| FOTO | AUTO | EDV | AUDIO |

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
edv:forensik:theorie [15 00 2025 20 : 00] André Reichert-Creutzedv:forensik:theorie [15 06 2025 20 : 06] (aktuell) André Reichert-Creutz
Zeile 1: Zeile 1:
 {{ :edv:forensik-logo.png?350 |}} {{ :edv:forensik-logo.png?350 |}}
 +T-Forensik ist die Anwendung wissenschaftlicher Methoden zur Untersuchung digitaler Spuren, um IT-sicherheitsrelevante Vorfälle, wie z.B. kriminelle Handlungen, objektiv und nachvollziehbar zu rekonstruieren.
  
-IT-Forensik ist die Anwendung wissenschaftlicher Methoden zur Untersuchung von IT-Systemenum sicherheitsrelevante Vorfälle systematisch aufzuklären und den Tathergang objektiv zu rekonstruieren.+Das übergeordnete Ziel ist dabei stets die Gerichtsverwertbarkeit der gewonnenen Erkenntnisse. Alle Prozesse und Methoden sind darauf ausgerichtetdass die digitalen Beweismittel vor Gericht standhalten und nicht verfälscht oder manipuliert werden können.
  
-Das primäre Ziel ist die Identifizierung, Sicherung, Analyse und Aufbereitung digitaler Spuren auf eine Art und Weise, die gerichtsverwertbar ist. Jeder Schritt muss daher die Integrität der Beweismittel wahren.+====== 1. Grundprinzipien und Standards ======
  
-~~TOC~~+Jede forensische Untersuchung basiert auf einem unumstößlichen Fundament aus Prinzipien und Anforderungen, die die Integrität des gesamten Prozesses sicherstellen.
  
-====== 1. Grundlagen: Prinzipien und Spuren ====== +===== Anforderungen an die Vorgehensweise =====
-Bevor ein Prozess gestartet wird, müssen die fundamentalen Regeln und die Natur der "Tatwerkzeuge" und "Spuren" verstanden werden.+
  
-===== Fundamentale Grundsätze ===== +1. Sicherstellung der IntegritätDas Original-Beweismittel darf niemals verändert werden. Analysen finden ausschließlich auf bit-genauen Kopien (//forensischen Images//) statt, deren Identität durch kryptografische Hashwerte (z.B. SHA-256) nachgewiesen wird. Beim Zugriff auf Originale sind Write-Blocker zwingend.
-Jede forensische Untersuchung unterliegt vier unumstößlichen Prinzipien, um die Qualität und rechtliche Anerkennung der Ergebnisse zu sichern:+
  
-1Originalität nicht verändernDas Original-Beweismittel wird niemals für die Analyse verwendetEs wird eine bit-genaue Kopie (Image) erstellt, und nur diese wird untersucht.+2Lückenlose Dokumentation (Chain of Custody)Jeder Schritt, von der Sicherstellung bis zur Analyse, muss minutiös protokolliert werdenDie Beweismittelkette muss jederzeit die Fragen //Wer, was, wann, wowie und warum?// beantworten können.
  
-2Lückenlose DokumentationJeder Schritt, vom Auffinden bis zum Abschlussbericht, muss detailliert protokolliert werden. Diese Chain of Custody (Beweismittelkette) stellt die Nachvollziehbarkeit sicher.+3Nachvollziehbarkeit und WiederholbarkeitEin unabhängiger Sachverständiger muss die Untersuchung anhand der Dokumentation nachvollziehen und zum selben Ergebnis gelangen können.
  
-3Wiederholbarkeit der ErgebnisseEin anderer qualifizierter Gutachter muss mit der Dokumentation und den gleichen Werkzeugen zum selben Ergebnis kommen können.+4Einsatz von validierten WerkzeugenDie verwendete Hard- und Software muss für den forensischen Zweck geeignet, getestet und validiert sein.
  
-4. Qualifikation des Forensikers: Die Untersuchung erfordert tiefgehendes Fachwissen über die Methodik, die Werkzeuge und die rechtlichen Rahmenbedingungen.+5. Qualifikation des Personals: Die Untersuchung darf nur von ausreichend qualifizierten Fachpersonen mit technischem und methodischem Wissen durchgeführt werden.
  
