| FOTO | AUTO | EDV | AUDIO |

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
edv:forensik:start [14 39 2025 20 : 39] André Reichert-Creutzedv:forensik:start [15 09 2025 21 : 09] (aktuell) André Reichert-Creutz
Zeile 1: Zeile 1:
-{{ :edv:forensik-logo.png?350 |}} \\ +{{:edv:forensik-logo.png?400|}} \\
 Forensik ist die wissenschaftliche Methodik zur Aufklärung und Rekonstruktion von kriminellen Handlungen durch die Sicherung und Analyse von Spuren. Forensik ist die wissenschaftliche Methodik zur Aufklärung und Rekonstruktion von kriminellen Handlungen durch die Sicherung und Analyse von Spuren.
  
Zeile 247: Zeile 246:
 ==== 6. Schwierige Zuordenbarkeit (Attribution) ==== ==== 6. Schwierige Zuordenbarkeit (Attribution) ====
 Eine digitale Spur (z.B. eine IP-Adresse oder ein Benutzername) lässt sich oft nur mit hohem Aufwand einer realen Person zuordnen. Techniken wie die Nutzung von VPNs, Proxies oder dem Tor-Netzwerk erschweren die Identifizierung des Urhebers zusätzlich. Eine digitale Spur (z.B. eine IP-Adresse oder ein Benutzername) lässt sich oft nur mit hohem Aufwand einer realen Person zuordnen. Techniken wie die Nutzung von VPNs, Proxies oder dem Tor-Netzwerk erschweren die Identifizierung des Urhebers zusätzlich.
 +
 +====== Forensische Datenarten ======
 +In der IT-Forensik werden Daten nach ihrer Beständigkeit und ihrem Speicherort klassifiziert. Die wichtigsten Datenarten sind jene, die den größten Einblick in die Aktivitäten auf einem System geben.
 +
 +===== 1. Hardwaredaten =====
 +Dies sind physische und festspeicherte Informationen über die Hardware-Komponenten eines Systems.
 +
 +Gewinnbare Informationen: Seriennummern, Hersteller, Modellbezeichnungen (z.B. von Festplatten, RAM), MAC-Adressen von Netzwerkkarten. Diese Daten sind essenziell zur exakten Identifizierung und Asservierung von Beweismitteln.
 +
 +===== 2. Rohdateninhalte (Raw Data) =====
 +Dies ist der bit-genaue Inhalt eines Speichermediums, unabhängig vom Dateisystem. Hier finden sich auch "gelöschte" Daten und Dateifragmente.
 +
 +Gewinnbare Informationen: Wiederherstellung gelöschter Dateien, Auffinden von versteckten Informationen in ungenutzten Speicherbereichen (//unallocated space//), Rekonstruktion von Dateifragmenten.
 +
 +===== 3. Konfigurationsdaten =====
 +Diese Daten beschreiben die Einstellungen des Betriebssystems und der installierten Software.
 +
 +Gewinnbare Informationen: Systemname, Netzwerkkonfiguration (IP-Adressen), installierte Programme, Sicherheitseinstellungen (Firewall-Regeln), automatisch startende Programme, verbundene USB-Geräte (aus der Registry).
 +
 +===== 4. Kommunikationsprotokolle =====
 +Dies sind Aufzeichnungen über Netzwerkaktivitäten, die von Systemen und Netzwerkgeräten erstellt werden.
 +
 +Gewinnbare Informationen: Chronologische Aufzeichnung von Netzwerkverbindungen (wer hat wann mit wem kommuniziert?), übertragene Datenmengen, verwendete Ports und Protokolle (z.B. HTTP, FTP), blockierte Verbindungsversuche (Firewall-Logs).
 +
 +===== 5. Prozessdaten =====
 +Dies sind Informationen über laufende oder kürzlich beendete Programme (Prozesse) im Arbeitsspeicher. Sie sind hochflüchtig.
 +
 +Gewinnbare Informationen: Aktive Schadsoftware (Malware), geöffnete Netzwerk-Ports durch Programme, welchem Benutzer ein Prozess gehört, welche Dateien ein Programm gerade verwendet.
 +
 +===== 6. Sitzungsdaten (Session Data) =====
 +Diese Daten beschreiben die Interaktion eines Benutzers mit dem System während einer bestimmten Anmeldeperiode.
 +
 +Gewinnbare Informationen: An- und Abmeldezeiten eines Benutzers, durchgeführte Aktionen während der Sitzung (z.B. Programmstarts, fehlgeschlagene Anmeldeversuche), von welchem entfernten System sich ein Benutzer angemeldet hat (Remote Desktop).
