Datenorientierte
IT-Forensik
Die datenorientierte IT-Forensik liegt den Fokus der Untersuchung auf die Analyse von Systemdaten. Systemdaten sind wiederum jegliche Daten und deren Inhalte die auf dem zu untersuchenden System, sei es ein Laptop oder ein Smartphone, liegen.
Vorfallsorientierte
IT-Forensik
Vorfallsorientierte IT-Forensik liegt den Fokus auf die Analyse und der Dokumentation eines Vorfallsverlaufs, z. B. ein Cyberangriff. Es werden aber ebenfalls Vorfälle eingeschlossen, die nicht durch mutwillige Handlungen entstanden sind, z. B. eine Fehlbedienung von Software.
Definition
Die IT-Forensik, häufig auch Digitale Forensik, Computer Forensik oder nur Forensik genannt, wird durch das BSI als eine „streng methodische Vorgehensweise zur Datenanalyse auf Speichermedien, Computer und Netzwerke zum Zweck der Aufklärung von IT-Vorfällen, z. B. Cyberangriffe, Softwareversagen und sonstige“ definiert.
Die IT-Forensik kommt des Öfteren als Mittel der Strafverfolgung zum Einsatz, wird jedoch in Zusammenhang mit der IT-Vorfallsreaktion angewandt, um wertvolle und verwertbare Hinweise über Vorfälle oder Angriffe gegen ein Informationsverbund zu liefern, mit dem Ziel ausreichend Hinweise über die Ursachen und Absichten eines solchen Vorfalls herauszufinden.
Zu den Datenarten, die für eine forensische Untersuchung relevant sind, gehören:
- Hardwaredaten
- Rohdaten
- Metadaten (Details über Daten)
- Konfigurationsdaten
- Kommunikationsprotokolle
- Prozessdaten
- Sitzungsdaten
- Anwenderdaten
Vorgehensweise
Es existieren in Bezug auf den Zeitpunkt der forensischen Analyse zwei verschiedene Ansätze: die Post-Mortem-Analyse und die Live-Forensik. Bei einer Post-Mortem-Analyse, auch Offline-Forensik genannt, findet die forensische Untersuchung der Daten nach einem Vorfall statt. Dabei liegt der Fokus einer solchen Untersuchung auf die Analyse von nichtflüchtigen Daten die in Form von Datenträgerabbilder (engl. Images) als Sicherungskopien gesichert wurden. Im Gegensatz dazu, findet eine Live-Forensik Untersuchung schon während dem laufenden Vorfall statt. Da die untersuchten Systeme noch angeschaltet sind, liegt hier das Hauptaugenmerk auf die Analyse flüchtiger Daten, z. B. gestartete Prozesse, Netzwerkverbindungen und der Speicherinhalt von RAM und Cache.
Allgemein lässt sich die IT-Forensik als Teilaspekt des Notfallmanagements, konkreter der Vorfallsreaktion (engl. Incident Response) eingliedern. Dabei unterscheiden sich die Absichten einer forensischen Untersuchung in verschiedenen Sicherheitsvorfällen. In vielen Situation wird dabei eine forensische Untersuchung eingeleitet, um zügig eine Bestätigung zu erlangen, ob ein Vorfall aufgetreten ist. Zusätzlich dazu ist es wünschenswert, durch die erlangten Ergebnisse einer Untersuchung, einen Vorfall nicht nur zu erkennen, sondern auch einzudämmen. In der Strafverfolgung liegt jedoch der Fokus auf die Zuordnung von Täter und Opfer und den möglichen entstandenen Schaden zu benennen.
Ein zertifizierter und erfahrener forensischer Ermittler sollte in jedem Fall für eine forensische Untersuchung in Betracht gezogen werden, wenn es um digitale Informationen und deren Aufbewahrung für regulatorische, satzungsgemäße oder rechtliche Verpflichtungen geht. Eine forensische Untersuchung kann im Falle eines Cyberangriffs, illegaler Aktivitäten von Mitarbeitern oder bei internen Audits notwendig sein.
Stopp! Versuchen Sie nicht, die mögliche Beweisquelle in irgendeiner Weise zu verändern oder zu kompromittieren. Alle Aktivitäten, die an einem Computer durchgeführt werden, können den Zustand verändern und vorhandene Artefakte für eine forensische Untersuchung unbrauchbar machen. Wenden Sie sich an Ihre IT-Abteilung und konsultieren Sie sofort einen zertifizierten Experten, wie er von DriveByte bereitgestellt wird.
Ein forensischer Ermittler von DriveByte wird die möglichen Beweise am Standort des Kunden physisch untersuchen und alle Quellen der Beweise erfassen, ohne die Quelle zu verändern oder zu kompromittieren. Sollte eine direkte Abholung nicht möglich sein, wird ein forensischer Experte den Kunden durch den Beschaffungsprozess führen. Ein sicherer Transport wird dann durch den Logistikpartner von DriveByte organisiert.