-===== Eigenschaften digitaler Spuren ===== +===== Internationaler Standard: ISO/IEC 27037 ===== 
-Digitale Spuren haben einzigartige Merkmale, die das Vorgehen bestimmen:+Der Standard ISO/IEC 27037:2012 ist der weltweit anerkannte Leitfaden für den Umgang mit digitalen Beweismitteln. Er definiert die Prozesse für die erste Phase der Forensik und richtet sich an Ersthelfer (//First Responder//). Sein Ziel ist es, die Integrität der Spuren von der Entdeckung bis zur Analyse zu gewährleisten.
  
-Flüchtigkeit (Volatilität): Informationen können schnell verloren gehen (z.BRAM-Inhalte bei einem Neustart).+^ Phase nach ISO/IEC 27037 ^ Hauptziel ^ Wichtige Tätigkeiten ^ 
 +| Identifizierung //(Identification)// | Potenzielle digitale Beweismittel erkennen und priorisieren. | Klassifizierung von Spurenträgern, Bewertung der Flüchtigkeit (Volatilität). | 
 +| Sammlung //(Collection)// | Physisches Einsammeln und sicheres Verpacken der Spurenträger| Dokumentation des Zustands (Fotos), antistatisches Verpacken, Versiegelung
 +| Sicherung //(Acquisition)// | Erstellung einer bit-genauen 1:1-Kopie der Originaldaten. | Einsatz von Write-Blockern, Erstellung eines forensischen Images, Verifizierung durch Hashwerte. | 
 +| Aufbewahrung //(Preservation)// | Schutz der Beweismittel und lückenlose Fortführung der Chain of Custody. | Sichere und zugangskontrollierte Lagerung, Protokollierung jedes Zugriffs|
  
-Exakte Kopierbarkeit: Spuren können verlustfrei und bit-genau kopiert werden.+====== 2Prozess & Methodik ======
  
-Nachweisbare Integrität: Kryptografische Hash-Verfahren (z.B. //SHA-256//) beweisen mathematisch, dass eine Kopie mit dem Original identisch ist.+Basierend auf den Grundprinzipien folgen forensische Untersuchungen etablierten Prozessmodellen und Methoden.
  
-Versteckbarkeit: Spuren können in für den Nutzer unsichtbaren Bereichen liegen (z.B. "gelöschte" DateienSlack Space).+===== Forensische Modelle ===== 
 +Forensische Modelle gliedern eine Untersuchung in logische und wiederholbare Phasenum einen chaotischen Sicherheitsvorfall in einen geordneten Prozess zu überführen.
  
-Menge und Komplexität: Die riesige Datenmenge erfordert spezialisierte Toolsum relevante Informationen zu finden.+==== Das Drei-Phasen-Konzept (Sichern, Analysieren, Präsentieren) ==== 
 +Die einfachste Darstellung des forensischen Ablaufs umfasst drei fundamentale Kernphasendie in fast jedem Modell enthalten sind:
  
-Schwierige Zuordenbarkeit: Eine digitale Spur (z.B. IP-Adresselässt sich oft nur schwer einer realen Person zuordnen (Anonymisierungstechniken).+Sichern (Secure / Acquire): Das unveränderte Sichern der Beweismittel und Erstellen einer forensischen Kopie.
  
-====== 2. Der forensische ProzessModelle und Standards ====== +Analysieren (Analyze)Die technische Untersuchung der erstellten Kopie.
-Um die Grundsätze in der Praxis umzusetzen, folgen Forensiker standardisierten Prozessmodellen und internationalen Normen.+
  
-===== Forensische Prozessmodelle ===== +Präsentieren (Present): Die verständliche Aufbereitung und Vorstellung der Ergebnisse in einem Gutachten.
-Modelle gliedern eine komplexe Untersuchung in logische, handhabbare Phasen. Fast alle basieren auf dem fundamentalen Dreiklang Sichern -> Analysieren -> Präsentieren.+
  
-==== Gängige Modelle im Überblick ====+==== Formale Modelle im Überblick ==== 
 +Es gibt verschiedene detaillierte Modelle, die diesen Kernprozess weiter ausführen. Die wichtigsten sind:
  
-BSI-Modell (Bundesamt für Sicherheit in der Informationstechnik): Ein 5-Phasen-Modell, das im deutschen Raum als Standard gilt (Vorbereitung, Datensicherung, Analyse, Datenaufbereitung, Abschluss).+Das BSI-Modell: Vom deutschen //Bundesamt für Sicherheit in der Informationstechnik// definiert.
  
