Tobias Scheible Cyber Security & IT-Forensik Dozent
Schloss - Sicherheit

IT-Forensik – Aufklärung von IT-Sicherheitsvorfällen

Was ist eigentlich IT-Forensik und wann kommen forensische Methoden in der IT zum Einsatz? Dieser Frage und weiteren Fragen bin ich in meinem Cyber Security Vortrag „IT-Forensik - Aufklärung von IT-Sicherheitsvorfällen“ nachgegangen, den ich im Rahmen des Veranstaltungsprogramms des VDI Zollern-Baar gehalten habe.

Mittwoch, 05. April 2023
0 Kommentare
Handbuch Hacking & Security
Kapitel IT-Forensik im Buch Hacking & Security
Fachbuch Hacking & Security Im Buch Hacking & Security habe ich das Kapitel IT-Forensik geschrieben

In der Berichterstattung über IT-Sicherheitsvorfälle ist häufig zu lesen, dass Forensiker mit der Untersuchung eines Vorfalls beauftragt werden. Doch wann kommen die Methoden der IT-Forensik zum Einsatz? Dies lässt sich einfach mit der Abgrenzung zur IT-Sicherheit erklären. Bei der IT-Sicherheit steht in der Regel die Frage „Was könnte passieren? Bei der IT-Forensik geht es dagegen um die Untersuchung nach einem Vorfall und damit um die zentrale Frage „Was ist passiert?

In der IT-Forensik liegt der Fokus auf der Sicherung digitaler Spuren und der Analyse digitaler Beweismittel zur Aufklärung von Vorfällen. Es geht darum, illegale oder schädigende Handlungen nachzuweisen und Taten aufzuklären, indem digitale Spuren gesichert und ausgewertet werden. Die IT-Forensik ist ein Teilgebiet der Forensik, zu der beispielsweise auch die Rechtsmedizin und die psychologische Forensik gehören. Um digitale Spuren gerichtsverwertbar zu sichern, muss die Untersuchung streng methodisch nach etablierten Standards erfolgen und jederzeit nachweisbar sein.

Die Inhalte des Cyber Security Vortrags habe ich an das Kapitel IT-Forensik angelehnt, welches ich für das Buch Hacking & Security geschrieben habe.

Die Methoden der IT-Forensik

Digitale Forensik Vortrag
Erste Folie des IT-Forensik-Vortrages
IT-Forensik Vortrag Erste Folie des IT-Forensik-Vortrages

Im ersten Teil meines Vortrages habe ich den Teilnehmenden einen kurzen und prägnanten Einblick in die faszinierende Welt der IT-Forensik gegeben. Dabei geht es darum, nach einem Vorfall digitale Spuren zu sichern, diese zu analysieren und das daraus resultierende Ergebnis zu präsentieren. Ziel der IT-Forensik ist es dabei immer, Spuren unverändert zu sichern.

Digitale Spuren

Ein zentrales Element der forensischen Untersuchung von IT-Systemen ist die Sicherung und Auswertung und Interpretation digitaler Spuren. Dabei ist zu beachten, dass beim Auslesen der digitalen Spuren und beim erneuten Speichern dieser Spuren die Spuren selbst oder andere Daten nicht verändert werden. Deshalb werden etablierte Standards und Methoden eingesetzt, um die Fehlerwahrscheinlichkeit zu Fehlerwahrscheinlichkeit zu minimieren und forensische Untersuchungen fundiert durchführen zu können.

Forensische Untersuchung

Eine forensische Untersuchung wird mit dem Ziel durchgeführt, einen Vorgang in einem Computersystem zu untersuchen und zu protokollieren. Insgesamt umfasst sie die Identifizierung, Sicherung, Auswahl und Analyse von Spuren, die im weiteren Verlauf der Untersuchung als Indizien oder Beweise verwendet werden können. Eine forensische Untersuchung beantwortet somit die Frage, ob ein bestimmter Vorgang mit einem bestimmten Computersystem durchgeführt wurde.

