IT-Forensik – Aufklärung von IT-Sicherheitsvorfällen • Tobias Scheible

Schloss - Sicherheit — IT-Forensik – Aufklärung von IT-Sicherheitsvorfällen

Was ist eigentlich IT-Forensik und wann kommen forensische Methoden in der IT zum Einsatz? Dieser Frage und weiteren Fragen bin ich in meinem Cyber Security Vortrag „IT-Forensik - Aufklärung von IT-Sicherheitsvorfällen“ nachgegangen, den ich im Rahmen des Veranstaltungsprogramms des VDI Zollern-Baar gehalten habe.

Mittwoch, 05. April 2023

0 Kommentare

Vorträge

Präsentation, Vortrag, VDI, ITForensik, CyberSecurityVortrag, VDIZollernBaar

Handbuch Hacking & Security — Kapitel IT-Forensik im Buch Hacking & Security

Fachbuch Hacking & Security — Kapitel IT-Forensik im Buch Hacking & Security

In der Berichterstattung über IT-Sicherheitsvorfälle ist häufig zu lesen, dass Forensiker mit der Untersuchung eines Vorfalls beauftragt werden. Doch wann kommen die Methoden der IT-Forensik zum Einsatz? Dies lässt sich einfach mit der Abgrenzung zur IT-Sicherheit erklären. Bei der IT-Sicherheit steht in der Regel die Frage „Was könnte passieren? Bei der IT-Forensik geht es dagegen um die Untersuchung nach einem Vorfall und damit um die zentrale Frage „Was ist passiert?

In der IT-Forensik liegt der Fokus auf der Sicherung digitaler Spuren und der Analyse digitaler Beweismittel zur Aufklärung von Vorfällen. Es geht darum, illegale oder schädigende Handlungen nachzuweisen und Taten aufzuklären, indem digitale Spuren gesichert und ausgewertet werden. Die IT-Forensik ist ein Teilgebiet der Forensik, zu der beispielsweise auch die Rechtsmedizin und die psychologische Forensik gehören. Um digitale Spuren gerichtsverwertbar zu sichern, muss die Untersuchung streng methodisch nach etablierten Standards erfolgen und jederzeit nachweisbar sein.

Die Inhalte des Cyber Security Vortrags habe ich an das Kapitel IT-Forensik angelehnt, welches ich für das Buch Hacking & Security geschrieben habe.

Die Methoden der IT-Forensik

Digitale Forensik Vortrag — Erste Folie des IT-Forensik-Vortrages

IT-Forensik Vortrag — Erste Folie des IT-Forensik-Vortrages

Im ersten Teil meines Vortrages habe ich den Teilnehmenden einen kurzen und prägnanten Einblick in die faszinierende Welt der IT-Forensik gegeben. Dabei geht es darum, nach einem Vorfall digitale Spuren zu sichern, diese zu analysieren und das daraus resultierende Ergebnis zu präsentieren. Ziel der IT-Forensik ist es dabei immer, Spuren unverändert zu sichern.

Digitale Spuren

Ein zentrales Element der forensischen Untersuchung von IT-Systemen ist die Sicherung und Auswertung und Interpretation digitaler Spuren. Dabei ist zu beachten, dass beim Auslesen der digitalen Spuren und beim erneuten Speichern dieser Spuren die Spuren selbst oder andere Daten nicht verändert werden. Deshalb werden etablierte Standards und Methoden eingesetzt, um die Fehlerwahrscheinlichkeit zu Fehlerwahrscheinlichkeit zu minimieren und forensische Untersuchungen fundiert durchführen zu können.

Forensische Untersuchung

Eine forensische Untersuchung wird mit dem Ziel durchgeführt, einen Vorgang in einem Computersystem zu untersuchen und zu protokollieren. Insgesamt umfasst sie die Identifizierung, Sicherung, Auswahl und Analyse von Spuren, die im weiteren Verlauf der Untersuchung als Indizien oder Beweise verwendet werden können. Eine forensische Untersuchung beantwortet somit die Frage, ob ein bestimmter Vorgang mit einem bestimmten Computersystem durchgeführt wurde.

Spannungsfelder

Nach einem festgestellten Vorfall in einem Unternehmen kommt es häufig zu einem Zielkonflikt zwischen Incident-Response- und IT-Forensik-Abteilungen. Ziel des Incident Response Teams ist es, nach einem Vorfall die Sicherheitslücke zu schließen und so schnell wie möglich zum ursprünglichen produktiven Zustand zurückzukehren. Das IT-Forensik-Team möchte zunächst eine detaillierte Analyse, bevor Änderungen an den betroffenen Systemen vorgenommen werden. Daher muss im Voraus festgelegt werden, wie zu verfahren ist, falls ein solcher Fall eintritt.

IT-Forensik Fälle

Damit der Vortrag nicht zu viel trockene Theorie enthält, bin ich schnell zu konkreten Fällen übergegangen. Anhand von drei fiktiven Szenarien vermittelte ich die Vorgehensweise bei forensischen Untersuchungen.

Fall A: Die verschwundenen Logfiles

Im ersten Fall ging es darum, dass Logfiles von einem Server verschwunden sind. Schnell wird vermutet, dass ein Angreifer diese gelöscht hat. Eine forensische Analyse soll versuchen, die gelöschten Daten wiederherzustellen und die Ursache zu ermitteln.

Fall B: Geknacktes Passwort eines Servers

Anschließend wurde ein Server im Live-Hacking-Stil angegriffen, um die entsprechenden Spuren zu sichern. Anschließend habe ich gezeigt, wie man den Angriff in gängigen Logfiles nachvollziehen kann.

Fall C: Industriespionage durch Innentäter

Im letzten Fall ging es um die Analyse eines Windows-Systems. Es bestand der Verdacht, dass mit diesem System Industriespionage betrieben wurde. Bei der Analyse mit der Open Source Software Autopsy zeigte ich auf, welche interessanten Spuren zu finden sind.

Cyber Security Vortrag

Der Cyber Security Vortrag „IT-Forensik – Aufklärung von IT-Sicherheitsvorfällen“ fand im Rahmen des Vortragsprogramms des VDI Zollern-Baar am 5. April 2023 ab 19:15 Uhr statt. Die kompletten Folien des Vortrags gibt es als Download (PDF) oder können hier direkt eingesehen werden:

Artikel teilen:

Über Tobias Scheible

Hallo, mein Name ist Tobias Scheible. Ich bin begeisterter Informatiker und Sicherheitsforscher mit den Schwerpunkten Cyber Security und IT-Forensik. Mein Wissen teile ich gerne anhand von Fachartikeln hier in meinem Blog und in meinem Fachbuch. Als Referent halte ich Vorträge und Workshops für Verbände und Unternehmen u. a. auch offene Veranstaltungen für den VDI und die IHK.