-SANS-Modell (PICERL): Ein 6-Phasen-Modell aus dem Bereich Incident Response, das forensische Tätigkeiten in einen größeren Kontext der Vorfallsbewältigung einbettet.+Strategische Vorbereitung 
 + 
 +Datensicherung 
 + 
 +Analyse 
 + 
 +Datenaufbereitung 
 + 
 +Abschluss (Lessons Learned) 
 + 
 +Das SANS-Modell (PICERL): Ein sechsstufiges Modell für die Reaktion auf Vorfälle (Incident Response). 
 + 
 +Preparation (Vorbereitung) 
 + 
 +Identification (Identifizierung) 
 + 
 +Containment (Eindämmung) 
 + 
 +Eradication (Beseitigung) 
 + 
 +Recovery (Wiederherstellung) 
 + 
 +Lessons Learned (Auswertung)
 {{ :edv:forensik:sans-ir-process.png?600 |}} {{ :edv:forensik:sans-ir-process.png?600 |}}
-//Quelle: cynet.com//+//<sup>Quelle: cynet.com</sup>//
  
-NIST-Modell (National Institute of Standards and Technology): Ein 4-Phasen-Modell, das sich auf die technischen Kernaktivitäten konzentriert (Collection, Examination, Analysis, Reporting).+Das NIST-Modell: Vom U.S. //National Institute of Standards and Technology// (SP 800-86).
  
-===== ISO/IEC 27037: Der Standard für die Beweismittelsicherung ===== +Collection (Sammlung)
-Dieser internationale Standard ist das weltweit anerkannte Fundament für den korrekten Umgang mit digitalen Beweismitteln in der //ersten Phase// einer Untersuchung. Er stellt sicher, dass Spuren von der Entdeckung bis zur Analyse ihre Integrität behalten.+
  
-^ Phase nach ISO/IEC 27037 ^ Hauptziel ^ Wichtige Tätigkeiten ^ +Examination (Untersuchung
-| Identifizierung //(Identification)// | Potenzielle Beweismittel erkennen und priorisieren. | Klassifizierung von Spurenträgern, Bewertung der Flüchtigkeit. | + 
-| Sammlung //(Collection)// | Physisches Einsammeln und Verpacken der Spurenträger. | Sichere, antistatische Verpackung, Versiegelung, Fotodokumentation. | +Analysis (Analyse
-| Sicherung //(Acquisition)// | Erstellung einer bit-genauen 1:1-Kopie. | Einsatz von Write-Blockern, Erstellung eines Images, Verifizierung durch Hashwerte. | + 
-| Aufbewahrung //(Preservation)// | Schutz der Beweismittel und Dokumentation des Verbleibs. | Sichere Lagerung, lückenlose Fortführung der Chain of Custody. |+Reporting (Berichterstattung)
  
 ===== Untersuchungszeitpunkte: Live vs. Post-Mortem ===== ===== Untersuchungszeitpunkte: Live vs. Post-Mortem =====
-Die Art der Spuren bestimmt, wann die Untersuchung stattfinden muss.+Die Wahl der Methode hängt vom Zustand des Systems ab.
  
 ^ Merkmal ^ Live-Analyse ^ Post-Mortem-Analyse ^ ^ Merkmal ^ Live-Analyse ^ Post-Mortem-Analyse ^
 | Systemzustand | In Betrieb | Ausgeschaltet | | Systemzustand | In Betrieb | Ausgeschaltet |
 | Fokus | Flüchtige Daten (RAM, Netzwerkprozesse) | Persistente Daten (Festplatte, SSD) | | Fokus | Flüchtige Daten (RAM, Netzwerkprozesse) | Persistente Daten (Festplatte, SSD) |
-| Hauptziel | Schnelles Lagebild bei aktivem Angriff | Tiefgehende, wiederholbare Analyse | +| Hauptziel | Schnelles Lagebild, Sicherung volatiler Spuren | Tiefgehende, wiederholbare Analyse | 
-| Risiko | Hohe Gefahr der Spurenveränderung | Geringe Gefahr (Analyse auf Kopie|+| Risiko | Hohe Gefahr der Spurenveränderung | Geringe Gefahr, da auf Kopie gearbeitet wird |
  
