| FOTO | AUTO | EDV | AUDIO |

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
edv:forensik:start [14 17 2025 21 : 17] – [Das SANS-Modell (PICERL)] André Reichert-Creutzedv:forensik:start [15 09 2025 21 : 09] (aktuell) André Reichert-Creutz
Zeile 1: Zeile 1:
-{{ :edv:forensik-logo.png?350 |}} \\ +{{:edv:forensik-logo.png?400|}} \\
 Forensik ist die wissenschaftliche Methodik zur Aufklärung und Rekonstruktion von kriminellen Handlungen durch die Sicherung und Analyse von Spuren. Forensik ist die wissenschaftliche Methodik zur Aufklärung und Rekonstruktion von kriminellen Handlungen durch die Sicherung und Analyse von Spuren.
  
Zeile 248: Zeile 247:
 Eine digitale Spur (z.B. eine IP-Adresse oder ein Benutzername) lässt sich oft nur mit hohem Aufwand einer realen Person zuordnen. Techniken wie die Nutzung von VPNs, Proxies oder dem Tor-Netzwerk erschweren die Identifizierung des Urhebers zusätzlich. Eine digitale Spur (z.B. eine IP-Adresse oder ein Benutzername) lässt sich oft nur mit hohem Aufwand einer realen Person zuordnen. Techniken wie die Nutzung von VPNs, Proxies oder dem Tor-Netzwerk erschweren die Identifizierung des Urhebers zusätzlich.
  
 +====== Forensische Datenarten ======
 +In der IT-Forensik werden Daten nach ihrer Beständigkeit und ihrem Speicherort klassifiziert. Die wichtigsten Datenarten sind jene, die den größten Einblick in die Aktivitäten auf einem System geben.
 +
 +===== 1. Hardwaredaten =====
 +Dies sind physische und festspeicherte Informationen über die Hardware-Komponenten eines Systems.
 +
 +Gewinnbare Informationen: Seriennummern, Hersteller, Modellbezeichnungen (z.B. von Festplatten, RAM), MAC-Adressen von Netzwerkkarten. Diese Daten sind essenziell zur exakten Identifizierung und Asservierung von Beweismitteln.
 +
 +===== 2. Rohdateninhalte (Raw Data) =====
 +Dies ist der bit-genaue Inhalt eines Speichermediums, unabhängig vom Dateisystem. Hier finden sich auch "gelöschte" Daten und Dateifragmente.
 +
 +Gewinnbare Informationen: Wiederherstellung gelöschter Dateien, Auffinden von versteckten Informationen in ungenutzten Speicherbereichen (//unallocated space//), Rekonstruktion von Dateifragmenten.
 +
 +===== 3. Konfigurationsdaten =====
 +Diese Daten beschreiben die Einstellungen des Betriebssystems und der installierten Software.
 +
 +Gewinnbare Informationen: Systemname, Netzwerkkonfiguration (IP-Adressen), installierte Programme, Sicherheitseinstellungen (Firewall-Regeln), automatisch startende Programme, verbundene USB-Geräte (aus der Registry).
 +
 +===== 4. Kommunikationsprotokolle =====
 +Dies sind Aufzeichnungen über Netzwerkaktivitäten, die von Systemen und Netzwerkgeräten erstellt werden.
 +
 +Gewinnbare Informationen: Chronologische Aufzeichnung von Netzwerkverbindungen (wer hat wann mit wem kommuniziert?), übertragene Datenmengen, verwendete Ports und Protokolle (z.B. HTTP, FTP), blockierte Verbindungsversuche (Firewall-Logs).
 +
 +===== 5. Prozessdaten =====
 +Dies sind Informationen über laufende oder kürzlich beendete Programme (Prozesse) im Arbeitsspeicher. Sie sind hochflüchtig.
 +
 +Gewinnbare Informationen: Aktive Schadsoftware (Malware), geöffnete Netzwerk-Ports durch Programme, welchem Benutzer ein Prozess gehört, welche Dateien ein Programm gerade verwendet.
 +
 +===== 6. Sitzungsdaten (Session Data) =====
 +Diese Daten beschreiben die Interaktion eines Benutzers mit dem System während einer bestimmten Anmeldeperiode.
 +
 +Gewinnbare Informationen: An- und Abmeldezeiten eines Benutzers, durchgeführte Aktionen während der Sitzung (z.B. Programmstarts, fehlgeschlagene Anmeldeversuche), von welchem entfernten System sich ein Benutzer angemeldet hat (Remote Desktop).
