| FOTO | AUTO | EDV | AUDIO |

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Nächste Überarbeitung		Vorhergehende Überarbeitung
edv:forensik:theorie [15 54 2025 19 : 54] – angelegt André Reichert-Creutzedv:forensik:theorie [15 06 2025 20 : 06] (aktuell) André Reichert-Creutz
Zeile 1: Zeile 1:
-aaa+{{ :edv:forensik-logo.png?350 |}} 
 +T-Forensik ist die Anwendung wissenschaftlicher Methoden zur Untersuchung digitaler Spuren, um IT-sicherheitsrelevante Vorfälle, wie z.B. kriminelle Handlungen, objektiv und nachvollziehbar zu rekonstruieren. 
 + 
 +Das übergeordnete Ziel ist dabei stets die Gerichtsverwertbarkeit der gewonnenen Erkenntnisse. Alle Prozesse und Methoden sind darauf ausgerichtet, dass die digitalen Beweismittel vor Gericht standhalten und nicht verfälscht oder manipuliert werden können. 
 + 
 +====== 1. Grundprinzipien und Standards ====== 
 + 
 +Jede forensische Untersuchung basiert auf einem unumstößlichen Fundament aus Prinzipien und Anforderungen, die die Integrität des gesamten Prozesses sicherstellen. 
 + 
 +===== Anforderungen an die Vorgehensweise ===== 
 + 
 +1. Sicherstellung der Integrität: Das Original-Beweismittel darf niemals verändert werden. Analysen finden ausschließlich auf bit-genauen Kopien (//forensischen Images//) statt, deren Identität durch kryptografische Hashwerte (z.B. SHA-256) nachgewiesen wird. Beim Zugriff auf Originale sind Write-Blocker zwingend. 
 + 
 +2. Lückenlose Dokumentation (Chain of Custody): Jeder Schritt, von der Sicherstellung bis zur Analyse, muss minutiös protokolliert werden. Die Beweismittelkette muss jederzeit die Fragen //Wer, was, wann, wo, wie und warum?// beantworten können. 
 + 
 +3. Nachvollziehbarkeit und Wiederholbarkeit: Ein unabhängiger Sachverständiger muss die Untersuchung anhand der Dokumentation nachvollziehen und zum selben Ergebnis gelangen können. 
 + 
 +4. Einsatz von validierten Werkzeugen: Die verwendete Hard- und Software muss für den forensischen Zweck geeignet, getestet und validiert sein. 
 + 
 +5. Qualifikation des Personals: Die Untersuchung darf nur von ausreichend qualifizierten Fachpersonen mit technischem und methodischem Wissen durchgeführt werden. 
 + 
 +===== Internationaler Standard: ISO/IEC 27037 ===== 
 +Der Standard ISO/IEC 27037:2012 ist der weltweit anerkannte Leitfaden für den Umgang mit digitalen Beweismitteln. Er definiert die Prozesse für die erste Phase der Forensik und richtet sich an Ersthelfer (//First Responder//). Sein Ziel ist es, die Integrität der Spuren von der Entdeckung bis zur Analyse zu gewährleisten. 
 + 
 +^ Phase nach ISO/IEC 27037 ^ Hauptziel ^ Wichtige Tätigkeiten ^ 
 +| Identifizierung //(Identification)// | Potenzielle digitale Beweismittel erkennen und priorisieren. | Klassifizierung von Spurenträgern, Bewertung der Flüchtigkeit (Volatilität). | 
 +| Sammlung //(Collection)// | Physisches Einsammeln und sicheres Verpacken der Spurenträger. | Dokumentation des Zustands (Fotos), antistatisches Verpacken, Versiegelung. | 
 +| Sicherung //(Acquisition)// | Erstellung einer bit-genauen 1:1-Kopie der Originaldaten. | Einsatz von Write-Blockern, Erstellung eines forensischen Images, Verifizierung durch Hashwerte. | 
 +| Aufbewahrung //(Preservation)// | Schutz der Beweismittel und lückenlose Fortführung der Chain of Custody. | Sichere und zugangskontrollierte Lagerung, Protokollierung jedes Zugriffs. | 
 + 
 +====== 2. Prozess & Methodik ====== 
 + 
 +Basierend auf den Grundprinzipien folgen forensische Untersuchungen etablierten Prozessmodellen und Methoden. 
 + 
 +===== Forensische Modelle ===== 
 +Forensische Modelle gliedern eine Untersuchung in logische und wiederholbare Phasen, um einen chaotischen Sicherheitsvorfall in einen geordneten Prozess zu überführen. 
 + 
 +==== Das Drei-Phasen-Konzept (Sichern, Analysieren, Präsentieren) ==== 
 +Die einfachste Darstellung des forensischen Ablaufs umfasst drei fundamentale Kernphasen, die in fast jedem Modell enthalten sind: 
 + 
 +Sichern (Secure / Acquire): Das unveränderte Sichern der Beweismittel und Erstellen einer forensischen Kopie. 
