI und die IHK.

Kommentare

Es wurde noch kein Kommentar abgegeben.

Schreibe einen Kommentar!

Hilfe zum Kommentieren und Hiweise

Um kommentieren zu können, geben sie bitte mindestens ihren Namen und ihre E-Mail-Adresse an. Bitte nutzen Sie die Kommentarfunktion nicht dazu, andere zu beleidigen oder Spam zu verbreiten. Trolle und Spammer sind hier unerwünscht! Unangemessene Kommentare, die zum Beispiel gegen geltendes Recht verstoßen, eine Gefährdung anderer Besucher darstellen oder keinen sinvollen Inhalt beinhalten, werden gelöscht oder angepasst.

Name: Ihr Name, der oberhalb des Kommentars steht, gerne auch Ihren echten Namen, das erleichtert die Kommunikation für alle. Sollte ein Spam-Keyword als Name verwendet werden, kann dieses entfernt oder korrigiert werden.

E-Mail: Ihre E-Mail Adresse dient zur Identifizierung weiterer Kommentare und damit ich direkt Kontakt aufnehmen kann. Die E-Mail Adresse wird natürlich nicht veröffentlicht und nicht weitergegeben.

Website: Hier können Sie ihren eigenen Blog bzw. ihre eigene Website eintragen, dadurch wird Ihr Name und Ihr Avatar-Bild verlinkt. Werden rein kommerzielle Angebote offensichtlich beworben, setze ich den Link auf nofollow und unangemessene werden einfach entfernt.

Erlaubte HTML-Tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <hr> <big> <small> <sub> <sup> <u>

Ihre E-Mailadresse wird nicht veröffentlicht. Mit dem Absenden anerkennen Sie die Datenschutzhinweis des Blogs.