 +
 +===== 7. Anwenderdaten =====
 +Dies sind die Dateien und Informationen, die von einem Benutzer direkt erstellt oder verwaltet werden.
 +
 +Gewinnbare Informationen: Dokumente, Bilder, E-Mails, Browser-Verläufe, Cookies, Passwörter, Chat-Protokolle. Sie geben direkten Einblick in die Handlungen und Absichten des Benutzers.
 ===== Die zwei Untersuchungszeitpunkte ===== ===== Die zwei Untersuchungszeitpunkte =====
 In der IT-Forensik wird grundlegend zwischen zwei Zeitpunkten der Untersuchung unterschieden, die davon abhängen, ob das zu analysierende System in Betrieb ist oder nicht. Die Wahl des richtigen Zeitpunkts ist entscheidend, da bestimmte digitale Spuren nur in einem bestimmten Systemzustand existieren. In der IT-Forensik wird grundlegend zwischen zwei Zeitpunkten der Untersuchung unterschieden, die davon abhängen, ob das zu analysierende System in Betrieb ist oder nicht. Die Wahl des richtigen Zeitpunkts ist entscheidend, da bestimmte digitale Spuren nur in einem bestimmten Systemzustand existieren.
Zeile 338: Zeile 374:
 Die eigentliche forensische Untersuchung findet hier hauptsächlich in den Phasen Identifizierung und Eindämmung statt. Die eigentliche forensische Untersuchung findet hier hauptsächlich in den Phasen Identifizierung und Eindämmung statt.
 {{ :edv:forensik:sans-ir-process.png?600 |}} {{ :edv:forensik:sans-ir-process.png?600 |}}
 +<sup>Quelle: https://www.cynet.com/incident-response/incident-response-sans-the-6-steps-in-depth/ </sup>
 ==== Das NIST-Modell ==== ==== Das NIST-Modell ====
 Das U.S. National Institute of Standards and Technology (NIST) schlägt in seiner Publikation SP 800-86 ein vierphasiges Modell vor: Das U.S. National Institute of Standards and Technology (NIST) schlägt in seiner Publikation SP 800-86 ein vierphasiges Modell vor:
Zeile 346: Zeile 382:
   - Reporting (Berichterstattung): Erstellung des Abschlussberichts mit allen Funden.   - Reporting (Berichterstattung): Erstellung des Abschlussberichts mit allen Funden.
 Alle diese Modelle verfolgen das gleiche Ziel: einen chaotischen Sicherheitsvorfall in einen geordneten und wissenschaftlich fundierten Untersuchungsprozess zu überführen. Alle diese Modelle verfolgen das gleiche Ziel: einen chaotischen Sicherheitsvorfall in einen geordneten und wissenschaftlich fundierten Untersuchungsprozess zu überführen.
 +
 +Der internationale Standard ISO/IEC 27037:2012 ist ein Leitfaden für den Umgang mit digitalen Beweismitteln. Er legt standardisierte und methodisch saubere Prozesse fest, um sicherzustellen, dass digitale Spuren von ihrer Entdeckung bis zur Übergabe an ein Analyselabor ihre Integrität und damit ihre Beweiskraft behalten.
 +
 +Der Standard ist somit das weltweit anerkannte Fundament für die erste Phase der IT-Forensik und richtet sich an Ersthelfer (//First Responder//) und Spezialisten für die Beweismittelsammlung.
 +
 +===== ISO/IEC 27037 =====
 +Der Standard definiert einen durchgehenden Prozess, der die Chain of Custody (Beweismittelkette) für digitale Spuren etabliert. Die Hauptphasen sind:
 +
 +^ Phase ^ Hauptziel ^ Wichtige Tätigkeiten ^
 +| Identifizierung //(Identification)// | Potenzielle digitale Beweismittel erkennen und priorisieren. | Klassifizierung von Spurenträgern (PC, Smartphone, Server), Bewertung der Flüchtigkeit (Volatilität). |
 +| Sammlung //(Collection)// | Physisches Einsammeln und sicheres Verpacken der Spurenträger. | Dokumentation des Zustands (Fotos), antistatisches Verpacken, Versiegelung, Beschriftung. |
 +| Sicherung //(Acquisition)// | Erstellung einer bit-genauen 1:1-Kopie der Originaldaten. | Einsatz von Write-Blockern, Erstellung eines forensischen Images, Verifizierung durch Hashwerte. |
 +| Aufbewahrung //(Preservation)// | Schutz der Beweismittel und lückenlose Dokumentation ihres Verbleibs. | Sichere und zugangskontrollierte Lagerung, Fortführung der Chain of Custody (Beweismittelkette). |
 +
 +==== Warum ist der Standard so wichtig? ====
 +ISO/IEC 27037 schafft eine international einheitliche Vorgehensweise. Durch die Befolgung dieses Standards kann ein IT-Forensiker sicherstellen, dass die von ihm gesicherten Beweismittel auch in anderen Ländern und Rechtssystemen als vertrauenswürdig und gerichtsverwertbar eingestuft werden. Er ist die Grundlage für jede professionelle forensische Untersuchung.