 +
 +===== 7. Anwenderdaten =====
 +Dies sind die Dateien und Informationen, die von einem Benutzer direkt erstellt oder verwaltet werden.
 +
 +Gewinnbare Informationen: Dokumente, Bilder, E-Mails, Browser-Verläufe, Cookies, Passwörter, Chat-Protokolle. Sie geben direkten Einblick in die Handlungen und Absichten des Benutzers.
 +===== Die zwei Untersuchungszeitpunkte =====
 +In der IT-Forensik wird grundlegend zwischen zwei Zeitpunkten der Untersuchung unterschieden, die davon abhängen, ob das zu analysierende System in Betrieb ist oder nicht. Die Wahl des richtigen Zeitpunkts ist entscheidend, da bestimmte digitale Spuren nur in einem bestimmten Systemzustand existieren.
 +
 +==== 1. Live-Analyse (Live Forensics) ====
 +Die **Live-Analyse** findet an einem **laufenden IT-System** statt.
 +
 +Ihr Hauptziel ist die Sicherung **flüchtiger Daten** (//volatile data//), die bei einem Neustart oder dem Ausschalten des Systems unwiederbringlich verloren gehen würden. Diese Methode ist unerlässlich, um ein aktuelles Lagebild bei einem aktiven Sicherheitsvorfall zu erhalten.
 +
 +=== Typische Spuren der Live-Analyse: ===
 +  * **Arbeitsspeicher (RAM):** Enthält laufende Prozesse, Passwörter, Krypto-Schlüssel und geöffnete, unverschlüsselte Dateien.
 +  * **Netzwerkverbindungen:** Aktive Verbindungen zu anderen Systemen (z.B. einem Command-and-Control-Server des Angreifers).
 +  * **Laufende Prozesse:** Welche Programme und Dienste sind aktuell aktiv?
 +  * **Angemeldete Benutzer:** Wer ist zurzeit am System angemeldet?
 +
 +**Wichtig:** Jede Interaktion bei einer Live-Analyse birgt das Risiko, den Zustand des Systems und damit Spuren zu verändern. Sie erfordert daher spezialisierte Werkzeuge und ein äußerst sorgfältiges Vorgehen.
 +
 +==== 2. Post-Mortem-Analyse ====
 +Die **Post-Mortem-Analyse** (lat. „nach dem Tode“) findet an einem **ausgeschalteten System** statt.
 +
 +Hierbei wird der Datenträger (HDD, SSD) des Systems ausgebaut und eine bit-genaue 1:1-Kopie (forensisches Image) erstellt. Alle weiteren Analysen finden ausschließlich auf dieser Kopie statt, um das Original-Beweismittel unangetastet zu lassen. Diese Methode erlaubt eine tiefgehende und wiederholbare Untersuchung.
 +
 +=== Typische Spuren der Post-Mortem-Analyse: ===
 +  * **Dateisystem:** Wiederherstellung gelöschter Dateien, Analyse von Zeitstempeln (Erstellt, Geändert, Letzter Zugriff).
 +  * **Logdateien:** System- und Anwendungsprotokolle, die Aktionen aufzeichnen.
 +  * **Registry (Windows):** Enthält Konfigurationseinstellungen, installierte Programme und Spuren von Benutzeraktivitäten.
 +  * **Browser-Verläufe:** Besuchte Webseiten, Cookies und zwischengespeicherte Daten.
 +
 +----
 +^ Merkmal ^ Live-Analyse ^ Post-Mortem-Analyse ^
 +| **Systemzustand** | In Betrieb | Ausgeschaltet |
 +| **Fokus** | Flüchtige Daten (RAM, Netzwerk) | Persistente Daten (Festplatte) |
 +| **Hauptziel** | Schnelles Lagebild, Sicherung volatiler Spuren | Tiefgehende, gerichtsverwertbare Analyse |
 +| **Risiko** | Hohe Gefahr der Spurenveränderung | Geringe Gefahr, da auf Kopie gearbeitet wird |
 +
 +===== Anforderungen an die forensische Vorgehensweise =====
 +Eine forensisch saubere Vorgehensweise ist unerlässlich, um sicherzustellen, dass digitale Beweismittel vor Gericht standhalten. Die Anforderungen an dieses Vorgehen sind streng und standardisiert.
 +Das übergeordnete Ziel jeder Anforderung ist die **Gerichtsverwertbarkeit** der gewonnenen Erkenntnisse. Jede Abweichung von diesen Grundsätzen kann die gesamte Untersuchung wertlos machen.