-===== Dokumentation: Das A und O der Forensik ===== +===== Typische forensische Fragestellungen ===== 
-Jede Untersuchung produziert zwei Arten von Dokumenten:+Jede Untersuchung wird durch gezielte Fragen geleitet (die "sieben goldenen W der Kriminalistik"):
  
-Prozessbegleitende Dokumentation (Untersuchungsprotokoll): Ein technisches Echtzeit-Protokoll für Experten, das jeden Klick und jedes Ergebnis festhält. Es ist das Rückgrat der Chain of Custody.+Was ist passiert? (Rekonstruktion des Tathergangs)
  
-Abschließende Dokumentation (Forensischer Bericht): Ein verständliches Gutachten für Nicht-Techniker (Gericht, Management), das die Ergebnisse und Schlussfolgerungen objektiv darlegt.+Wer war der Täter? (Identifikation und Attribution)
  
-====== 3. Anwendungsfelder: Cybercrime und Malware ====== +Wann geschah es? (Zeitliche Analyse / Timeline)
-Die IT-Forensik wird meist im Kontext von Cyberkriminalität aktiv. Das Verständnis der Angriffsvektoren ist entscheidend für die Untersuchung.+
  
-===== Was ist Cybercrime===== +Wo fand der Angriff statt(Lokalisierung der betroffenen Systeme)
-Cybercrime sind Straftaten, die IT-Systeme entweder als Ziel (Hacking, DDoS) oder als Tatmittel (Online-Betrug, Datenhandelnutzen. Die Motive sind meist finanzieller Gewinn, Spionage oder Sabotage.+
  
-==== Gängige Ausprägungen von Cybercrime ====+Wie wurde die Tat ausgeführt? (Methode und Werkzeuge)
  
-Social Engineering & Phishing: Manipulation von Menschen zur Preisgabe von Informationen.+Womit wurde die Tat verübt? (Identifikation der Mittel)
  
-Schadsoftware (Malware): Einsatz von Ransomware, Trojanern, Viren oder Würmern.+Warum geschah es? (Motiv und Ziel)
  
-Denial-of-Service (DoS): Überlastung von Diensten, um deren Verfügbarkeit zu stören.+====== 3Das Untersuchungsobjekt: Digitale Spuren ======
  
-Identitätsdiebstahl: Missbrauch persönlicher Daten für kriminelle Zwecke.+Digitale Spuren sind die "Fingerabdrücke" und Beweisstücke der digitalen Welt. Ihre einzigartigen Eigenschaften bestimmen das Vorgehen der Forensik.
  
-==== Rechtlicher Rahmen in Deutschland ==== +===== Eigenschaften digitaler Spuren =====
-Cybercrime wird strafrechtlich verfolgt. Zentrale Tatbestände finden sich im Strafgesetzbuch (StGB), z.B.:+
  
-§ 202aAusspähen von Daten+Flüchtigkeit (Volatilität)Informationen können leicht verändert oder zerstört werden (z.B. RAM-Inhalt bei Neustart).
  
-§ 263aComputerbetrug+Exakte KopierbarkeitSpuren können bit-identisch und verlustfrei kopiert werden.
  
-§ 303bComputersabotage+Nachweisbare IntegritätKryptografische Hashes (z.B. SHA-256) beweisen die Unversehrtheit einer Spur.
  
-===== Analysefokus12 typische Malware-Arten ===== +Versteckbarkeit & WiederherstellbarkeitSpuren können versteckt (Steganographie) oder aus "gelöschten" Bereichen wiederhergestellt werden.
-Hier eine Übersicht der häufigsten Malware-Typen, die Forensiker bei Untersuchungen finden.+
  
-<WRAP>+Enorme Menge & Komplexität: Die Spurensuche gleicht der Suche nach der "Nadel im Heuhaufen".
  
-1. VirenHängen sich an Dateien und benötigen Nutzerinteraktion zur Verbreitung.+Schwierige ZuordenbarkeitDie Attribution einer digitalen Spur zu einer realen Person ist oft eine große Herausforderung (VPN, Tor etc.).
  