Spannungsfelder

Nach einem festgestellten Vorfall in einem Unternehmen kommt es häufig zu einem Zielkonflikt zwischen Incident-Response- und IT-Forensik-Abteilungen. Ziel des Incident Response Teams ist es, nach einem Vorfall die Sicherheitslücke zu schließen und so schnell wie möglich zum ursprünglichen produktiven Zustand zurückzukehren. Das IT-Forensik-Team möchte zunächst eine detaillierte Analyse, bevor Änderungen an den betroffenen Systemen vorgenommen werden. Daher muss im Voraus festgelegt werden, wie zu verfahren ist, falls ein solcher Fall eintritt.

IT-Forensik Fälle

Damit der Vortrag nicht zu viel trockene Theorie enthält, bin ich schnell zu konkreten Fällen übergegangen. Anhand von drei fiktiven Szenarien vermittelte ich die Vorgehensweise bei forensischen Untersuchungen.

Fall A: Die verschwundenen Logfiles

Im ersten Fall ging es darum, dass Logfiles von einem Server verschwunden sind. Schnell wird vermutet, dass ein Angreifer diese gelöscht hat. Eine forensische Analyse soll versuchen, die gelöschten Daten wiederherzustellen und die Ursache zu ermitteln.

Fall B: Geknacktes Passwort eines Servers

Anschließend wurde ein Server im Live-Hacking-Stil angegriffen, um die entsprechenden Spuren zu sichern. Anschließend habe ich gezeigt, wie man den Angriff in gängigen Logfiles nachvollziehen kann.

Fall C: Industriespionage durch Innentäter

Im letzten Fall ging es um die Analyse eines Windows-Systems. Es bestand der Verdacht, dass mit diesem System Industriespionage betrieben wurde. Bei der Analyse mit der Open Source Software Autopsy zeigte ich auf, welche interessanten Spuren zu finden sind.

Cyber Security Vortrag

Der Cyber Security Vortrag „IT-Forensik – Aufklärung von IT-Sicherheitsvorfällen“ fand im Rahmen des Vortragsprogramms des VDI Zollern-Baar am 5. April 2023 ab 19:15 Uhr statt. Die kompletten Folien des Vortrags gibt es als Download (PDF) oder können hier direkt eingesehen werden:

Cyber Security Vortrag - IT-Forensik - Aufklärung von IT-Sicherheitsvorfällen
Cyber Security Vortrag - IT-Forensik - Aufklärung von IT-Sicherheitsvorfällen
Cyber Security Vortrag - IT-Forensik - Aufklärung von IT-Sicherheitsvorfällen
Cyber Security Vortrag - IT-Forensik - Aufklärung von IT-Sicherheitsvorfällen
Cyber Security Vortrag - IT-Forensik - Aufklärung von IT-Sicherheitsvorfällen
Cyber Security Vortrag - IT-Forensik - Aufklärung von IT-Sicherheitsvorfällen
Cyber Security Vortrag - IT-Forensik - Aufklärung von IT-Sicherheitsvorfällen
Cyber Security Vortrag - IT-Forensik - Aufklärung von IT-Sicherheitsvorfällen
Cyber Security Vortrag - IT-Forensik - Aufklärung von IT-Sicherheitsvorfällen
Cyber Security Vortrag - IT-Forensik - Aufklärung von IT-Sicherheitsvorfällen
Cyber Security Vortrag - IT-Forensik - Aufklärung von IT-Sicherheitsvorfällen
Cyber Security Vortrag - IT-Forensik - Aufklärung von IT-Sicherheitsvorfällen
Cyber Security Vortrag - IT-Forensik - Aufklärung von IT-Sicherheitsvorfällen
Cyber Security Vortrag - IT-Forensik - Aufklärung von IT-Sicherheitsvorfällen
Cyber Security Vortrag - IT-Forensik - Aufklärung von IT-Sicherheitsvorfällen
Cyber Security Vortrag - IT-Forensik - Aufklärung von IT-Sicherheitsvorfällen
Cyber Security Vortrag - IT-Forensik - Aufklärung von IT-Sicherheitsvorfällen
Cyber Security Vortrag - IT-Forensik - Aufklärung von IT-Sicherheitsvorfällen
Cyber Security Vortrag - IT-Forensik - Aufklärung von IT-Sicherheitsvorfällen
Cyber Security Vortrag - IT-Forensik - Aufklärung von IT-Sicherheitsvorfällen
Cyber Security Vortrag - IT-Forensik - Aufklärung von IT-Sicherheitsvorfällen
Cyber Security Vortrag - IT-Forensik - Aufklärung von IT-Sicherheitsvorfällen
Cyber Security Vortrag - IT-Forensik - Aufklärung von IT-Sicherheitsvorfällen
Cyber Security Vortrag - IT-Forensik - Aufklärung von IT-Sicherheitsvorfällen
Cyber Security Vortrag - IT-Forensik - Aufklärung von IT-Sicherheitsvorfällen