 +
 +==== 1. Sicherstellung der Integrität ====
 +Die Original-Beweismittel dürfen **niemals verändert** werden.
 +  * **Vorgehen:** Analysen werden ausschließlich auf bit-genauen Kopien (//forensischen Images//) durchgeführt. Beim Zugriff auf Original-Datenträger kommen **Write-Blocker** (Hardware oder Software) zum Einsatz, die jegliche Schreibzugriffe unterbinden. Die Integrität der Kopie wird durch **kryptografische Hashwerte** (z.B. SHA-256) nachgewiesen.
 +
 +==== 2. Lückenlose Dokumentation (Chain of Custody) ====
 +Jeder Schritt muss **minutiös, nachvollziehbar und manipulationssicher** protokolliert werden.
 +  * **Vorgehen:** Die Dokumentation (die //Chain of Custody// oder Asservatenkette) beantwortet jederzeit die Fragen: **Wer** hat **was**, **wann**, **wo**, **wie** und **warum** mit einem Beweismittel getan? Dies schließt die Sicherstellung, den Transport, die Lagerung und die Analyse mit ein.
 +
 +==== 3. Nachvollziehbarkeit und Wiederholbarkeit ====
 +Ein unabhängiger, sachverständiger Dritter muss in der Lage sein, die durchgeführten Schritte anhand der Dokumentation nachzuvollziehen und **zum selben Ergebnis** zu gelangen.
 +  * **Vorgehen:** Die Methodik und die verwendeten Werkzeuge müssen klar benannt werden. Automatisierte Prozesse und standardisierte Vorgehensweisen (SOPs) helfen, dieses Ziel zu erreichen.
 +
 +==== 4. Einsatz von validierten Werkzeugen ====
 +Die eingesetzte Hard- und Software muss für den forensischen Zweck **geeignet und validiert** sein.
 +  * **Vorgehen:** Forensiker müssen die Funktionsweise ihrer Tools genau kennen und idealerweise auf Werkzeuge zurückgreifen, die in der Fachwelt etabliert und getestet sind. Eigene Skripte müssen ebenfalls sorgfältig dokumentiert und validiert werden.
 +
 +==== 5. Qualifikation des Personals ====
 +Die Untersuchung darf nur von **ausreichend qualifizierten Fachpersonen** durchgeführt werden.
 +  * **Vorgehen:** Der IT-Forensiker muss nicht nur technisches Wissen über Betriebssysteme, Dateisysteme und Netzwerke besitzen, sondern auch die rechtlichen und methodischen Anforderungen an eine forensische Untersuchung kennen und einhalten.
 +
 +====== Forensische Modelle ======
 +Forensische Modelle sind standardisierte Vorgehensweisen, die den Ablauf einer IT-forensischen Untersuchung in logische, wiederholbare Phasen gliedern. Sie dienen als Rahmenwerk, um sicherzustellen, dass digitale Beweismittel systematisch, vollständig und nachvollziehbar gesichert, analysiert und aufbereitet werden. Das übergeordnete Ziel ist stets die Gerichtsverwertbarkeit der Ergebnisse.
 +
 +Das **SAP** Modell beschreibt die drei fundamentalen Kernphasen, die in praktisch jedem forensischen Modell enthalten sind:
 +  * Secure (Sichern / Asservieren): Das Sichern der Beweismittel, ohne sie zu verändern.
 +  * Analyse (Analysieren): Die Untersuchung der erstellten Kopie.
 +  * Present (Präsentieren): Die Aufbereitung und Vorstellung der Ergebnisse in einem Gutachten.
 +
 +===== Zweck von forensischen Modellen =====
 +Der Hauptzweck dieser Modelle ist es, Qualität, Integrität und Reproduzierbarkeit in einer Untersuchung zu garantieren. Ohne ein strukturiertes Modell besteht die Gefahr, dass Spuren übersehen, Beweismittel kontaminiert oder Schritte nicht nachvollziehbar dokumentiert werden. Sie stellen sicher, dass grundlegende Prinzipien wie die Chain of Custody (lückenlose Beweismittelkette) eingehalten werden.
 +
 +===== Beispiele für gängige Modelle =====
 +Es gibt verschiedene Modelle, die sich in ihrer Detaillierung, aber nicht in ihren grundlegenden Zielen unterscheiden. Die Wichtigsten sind:
 +
 +==== Das BSI-Modell ====
 +Das vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) definierte Modell ist besonders im deutschsprachigen Raum verbreitet. Es gliedert sich in fünf Phasen:
 +  - Strategische Vorbereitung: Planung und Bereitstellung von Ressourcen, bevor ein Vorfall geschieht.