-2. Würmer: Verbreiten sich selbstständig über Netzwerk-Sicherheitslücken.+===== Forensische Datenarten ===== 
 +Um die Spurensuche zu strukturieren, werden Daten in Arten klassifiziert. Jede Art liefert spezifische Informationen: 
 + 
 +Hardwaredaten: Physische Kennungen von Komponenten (Seriennummern, MAC-Adressen). //Wichtig zur Identifizierung von Beweismitteln.// 
 + 
 +Rohdateninhalte (Raw Data): Der bit-genaue Inhalt eines Speichers. //Ermöglicht die Wiederherstellung gelöschter Dateien.// 
 + 
 +Konfigurationsdaten: Einstellungen des Betriebssystems und der Software. //Zeigt, wie ein System eingerichtet war und genutzt wurde (z.B. verbundene USB-Geräte).// 
 + 
 +Kommunikationsprotokolle: Logdateien über Netzwerkaktivitäten. //Zeichnet nach, wer wann mit wem kommuniziert hat.// 
 + 
 +Prozessdaten: Informationen über laufende Programme im Arbeitsspeicher (RAM). //Deck-t aktive Malware oder unautorisierte Prozesse auf.// 
 + 
 +Sitzungsdaten (Session Data): Informationen über Benutzeranmeldungen und -aktivitäten. //Zeigt, wann sich ein Benutzer an- und abgemeldet hat.// 
 + 
 +Anwenderdaten: Vom Benutzer erstellte Dateien. //Gibt direkten Einblick in die Handlungen des Nutzers (E-Mails, Dokumente, Browser-Verlauf).// 
 + 
 +====== 4. Der Kontext: Cybercrime ====== 
 + 
 +IT-Forensik wird meist im Kontext von Cyberkriminalität eingesetzt. 
 + 
 +Cybercrime bezeichnet Straftaten, die unter Ausnutzung von IT-Systemen begangen werden. Man unterscheidet: 
 + 
 +Cybercrime im engeren Sinne: Angriffe, die sich //gegen// IT-Systeme richten (Hacking, Malware). 
 + 
 +Cybercrime im weiteren Sinne: Nutzung von IT als //Tatmittel// für andere Delikte (Online-Betrug, illegaler Handel). 
 + 
 +===== Typische Ausprägungen von Cybercrime ===== 
 + 
 +Social Engineering & Phishing: Manipulation von Menschen, um an Informationen zu gelangen. 
 + 
 +Schadsoftware (Malware): Software, die entwickelt wurde, um Schaden anzurichten. 
 + 
 +Denial-of-Service (DoS/DDoS): Überlastung von Diensten, um sie unerreichbar zu machen. 
 + 
 +Identitätsdiebstahl: Missbrauch persönlicher Daten, um im Namen des Opfers zu handeln. 
 + 
 +===== Vertiefung: 12 gängige Malware-Typen und Schutzmaßnahmen ===== 
 +Eine der häufigsten Ursachen für forensische Untersuchungen ist ein Malware-Befall. 
 + 
 +1. Viren: Heften sich an Dateien und benötigen eine Nutzeraktion zur Verbreitung. 
 + 
 +Schutz: Verhaltensbasierte Antiviren-Software, Skript-Blocker. 
 + 
 +2. Würmer: Verbreiten sich selbstständig über Netzwerke durch Sicherheitslücken
 + 
 +Schutz: Zeitnahe Patches, Firewalls.
  
 3. Ransomware: Verschlüsselt Daten und fordert Lösegeld. 3. Ransomware: Verschlüsselt Daten und fordert Lösegeld.
  
-4. Bots/BotnetzeKapern Rechner für koordinierte Angriffe (z.B. DDoS).+SchutzRegelmäßige Offline-Backups (3-2-1-Regel).
  
-5TrojanerTarnen sich als nützliche Software, führen aber Schadcode aus.+4Bots / BotnetzeÜbernehmen Rechner für koordinierte Angriffe (z.B. DDoS).
  
-6. KeyloggerProtokollieren Tastatureingabenum Passwörter auszuspähen.+SchutzAnalyse des Netzwerkverkehrssichere IoT-Konfiguration.
  
-7RootkitsVerstecken sich tief im Systemum Malware zu tarnen.+5TrojanerTarnen sich als nützliche Softwareführen aber Schadfunktionen aus.
  
-8. SpywareSpäht Nutzerverhalten und sensible Daten aus.+SchutzSoftware nur aus vertrauenswürdigen Quellen, Anwendungs-Whitelisting.
  
-9Dateilose MalwareOperiert nur im Arbeitsspeicher (RAM), um Virenscanner zu umgehen.+6KeyloggerProtokollieren Tastatureingaben, um Passwörter abzugreifen.
  