Sie interessieren sich für Cyber Security Vorträge & Workshops?

Ich halte regelmäßig kostenlose Online-Vorträge, Präsentationen auf Konferenzen und Veranstaltungen und organisiere Workshops im Bereich IT-Sicherheit. Melden Sie sich an, um automatisch die Zugangsdaten für kostenlose Online-Vorträge oder Informationen über anstehende Vorträge und Workshops zu erhalten:

Vielen Dank für Ihre Anmeldung, ich freue mich über Ihr Interesse. Sobald es einen neuen Vortrag oder Workshop gibt, werden Sie benachrichtigt.

Es ist ein Fehler aufgetreten, bitte nehmen Sie direkt Kontakt auf.

Mit dem Absenden anerkennen Sie die Datenschutzhinweis des Blogs.

Über Tobias Scheible

Tobias Scheible

Hallo, mein Name ist Tobias Scheible. Ich bin begeisterter Informatiker und Sicherheitsforscher mit den Schwerpunkten Cyber Security und IT-Forensik. Mein Wissen teile ich gerne anhand von Fachartikeln hier in meinem Blog und in meinem Fachbuch. Als Referent halte ich Vorträge und Workshops für Verbände und Unternehmen u. a. auch offene Veranstaltungen für den VDI und die IHK.

Cyber Security Vorträge

Sie suchen einen Referenten für einen Vortrag rund um das Thema IT-Sicherheit?

Ich sensibilisiere Ihre Mitarbeiter für Bedrohungen, transferiere Fachwissen auf akademischem Niveau und zeige neben aktuellen Angriffsszenarien auch effektive Gegenmaßnahmen. Mit meinem fundierten Fachwissen und dem tiefgreifenden Verständnis von aktuellen Bedrohungslagen sowie Entwicklungen decke ich zahlreiche spannende Themenfelder ab.

Jetzt informieren

Kommentare

Es wurde noch kein Kommentar abgegeben.

Schreibe einen Kommentar!

Hilfe zum Kommentieren und Hiweise

Um kommentieren zu können, geben sie bitte mindestens ihren Namen und ihre E-Mail-Adresse an. Bitte nutzen Sie die Kommentarfunktion nicht dazu, andere zu beleidigen oder Spam zu verbreiten. Trolle und Spammer sind hier unerwünscht! Unangemessene Kommentare, die zum Beispiel gegen geltendes Recht verstoßen, eine Gefährdung anderer Besucher darstellen oder keinen sinvollen Inhalt beinhalten, werden gelöscht oder angepasst.

Name: Ihr Name, der oberhalb des Kommentars steht, gerne auch Ihren echten Namen, das erleichtert die Kommunikation für alle. Sollte ein Spam-Keyword als Name verwendet werden, kann dieses entfernt oder korrigiert werden.

E-Mail: Ihre E-Mail Adresse dient zur Identifizierung weiterer Kommentare und damit ich direkt Kontakt aufnehmen kann. Die E-Mail Adresse wird natürlich nicht veröffentlicht und nicht weitergegeben.

Website: Hier können Sie ihren eigenen Blog bzw. ihre eigene Website eintragen, dadurch wird Ihr Name und Ihr Avatar-Bild verlinkt. Werden rein kommerzielle Angebote offensichtlich beworben, setze ich den Link auf nofollow und unangemessene werden einfach entfernt.

Erlaubte HTML-Tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <hr> <big> <small> <sub> <sup> <u>

Ihre E-Mailadresse wird nicht veröffentlicht. Mit dem Absenden anerkennen Sie die Datenschutzhinweis des Blogs.