 +  - Datensicherung: Identifizierung und bit-genaue Kopie relevanter Datenquellen (Imaging).
 +  - Analyse: Untersuchung der gesicherten Datenkopie auf Spuren.
 +  - Datenaufbereitung: Zusammenfassung und Dokumentation der Analyseergebnisse in einem verständlichen Bericht.
 +  - Abschluss: Lessons Learned und Verbesserung der Vorbereitung.
 +
 +==== Das SANS-Modell (PICERL) ====
 +Das SANS Institute verwendet ein sechsstufiges Modell für die Reaktion auf Vorfälle (Incident Response), dessen Kern forensische Schritte umfasst:
 +  - Preparation (Vorbereitung): Vorbereitung des Teams und der Werkzeuge.
 +  - Identification (Identifizierung): Erkennen und Bewerten eines Sicherheitsvorfalls.
 +  - Containment (Eindämmung): Begrenzung des Schadens und Isolierung der betroffenen Systeme.
 +  - Eradication (Beseitigung): Entfernung der Ursache des Vorfalls (z.B. Malware).
 +  - Recovery (Wiederherstellung): Sichere Wiederinbetriebnahme der Systeme.
 +  - Lessons Learned (Auswertung): Analyse des Vorfalls, um zukünftige Vorfälle zu verhindern.
 +Die eigentliche forensische Untersuchung findet hier hauptsächlich in den Phasen Identifizierung und Eindämmung statt.
 +{{ :edv:forensik:sans-ir-process.png?600 |}}
 +<sup>Quelle: https://www.cynet.com/incident-response/incident-response-sans-the-6-steps-in-depth/ </sup>
 +==== Das NIST-Modell ====
 +Das U.S. National Institute of Standards and Technology (NIST) schlägt in seiner Publikation SP 800-86 ein vierphasiges Modell vor:
 +  - Collection (Sammlung): Identifizierung, Kennzeichnung, Aufzeichnung und Sammlung der Daten aus allen relevanten Quellen unter Wahrung ihrer Integrität.
 +  - Examination (Untersuchung): Einsatz von automatisierten und manuellen Methoden zur Bewertung und Extrahierung relevanter Daten.
 +  - Analysis (Analyse): Interpretation der Untersuchungsergebnisse und Ziehen von Schlussfolgerungen.
 +  - Reporting (Berichterstattung): Erstellung des Abschlussberichts mit allen Funden.
 +Alle diese Modelle verfolgen das gleiche Ziel: einen chaotischen Sicherheitsvorfall in einen geordneten und wissenschaftlich fundierten Untersuchungsprozess zu überführen.
 +
 +Der internationale Standard ISO/IEC 27037:2012 ist ein Leitfaden für den Umgang mit digitalen Beweismitteln. Er legt standardisierte und methodisch saubere Prozesse fest, um sicherzustellen, dass digitale Spuren von ihrer Entdeckung bis zur Übergabe an ein Analyselabor ihre Integrität und damit ihre Beweiskraft behalten.
 +
 +Der Standard ist somit das weltweit anerkannte Fundament für die erste Phase der IT-Forensik und richtet sich an Ersthelfer (//First Responder//) und Spezialisten für die Beweismittelsammlung.
 +
 +===== ISO/IEC 27037 =====
 +Der Standard definiert einen durchgehenden Prozess, der die Chain of Custody (Beweismittelkette) für digitale Spuren etabliert. Die Hauptphasen sind:
 +
 +^ Phase ^ Hauptziel ^ Wichtige Tätigkeiten ^
 +| Identifizierung //(Identification)// | Potenzielle digitale Beweismittel erkennen und priorisieren. | Klassifizierung von Spurenträgern (PC, Smartphone, Server), Bewertung der Flüchtigkeit (Volatilität). |
 +| Sammlung //(Collection)// | Physisches Einsammeln und sicheres Verpacken der Spurenträger. | Dokumentation des Zustands (Fotos), antistatisches Verpacken, Versiegelung, Beschriftung. |
 +| Sicherung //(Acquisition)// | Erstellung einer bit-genauen 1:1-Kopie der Originaldaten. | Einsatz von Write-Blockern, Erstellung eines forensischen Images, Verifizierung durch Hashwerte. |
 +| Aufbewahrung //(Preservation)// | Schutz der Beweismittel und lückenlose Dokumentation ihres Verbleibs. | Sichere und zugangskontrollierte Lagerung, Fortführung der Chain of Custody (Beweismittelkette). |
 +
 +==== Warum ist der Standard so wichtig? ====
 +ISO/IEC 27037 schafft eine international einheitliche Vorgehensweise. Durch die Befolgung dieses Standards kann ein IT-Forensiker sicherstellen, dass die von ihm gesicherten Beweismittel auch in anderen Ländern und Rechtssystemen als vertrauenswürdig und gerichtsverwertbar eingestuft werden. Er ist die Grundlage für jede professionelle forensische Untersuchung.