 + 
 +Analysieren (Analyze): Die technische Untersuchung der erstellten Kopie. 
 + 
 +Präsentieren (Present): Die verständliche Aufbereitung und Vorstellung der Ergebnisse in einem Gutachten. 
 + 
 +==== Formale Modelle im Überblick ==== 
 +Es gibt verschiedene detaillierte Modelle, die diesen Kernprozess weiter ausführen. Die wichtigsten sind: 
 + 
 +Das BSI-Modell: Vom deutschen //Bundesamt für Sicherheit in der Informationstechnik// definiert. 
 + 
 +Strategische Vorbereitung 
 + 
 +Datensicherung 
 + 
 +Analyse 
 + 
 +Datenaufbereitung 
 + 
 +Abschluss (Lessons Learned) 
 + 
 +Das SANS-Modell (PICERL): Ein sechsstufiges Modell für die Reaktion auf Vorfälle (Incident Response). 
 + 
 +Preparation (Vorbereitung) 
 + 
 +Identification (Identifizierung) 
 + 
 +Containment (Eindämmung) 
 + 
 +Eradication (Beseitigung) 
 + 
 +Recovery (Wiederherstellung) 
 + 
 +Lessons Learned (Auswertung) 
 +{{ :edv:forensik:sans-ir-process.png?600 |}} 
 +//<sup>Quelle: cynet.com</sup>// 
 + 
 +Das NIST-Modell: Vom U.S. //National Institute of Standards and Technology// (SP 800-86). 
 + 
 +Collection (Sammlung) 
 + 
 +Examination (Untersuchung) 
 + 
 +Analysis (Analyse) 
 + 
 +Reporting (Berichterstattung) 
 + 
 +===== Untersuchungszeitpunkte: Live vs. Post-Mortem ===== 
 +Die Wahl der Methode hängt vom Zustand des Systems ab. 
 + 
 +^ Merkmal ^ Live-Analyse ^ Post-Mortem-Analyse ^ 
 +| Systemzustand | In Betrieb | Ausgeschaltet | 
 +| Fokus | Flüchtige Daten (RAM, Netzwerkprozesse) | Persistente Daten (Festplatte, SSD) | 
 +| Hauptziel | Schnelles Lagebild, Sicherung volatiler Spuren | Tiefgehende, wiederholbare Analyse | 
 +| Risiko | Hohe Gefahr der Spurenveränderung | Geringe Gefahr, da auf Kopie gearbeitet wird | 
 + 
 +===== Typische forensische Fragestellungen ===== 
 +Jede Untersuchung wird durch gezielte Fragen geleitet (die "sieben goldenen W der Kriminalistik"): 
 + 
 +Was ist passiert? (Rekonstruktion des Tathergangs) 
 + 
 +Wer war der Täter? (Identifikation und Attribution) 
 + 
 +Wann geschah es? (Zeitliche Analyse / Timeline) 
 + 
 +Wo fand der Angriff statt? (Lokalisierung der betroffenen Systeme) 
 + 
 +Wie wurde die Tat ausgeführt? (Methode und Werkzeuge) 
 + 
 +Womit wurde die Tat verübt? (Identifikation der Mittel) 
 + 
 +Warum geschah es? (Motiv und Ziel) 
 + 
 +====== 3. Das Untersuchungsobjekt: Digitale Spuren ====== 
 + 
 +Digitale Spuren sind die "Fingerabdrücke" und Beweisstücke der digitalen Welt. Ihre einzigartigen Eigenschaften bestimmen das Vorgehen der Forensik. 
 + 
 +===== Eigenschaften digitaler Spuren ===== 
 + 
 +Flüchtigkeit (Volatilität): Informationen können leicht verändert oder zerstört werden (z.B. RAM-Inhalt bei Neustart). 
 + 
 +Exakte Kopierbarkeit: Spuren können bit-identisch und verlustfrei kopiert werden. 
 + 
 +Nachweisbare Integrität: Kryptografische Hashes (z.B. SHA-256) beweisen die Unversehrtheit einer Spur. 
 + 
 +Versteckbarkeit & Wiederherstellbarkeit: Spuren können versteckt (Steganographie) oder aus "gelöschten" Bereichen wiederhergestellt werden. 
 + 
 +Enorme Menge & Komplexität: Die Spurensuche gleicht der Suche nach der "Nadel im Heuhaufen"
 + 
 +Schwierige Zuordenbarkeit: Die Attribution einer digitalen Spur zu einer realen Person ist oft eine große Herausforderung (VPN, Tor etc.). 