-10. Krypto-JackingMissbraucht Systemressourcen zum Schürfen von Kryptowährung.+SchutzPasswort-Manager, virtuelle Tastaturen.
  
-11Wiper-MalwareZerstört Daten unwiderruflichohne Lösegeldforderung.+7RootkitsNisten sich tief im System einum sich zu verstecken.
  
-12. AdwareBlendet unerwünschte Werbung einoft mit Spyware-Funktionen. +SchutzSystem-IntegritätsprüfungenSecure Boot.
-</WRAP>+
  
-====== 4PraxisAnalyseobjekte und Schutzmaßnahmen ======+8SpywareSpäht Nutzeraktivitäten und Daten aus.
  
-===== Forensische Datenarten ===== +SchutzStriktes Berechtigungsmanagement, Anti-Spyware-Tools.
-Forensiker suchen in spezifischen Datenkategorien nach Spuren:+
  
-HardwaredatenEindeutige Identifikatoren von Geräten (Seriennummern, MAC-Adressen).+9. Dateilose MalwareOperiert nur im Arbeitsspeicher (RAMund nutzt System-Tools.
  
-RohdateninhalteBit-genauer Inhalt eines Speichersinkl. "gelöschter" Bereiche.+SchutzEndpoint Detection and Response (EDR)PowerShell-Monitoring.
  
-KonfigurationsdatenEinstellungen von OS und Software (z.B. aus der Registry).+10. Krypto-JackingNutzt fremde Systemressourcen zum Schürfen von Kryptowährungen.
  
-KommunikationsprotokolleLogdateien von FirewallsServern und Routern.+SchutzBrowser-Erweiterungen gegen MinerRessourcen-Monitoring.
  
-ProzessdatenFlüchtige Informationen über laufende Programme im RAM.+11. Wiper-MalwareZerstört Daten unwiderruflich.
  
-SitzungsdatenAnund AbmeldezeitenNutzeraktivitäten während einer Session.+SchutzOffline-BackupsNetzwerksegmentierung.
  
-AnwenderdatenVom Nutzer erstellte Dateien (DokumenteE-MailsBrowserverlauf).+12. AdwareBlendet unerwünschte Werbung eindie zu bösartigen Seiten führen kann. 
 + 
 +Schutz: Ad-BlockerSorgfalt bei Installationen.
  
 ===== Allgemeine Schutzmaßnahmen (Cyber-Hygiene) ===== ===== Allgemeine Schutzmaßnahmen (Cyber-Hygiene) =====
-Die beste Forensik ist die, die man nicht braucht. Eine solide Basis an Sicherheitsmaßnahmen ist die wichtigste Verteidigungslinie: 
  