 +
 +====== Dokumentation in der Forensik ======
 +In der IT-Forensik ist die Dokumentation kein optionaler Schritt, sondern ein integraler Bestandteil des Prozesses. Sie sichert die Nachvollziehbarkeit und Gerichtsverwertbarkeit der gesamten Untersuchung und gliedert sich in zwei wesentliche Teile.
 +
 +===== 1. Prozessbegleitende Dokumentation (Das Untersuchungsprotokoll) =====
 +Die prozessbegleitende Dokumentation ist das **lückenlose Echtzeit-Protokoll** aller durchgeführten Maßnahmen. Sie beginnt mit der Beauftragung und endet mit dem Abschluss der technischen Analyse. Sie ist das Rückgrat der **Chain of Custody** (Beweismittelkette).
 +
 +Dieses Dokument ist hochtechnisch und dient primär dazu, dass ein anderer Sachverständiger die Untersuchung exakt nachvollziehen und die Ergebnisse reproduzieren kann.
 +
 +===== Wichtige Inhalte =====
 +  * **Zeitstempel:** Jeder Schritt wird mit Datum und exakter Uhrzeit (synchronisierte Zeit!) protokolliert.
 +  * **Personen:** Wer hat welche Maßnahme durchgeführt?
 +  * **Handlungen:** Detaillierte Beschreibung jeder Aktion (z.B. "Hardware Write-Blocker an SATA-Port von Asservat 01 angeschlossen").
 +  * **Werkzeuge:** Eingesetzte Hard- und Software mit genauen Versionsnummern.
 +  * **Hashwerte:** Dokumentation aller berechneten Hashwerte (Original vs. Image).
 +  * **Fotodokumentation:** Fotos von Asservaten, Anschlüssen, dem Untersuchungsaufbau und relevanten Bildschirminhalten.
 +  * **Unerwartete Ereignisse:** Jegliche Probleme, Fehler oder Abweichungen vom Standardvorgehen müssen vermerkt und begründet werden.
 +
 +**Analogie:** //Es ist das detaillierte Logbuch eines Kapitäns, das jede Kursänderung und jedes Ereignis auf See festhält.//
 +
 +===== 2. Abschließende Dokumentation (Der forensische Bericht) =====
 +Die abschließende Dokumentation ist das **zusammenfassende Gutachten**, das die Ergebnisse der Untersuchung präsentiert. Im Gegensatz zum Untersuchungsprotokoll richtet es sich an eine oft **nicht-technische Zielgruppe** wie Richter, Staatsanwälte, die Geschäftsführung oder Personalabteilungen.
 +
 +Der Bericht muss objektiv, faktenbasiert und frei von Spekulationen sein. Er übersetzt die technischen Funde in eine verständliche Sprache und beantwortet die ursprünglichen forensischen Fragestellungen.
 +
 +==== Typische Gliederung ====
 +  * **Management Summary:** Eine kurze, prägnante Zusammenfassung der wichtigsten Ergebnisse für Entscheidungsträger.
 +  * **Auftrag und Fragestellung:** Worin bestand der Untersuchungsauftrag?
 +  * **Zusammenfassung der Ergebnisse:** Die Antworten auf die gestellten Fragen in übersichtlicher Form.
 +  * **Detaillierte Darstellung:** Beschreibung der Vorgehensweise und der relevanten Funde in verständlicher Form.
 +  * **Schlussfolgerung:** Die aus den Fakten abgeleiteten Schlussfolgerungen. Wichtig: Es werden nur Feststellungen getroffen, die durch die digitalen Spuren belegt sind.
 +  * **Anhang:** Enthält bei Bedarf technische Details, eine Liste der Beweismittel, Hash-Listen oder ein Glossar.
 +
 +**Analogie:** //Es ist der abschließende Polizeibericht, der die Ermittlungsergebnisse für die Staatsanwaltschaft zusammenfasst und nicht die Notizen jedes einzelnen Beamten während der Ermittlung.//