| FOTO | AUTO | EDV | AUDIO |

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
edv:forensik:start [14 28 2025 21 : 28] – [Warum ist der Standard so wichtig?] André Reichert-Creutzedv:forensik:start [15 09 2025 21 : 09] (aktuell) André Reichert-Creutz
Zeile 1: Zeile 1:
-{{ :edv:forensik-logo.png?350 |}} \\ +{{:edv:forensik-logo.png?400|}} \\
 Forensik ist die wissenschaftliche Methodik zur Aufklärung und Rekonstruktion von kriminellen Handlungen durch die Sicherung und Analyse von Spuren. Forensik ist die wissenschaftliche Methodik zur Aufklärung und Rekonstruktion von kriminellen Handlungen durch die Sicherung und Analyse von Spuren.
  
Zeile 248: Zeile 247:
 Eine digitale Spur (z.B. eine IP-Adresse oder ein Benutzername) lässt sich oft nur mit hohem Aufwand einer realen Person zuordnen. Techniken wie die Nutzung von VPNs, Proxies oder dem Tor-Netzwerk erschweren die Identifizierung des Urhebers zusätzlich. Eine digitale Spur (z.B. eine IP-Adresse oder ein Benutzername) lässt sich oft nur mit hohem Aufwand einer realen Person zuordnen. Techniken wie die Nutzung von VPNs, Proxies oder dem Tor-Netzwerk erschweren die Identifizierung des Urhebers zusätzlich.
  
 +====== Forensische Datenarten ======
 +In der IT-Forensik werden Daten nach ihrer Beständigkeit und ihrem Speicherort klassifiziert. Die wichtigsten Datenarten sind jene, die den größten Einblick in die Aktivitäten auf einem System geben.
 +
 +===== 1. Hardwaredaten =====
 +Dies sind physische und festspeicherte Informationen über die Hardware-Komponenten eines Systems.
 +
 +Gewinnbare Informationen: Seriennummern, Hersteller, Modellbezeichnungen (z.B. von Festplatten, RAM), MAC-Adressen von Netzwerkkarten. Diese Daten sind essenziell zur exakten Identifizierung und Asservierung von Beweismitteln.
 +
 +===== 2. Rohdateninhalte (Raw Data) =====
 +Dies ist der bit-genaue Inhalt eines Speichermediums, unabhängig vom Dateisystem. Hier finden sich auch "gelöschte" Daten und Dateifragmente.
 +
 +Gewinnbare Informationen: Wiederherstellung gelöschter Dateien, Auffinden von versteckten Informationen in ungenutzten Speicherbereichen (//unallocated space//), Rekonstruktion von Dateifragmenten.
 +
 +===== 3. Konfigurationsdaten =====
 +Diese Daten beschreiben die Einstellungen des Betriebssystems und der installierten Software.
 +
 +Gewinnbare Informationen: Systemname, Netzwerkkonfiguration (IP-Adressen), installierte Programme, Sicherheitseinstellungen (Firewall-Regeln), automatisch startende Programme, verbundene USB-Geräte (aus der Registry).
 +
 +===== 4. Kommunikationsprotokolle =====
 +Dies sind Aufzeichnungen über Netzwerkaktivitäten, die von Systemen und Netzwerkgeräten erstellt werden.
 +
 +Gewinnbare Informationen: Chronologische Aufzeichnung von Netzwerkverbindungen (wer hat wann mit wem kommuniziert?), übertragene Datenmengen, verwendete Ports und Protokolle (z.B. HTTP, FTP), blockierte Verbindungsversuche (Firewall-Logs).
 +
 +===== 5. Prozessdaten =====
 +Dies sind Informationen über laufende oder kürzlich beendete Programme (Prozesse) im Arbeitsspeicher. Sie sind hochflüchtig.
 +
 +Gewinnbare Informationen: Aktive Schadsoftware (Malware), geöffnete Netzwerk-Ports durch Programme, welchem Benutzer ein Prozess gehört, welche Dateien ein Programm gerade verwendet.
 +
 +===== 6. Sitzungsdaten (Session Data) =====
 +Diese Daten beschreiben die Interaktion eines Benutzers mit dem System während einer bestimmten Anmeldeperiode.
 +
 +Gewinnbare Informationen: An- und Abmeldezeiten eines Benutzers, durchgeführte Aktionen während der Sitzung (z.B. Programmstarts, fehlgeschlagene Anmeldeversuche), von welchem entfernten System sich ein Benutzer angemeldet hat (Remote Desktop).
 +
 +===== 7. Anwenderdaten =====
 +Dies sind die Dateien und Informationen, die von einem Benutzer direkt erstellt oder verwaltet werden.
 +
 +Gewinnbare Informationen: Dokumente, Bilder, E-Mails, Browser-Verläufe, Cookies, Passwörter, Chat-Protokolle. Sie geben direkten Einblick in die Handlungen und Absichten des Benutzers.
 ===== Die zwei Untersuchungszeitpunkte ===== ===== Die zwei Untersuchungszeitpunkte =====
 In der IT-Forensik wird grundlegend zwischen zwei Zeitpunkten der Untersuchung unterschieden, die davon abhängen, ob das zu analysierende System in Betrieb ist oder nicht. Die Wahl des richtigen Zeitpunkts ist entscheidend, da bestimmte digitale Spuren nur in einem bestimmten Systemzustand existieren. In der IT-Forensik wird grundlegend zwischen zwei Zeitpunkten der Untersuchung unterschieden, die davon abhängen, ob das zu analysierende System in Betrieb ist oder nicht. Die Wahl des richtigen Zeitpunkts ist entscheidend, da bestimmte digitale Spuren nur in einem bestimmten Systemzustand existieren.