-Regelmäßige Updates & Patch-Management: Sicherheitslücken zeitnah schließen.+Regelmäßige Updates & Patch-Management 
 + 
 +Sicherheitssoftware (AV, Firewall) 
 + 
 +Starke Authentifizierung (MFA) 
 + 
 +Prinzip der geringsten Rechte (PoLP) 
 + 
 +Zero-Trust-Architektur 
 + 
 +Mitarbeiterschulungen 
 + 
 +===== Rechtliche und ethische Perspektiven ===== 
 +Cybercrime wird in Deutschland strafrechtlich verfolgt. Relevante Paragrafen finden sich u.a. im Strafgesetzbuch (StGB): 
 + 
 +§ 202a: Ausspähen von Daten 
 + 
 +§ 263a: Computerbetrug 
 + 
 +§ 303b: Computersabotage 
 + 
 +Der Chaos Computer Club (CCC) leistet wichtige Aufklärungsarbeit, betont die Bedeutung mündiger Nutzer und warnt zugleich vor einer unverhältnismäßigen Ausweitung staatlicher Überwachung unter dem Vorwand der Cybercrime-Bekämpfung. 
 + 
 +====== 5. Das Ergebnis: Forensische Dokumentation ====== 
 + 
 +Die Dokumentation ist kein Nebenschauplatz, sondern ein Kernprodukt der forensischen Arbeit. 
 + 
 +===== Prozessbegleitende Dokumentation (Untersuchungsprotokoll) ===== 
 +Das lückenlose Echtzeit-Protokoll aller Maßnahmen. Es ist hochtechnisch und sichert die Chain of Custody. Inhalte sind u.a. Zeitstempel, beteiligte Personen, verwendete Tools, Hashwerte und jegliche unvorhergesehene Ereignisse. 
 + 
 +Analogie: //Es ist das detaillierte Logbuch eines Kapitäns, das jede Kursänderung und jedes Ereignis auf See festhält.// 
 + 
 +===== Abschließende Dokumentation (Forensischer Bericht) ===== 
 +Das zusammenfassende Gutachten für eine oft nicht-technische Zielgruppe (Gericht, Management). Es muss objektiv, faktenbasiert und verständlich sein. 
 + 
 +Eine typische Gliederung umfasst: 
 + 
 +Management Summary: Die Kernaussagen in Kürze. 
 + 
 +Auftrag und Fragestellung: Was sollte untersucht werden? 
 + 
 +Zusammenfassung der Ergebnisse: Die Antworten auf die Fragen. 
 + 
 +Detaillierte Darstellung: Beschreibung der Vorgehensweise und Funde. 
 + 
 +Schlussfolgerung: Was die Fakten belegen. 
 + 
 +Anhang: Technische Details, Glossar etc. 
 + 
 +Analogie: //Es ist der abschließende Polizeibericht, der die Ermittlungsergebnisse für die Staatsanwaltschaft zusammenfasst – nicht die Notizen jedes einzelnen Beamten.// 
 + 
 +====== Wichtige BSI-Quellen für die forensische Praxis ====== 
 + 
 +^ Publikation ^ Relevanz für die IT-Forensik ^ Link ^ 
 +| Leitfaden IT-Forensik | Das Grundlagenwerk. Definiert einen standardisierten Prozess. | [[https://www.bsi.bund.de/dok/Leitfaden-IT-Forensik|Leitfaden IT-Forensik]] | 
 +| BSI-Standard 200-3 | Liefert den organisatorischen Rahmen für Forensik im Notfallmanagement. | [[https://www.bsi.bund.de/dok/BSI-Standard-200-3|BSI-Standard 200-3]] | 
 +| IT-Grundschutz | Beschreibt die Notwendigkeit der Spurensicherung nach Sicherheitsvorfällen. | [[https://www.bsi.bund.de/dok/GSK-DER-2-1|IT-Grundschutz DER.2.1]] | 
 +| Lage der IT-Sicherheit | Jährlicher Bericht zu aktuellen Angriffsvektoren als Kontext für Ermittlungen. | [[https://www.bsi.bund.de/dok/Lagebericht|Aktueller Lagebericht]] |
  
-Sicherheitssoftware: Eine Kombination aus Antiviren-Software (AV) und Firewall nutzen. 
  
-Starke Authentifizierung: Multi-Faktor-Authentifizierung (MFA) wo immer möglich durchsetzen. 
  
-Principle of Least Privilege (PoLP): Nutzern und Systemen nur die absolut nötigen Rechte geben. 
  
-Zero-Trust-Architektur: Keinem Gerät oder Nutzer pauschal vertrauen – jede Anfrage verifizieren. 
  
-Backups: Regelmäßige und getestete Datensicherungen (3-2-1-Regel). 
  
-Mitarbeiterschulung: Aufgeklärte Benutzer sind die beste Verteidigung gegen Social Engineering. 
  
-====== BSI-Quellen für die forensische Praxis ====== 
-Das BSI stellt zentrale Leitfäden und Standards bereit, die als Referenz für die IT-Forensik in Deutschland dienen. 
  
-^ Publikation ^ Relevanz für die IT-Forensik ^ 
-| Leitfaden IT-Forensik | Das Grundlagenwerk. Definiert den standardisierten Prozess für forensische Untersuchungen. | 
-| BSI-Standard 200-3 | Liefert den organisatorischen Rahmen für das Notfallmanagement, in das die Forensik eingebettet ist. | 
-| IT-Grundschutz (DER.2.1) | Beschreibt die operative Behandlung von Sicherheitsvorfällen und die Notwendigkeit der Spurensicherung. | 
-| Lage der IT-Sicherheit | Jährlicher Bericht über aktuelle Angriffsvektoren und Bedrohungen, wichtig für die Hypothesenbildung. | 
-| TR-03125 (TR-ESOR) | Definiert die Anforderungen für die beweiswerterhaltende Langzeitspeicherung digitaler Beweismittel. |