 +
 +====== Dokumentation in der Forensik ======
 +In der IT-Forensik ist die Dokumentation kein optionaler Schritt, sondern ein integraler Bestandteil des Prozesses. Sie sichert die Nachvollziehbarkeit und Gerichtsverwertbarkeit der gesamten Untersuchung und gliedert sich in zwei wesentliche Teile.
 +
 +===== 1. Prozessbegleitende Dokumentation (Das Untersuchungsprotokoll) =====
 +Die prozessbegleitende Dokumentation ist das **lückenlose Echtzeit-Protokoll** aller durchgeführten Maßnahmen. Sie beginnt mit der Beauftragung und endet mit dem Abschluss der technischen Analyse. Sie ist das Rückgrat der **Chain of Custody** (Beweismittelkette).
 +
 +Dieses Dokument ist hochtechnisch und dient primär dazu, dass ein anderer Sachverständiger die Untersuchung exakt nachvollziehen und die Ergebnisse reproduzieren kann.
 +
 +===== Wichtige Inhalte =====
 +  * **Zeitstempel:** Jeder Schritt wird mit Datum und exakter Uhrzeit (synchronisierte Zeit!) protokolliert.
 +  * **Personen:** Wer hat welche Maßnahme durchgeführt?
 +  * **Handlungen:** Detaillierte Beschreibung jeder Aktion (z.B. "Hardware Write-Blocker an SATA-Port von Asservat 01 angeschlossen").
 +  * **Werkzeuge:** Eingesetzte Hard- und Software mit genauen Versionsnummern.
 +  * **Hashwerte:** Dokumentation aller berechneten Hashwerte (Original vs. Image).
 +  * **Fotodokumentation:** Fotos von Asservaten, Anschlüssen, dem Untersuchungsaufbau und relevanten Bildschirminhalten.
 +  * **Unerwartete Ereignisse:** Jegliche Probleme, Fehler oder Abweichungen vom Standardvorgehen müssen vermerkt und begründet werden.
 +
 +**Analogie:** //Es ist das detaillierte Logbuch eines Kapitäns, das jede Kursänderung und jedes Ereignis auf See festhält.//
 +
 +===== 2. Abschließende Dokumentation (Der forensische Bericht) =====
 +Die abschließende Dokumentation ist das **zusammenfassende Gutachten**, das die Ergebnisse der Untersuchung präsentiert. Im Gegensatz zum Untersuchungsprotokoll richtet es sich an eine oft **nicht-technische Zielgruppe** wie Richter, Staatsanwälte, die Geschäftsführung oder Personalabteilungen.
 +
 +Der Bericht muss objektiv, faktenbasiert und frei von Spekulationen sein. Er übersetzt die technischen Funde in eine verständliche Sprache und beantwortet die ursprünglichen forensischen Fragestellungen.
 +
 +==== Typische Gliederung ====
 +  * **Management Summary:** Eine kurze, prägnante Zusammenfassung der wichtigsten Ergebnisse für Entscheidungsträger.
 +  * **Auftrag und Fragestellung:** Worin bestand der Untersuchungsauftrag?
 +  * **Zusammenfassung der Ergebnisse:** Die Antworten auf die gestellten Fragen in übersichtlicher Form.
 +  * **Detaillierte Darstellung:** Beschreibung der Vorgehensweise und der relevanten Funde in verständlicher Form.
 +  * **Schlussfolgerung:** Die aus den Fakten abgeleiteten Schlussfolgerungen. Wichtig: Es werden nur Feststellungen getroffen, die durch die digitalen Spuren belegt sind.
 +  * **Anhang:** Enthält bei Bedarf technische Details, eine Liste der Beweismittel, Hash-Listen oder ein Glossar.
 +
 +**Analogie:** //Es ist der abschließende Polizeibericht, der die Ermittlungsergebnisse für die Staatsanwaltschaft zusammenfasst und nicht die Notizen jedes einzelnen Beamten während der Ermittlung.//