 + 
 +===== Forensische Datenarten ===== 
 +Um die Spurensuche zu strukturieren, werden Daten in Arten klassifiziert. Jede Art liefert spezifische Informationen: 
 + 
 +Hardwaredaten: Physische Kennungen von Komponenten (Seriennummern, MAC-Adressen). //Wichtig zur Identifizierung von Beweismitteln.// 
 + 
 +Rohdateninhalte (Raw Data): Der bit-genaue Inhalt eines Speichers. //Ermöglicht die Wiederherstellung gelöschter Dateien.// 
 + 
 +Konfigurationsdaten: Einstellungen des Betriebssystems und der Software. //Zeigt, wie ein System eingerichtet war und genutzt wurde (z.B. verbundene USB-Geräte).// 
 + 
 +Kommunikationsprotokolle: Logdateien über Netzwerkaktivitäten. //Zeichnet nach, wer wann mit wem kommuniziert hat.// 
 + 
 +Prozessdaten: Informationen über laufende Programme im Arbeitsspeicher (RAM). //Deck-t aktive Malware oder unautorisierte Prozesse auf.// 
 + 
 +Sitzungsdaten (Session Data): Informationen über Benutzeranmeldungen und -aktivitäten. //Zeigt, wann sich ein Benutzer an- und abgemeldet hat.// 
 + 
 +Anwenderdaten: Vom Benutzer erstellte Dateien. //Gibt direkten Einblick in die Handlungen des Nutzers (E-Mails, Dokumente, Browser-Verlauf).// 
 + 
 +====== 4. Der Kontext: Cybercrime ====== 
 + 
 +IT-Forensik wird meist im Kontext von Cyberkriminalität eingesetzt. 
 + 
 +Cybercrime bezeichnet Straftaten, die unter Ausnutzung von IT-Systemen begangen werden. Man unterscheidet: 
 + 
 +Cybercrime im engeren Sinne: Angriffe, die sich //gegen// IT-Systeme richten (Hacking, Malware). 
 + 
 +Cybercrime im weiteren Sinne: Nutzung von IT als //Tatmittel// für andere Delikte (Online-Betrug, illegaler Handel). 
 + 
 +===== Typische Ausprägungen von Cybercrime ===== 
 + 
 +Social Engineering & Phishing: Manipulation von Menschen, um an Informationen zu gelangen. 
 + 
 +Schadsoftware (Malware): Software, die entwickelt wurde, um Schaden anzurichten. 
 + 
 +Denial-of-Service (DoS/DDoS): Überlastung von Diensten, um sie unerreichbar zu machen. 
 + 
 +Identitätsdiebstahl: Missbrauch persönlicher Daten, um im Namen des Opfers zu handeln. 
 + 
 +===== Vertiefung: 12 gängige Malware-Typen und Schutzmaßnahmen ===== 
 +Eine der häufigsten Ursachen für forensische Untersuchungen ist ein Malware-Befall. 
 + 
 +1. Viren: Heften sich an Dateien und benötigen eine Nutzeraktion zur Verbreitung. 
 + 
 +Schutz: Verhaltensbasierte Antiviren-Software, Skript-Blocker. 
 + 
 +2. Würmer: Verbreiten sich selbstständig über Netzwerke durch Sicherheitslücken. 
 + 
 +Schutz: Zeitnahe Patches, Firewalls. 
 + 
 +3. Ransomware: Verschlüsselt Daten und fordert Lösegeld. 
 + 
 +Schutz: Regelmäßige Offline-Backups (3-2-1-Regel). 
 + 
 +4. Bots / Botnetze: Übernehmen Rechner für koordinierte Angriffe (z.B. DDoS). 
 + 
 +Schutz: Analyse des Netzwerkverkehrs, sichere IoT-Konfiguration. 
 + 
 +5. Trojaner: Tarnen sich als nützliche Software, führen aber Schadfunktionen aus. 
 + 
 +Schutz: Software nur aus vertrauenswürdigen Quellen, Anwendungs-Whitelisting. 
 + 
 +6. Keylogger: Protokollieren Tastatureingaben, um Passwörter abzugreifen. 
 + 
 +Schutz: Passwort-Manager, virtuelle Tastaturen. 
 + 
 +7. Rootkits: Nisten sich tief im System ein, um sich zu verstecken. 
 + 
 +Schutz: System-Integritätsprüfungen, Secure Boot. 
 + 
 +8. Spyware: Späht Nutzeraktivitäten und Daten aus. 
 + 
 +Schutz: Striktes Berechtigungsmanagement, Anti-Spyware-Tools. 
 + 
 +9. Dateilose Malware: Operiert nur im Arbeitsspeicher (RAM) und nutzt System-Tools. 
 + 
 +Schutz: Endpoint Detection and Response (EDR), PowerShell-Monitoring. 
 + 
 +10. Krypto-Jacking: Nutzt fremde Systemressourcen zum Schürfen von Kryptowährungen. 
 + 
 +Schutz: Browser-Erweiterungen gegen Miner, Ressourcen-Monitoring. 
 + 
 +11. Wiper-Malware: Zerstört Daten unwiderruflich. 
 + 
 +Schutz: Offline-Backups, Netzwerksegmentierung. 
 + 
 +12. Adware: Blendet unerwünschte Werbung ein, die zu bösartigen Seiten führen kann. 
 + 
 +Schutz: Ad-Blocker, Sorgfalt bei Installationen. 
 + 
 +===== Allgemeine Schutzmaßnahmen (Cyber-Hygiene) ===== 
 + 
 +Regelmäßige Updates & Patch-Management 
 + 
 +Sicherheitssoftware (AV, Firewall) 
 + 
 +Starke Authentifizierung (MFA) 
 + 
 +Prinzip der geringsten Rechte (PoLP) 
 + 
 +Zero-Trust-Architektur 
 + 
 +Mitarbeiterschulungen 
 + 
 +===== Rechtliche und ethische Perspektiven ===== 
 +Cybercrime wird in Deutschland strafrechtlich verfolgt. Relevante Paragrafen finden sich u.a. im Strafgesetzbuch (StGB): 
 + 
 +§ 202a: Ausspähen von Daten 
 + 
 +§ 263a: Computerbetrug 
 + 
 +§ 303b: Computersabotage 
 + 
 +Der Chaos Computer Club (CCC) leistet wichtige Aufklärungsarbeit, betont die Bedeutung mündiger Nutzer und warnt zugleich vor einer unverhältnismäßigen Ausweitung staatlicher Überwachung unter dem Vorwand der Cybercrime-Bekämpfung. 
 + 
 +====== 5. Das Ergebnis: Forensische Dokumentation ====== 
 + 
 +Die Dokumentation ist kein Nebenschauplatz, sondern ein Kernprodukt der forensischen Arbeit. 
 + 
 +===== Prozessbegleitende Dokumentation (Untersuchungsprotokoll) ===== 
 +Das lückenlose Echtzeit-Protokoll aller Maßnahmen. Es ist hochtechnisch und sichert die Chain of Custody. Inhalte sind u.a. Zeitstempel, beteiligte Personen, verwendete Tools, Hashwerte und jegliche unvorhergesehene Ereignisse. 
 + 
 +Analogie: //Es ist das detaillierte Logbuch eines Kapitäns, das jede Kursänderung und jedes Ereignis auf See festhält.// 
 + 
 +===== Abschließende Dokumentation (Forensischer Bericht) ===== 
 +Das zusammenfassende Gutachten für eine oft nicht-technische Zielgruppe (Gericht, Management). Es muss objektiv, faktenbasiert und verständlich sein. 
 + 
 +Eine typische Gliederung umfasst: 
 + 
 +Management Summary: Die Kernaussagen in Kürze. 
 + 
 +Auftrag und Fragestellung: Was sollte untersucht werden? 
 + 
 +Zusammenfassung der Ergebnisse: Die Antworten auf die Fragen. 
 + 
 +Detaillierte Darstellung: Beschreibung der Vorgehensweise und Funde. 
 + 
 +Schlussfolgerung: Was die Fakten belegen. 
 + 
 +Anhang: Technische Details, Glossar etc. 
 + 
 +Analogie: //Es ist der abschließende Polizeibericht, der die Ermittlungsergebnisse für die Staatsanwaltschaft zusammenfasst – nicht die Notizen jedes einzelnen Beamten.// 
 + 
 +====== Wichtige BSI-Quellen für die forensische Praxis ====== 
 + 
 +^ Publikation ^ Relevanz für die IT-Forensik ^ Link ^ 
 +| Leitfaden IT-Forensik | Das Grundlagenwerk. Definiert einen standardisierten Prozess. | [[https://www.bsi.bund.de/dok/Leitfaden-IT-Forensik|Leitfaden IT-Forensik]] | 
 +| BSI-Standard 200-3 | Liefert den organisatorischen Rahmen für Forensik im Notfallmanagement. | [[https://www.bsi.bund.de/dok/BSI-Standard-200-3|BSI-Standard 200-3]] | 
 +| IT-Grundschutz | Beschreibt die Notwendigkeit der Spurensicherung nach Sicherheitsvorfällen. | [[https://www.bsi.bund.de/dok/GSK-DER-2-1|IT-Grundschutz DER.2.1]] | 
 +| Lage der IT-Sicherheit | Jährlicher Bericht zu aktuellen Angriffsvektoren als Kontext für Ermittlungen. | [[https://www.bsi.bund.de/dok/Lagebericht|Aktueller Lagebericht]] | 
 + 
 + 
 + 
 + 
 + 
 + 
 +