Definition IT-Forensik

Was ist IT-Forensik?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

IT-Forensik ist die methodische Datenanalyse zur Aufklärung und zur gerichtsverwertbaren Beweissicherung von IT-Vorfällen.
IT-Forensik ist die methodische Datenanalyse zur Aufklärung und zur gerichtsverwertbaren Beweissicherung von IT-Vorfällen. (Bild: Pixabay / CC0)

Die IT-Forensik ist ein Teilgebiet der Forensik und beschäftigt sich mit der methodischen Analyse von Vorfällen auf IT-Systemen und der gerichtsverwertbaren Sicherung der Beweise. Ziel ist es, exakt festzustellen, welche Aktionen auf einem IT-System stattgefunden haben und wer Verursacher oder Verantwortlicher hierfür ist.

Die IT-Forensik nutzt verschiedene Analyse-, Ermittlungs- und Beweissicherungstechniken, um verdächtige Vorgänge auf IT-Systemen zu untersuchen, zu dokumentieren und Verantwortliche zu ermitteln. Sie führt strukturierte, methodische Analysen durch und sichert Beweise gerichtssicher. Als Teilgebiet der Forensik hat sich die IT-Forensik zu einer eigenen Wissenschaft für Ermittlungsbehörden und Betreiber professioneller IT-Systeme entwickelt.

Neben der Aufklärung von Straftaten kann die IT-Forensik auch zum Einsatz kommen, um Störungen oder Fehlfunktionen der IT zu analysieren und aufzuklären. Die gesicherten digitalen Beweismittel müssen verschiedenen Anforderungen beispielsweise denen der Gerichte genügen. Die IT-Forensik lässt sich nochmals in die Computer-Forensik und die Daten-Forensik unterteilen. Während sich die Computer-Forensik um die Analyse von Geräten kümmert, sind bei der Daten-Forensik Datenbanken und Datenbestände Inhalt der Untersuchungen. Sowohl polizeiliche Behörden als auch IT-Unternehmen und Beratungsfirmen betreiben IT-Forensik.

Forensische Analyse von Datenträgern

Tool-Tipp: The Sleuth Kit und Autopsy

Forensische Analyse von Datenträgern

15.05.18 - Mit dem Open-Source-Forensik-Tool „The Sleuth Kit“ und dem HTML-Frontend „Autopsy“ lassen sich externe und interne Datenträger forensisch analysieren. Das Tool unterstützt die wichtigsten Dateiformate und kann gelöschte Dateien wiederherstellen. Es dient allerdings weniger der Datenrettung, sondern vor allem der forensischen Analyse. lesen

Strukturierter Ablauf einer IT-forensischen Analyse

Der Ablauf einer IT-forensischen Analyse ist strukturiert und methodisch immer gleich. Er umfasst die Schritte Identifizierung, Datensicherung, Analyse, Dokumentation und Aufbereitung. Im Prozessschritt der Identifizierung erfolgt eine Bestandsaufnahme des zu untersuchenden Vorfalls, die Darstellung der Ausgangslage und die Beschreibung der zu klärenden Fragen. Bei der Datensicherung werden alle im vorherigen Schritt identifizierten flüchtigen oder nicht flüchtigen Daten gesichert. Auch die Frage ist zu klären, ob ein IT-System trotz des Vorfalls weiter betrieben werden kann oder abgeschaltet werden muss. Während der Analyse werden Daten und Systeme hinsichtlich des Vorfalls genau untersucht, um Abläufe, Ursachen und Verantwortliche zu ermitteln. Der letzte Schritt befasst sich mit der Aufbereitung und der Präsentation der Analyseergebnisse. Der erstellte Bericht enthält Fakten wie die Identität des Täters, den Umfang und Zeitraum der Tat, Ursache und Motivation der Tat sowie den genauen Ablauf.

Beispiele für digitale Spuren der IT-Forensik

Während der IT-forensischen Analyse werden digitale Spuren identifiziert, lokalisiert und gesichert. Beispiele für digitale Spuren sind:

  • ausgeführte Anwendungen
  • erfolgte Anmeldungen an einem IT-System
  • abgesetzte Befehle auf einem IT-System
  • erfolgte Downloads von Dateien
  • Zugriffe auf Dateien
  • gelöschte Dateien
  • Verbindungen externer Geräte mit einem System
  • Veränderungen von Login-Daten
  • Aufrufe von Webseiten
  • Nutzung des Webbrowsers

Leitfaden des BSI

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Leitfaden für IT-Forensik veröffentlicht, der sich an Sicherheitsverantwortliche, Betreiber von IT-Systemen oder Administratoren wendet. Für diese Zielgruppen beschreibt der Leitfaden das methodische Vorgehen für Datenanalysen auf Datenträgern und Analysen in Computernetzwerken. Ziel ist es, bei der Aufklärung von IT-Vorfällen zu unterstützen. Der Leitfaden dient als Nachschlagewerk und beinhaltet verschiedene praxisbezogene Problemstellungen und Beispiele.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Ursachen von Cyberangriffen mit IT-Forensik erkennen

Dem Angriff auf der Spur

Ursachen von Cyberangriffen mit IT-Forensik erkennen

Ein junger Systemadministrator eines mittelständischen Unternehmens sieht sich mit ei-nem erfolgreichen Hackerangriff konfrontiert, mehrere Computer sind mit Viren infiziert, möglicher-weise stehen weitere Angriffe bevor. Die Geschäftsleitung ist alarmiert. Wer ist dafür verantwortlich? Möglicherweise sogar ein eigener Mitarbeiter? Und wie groß ist der Schaden? lesen

Kein Ruhetag für Cybersecurity-Fachkräfte

IT-Security Best Practice

Kein Ruhetag für Cybersecurity-Fachkräfte

Datenlecks, Datendiebstahl, Cyberangriffe. Erst vor Kurzem, Anfang 2019, machte ein weitreichender Angriff auf sensible Daten von deutschen Politikern und Prominenten Schlagzeilen. Die bloße Bandbreite und Häufigkeit dieser Angriffe ist Beweis genug, dass ungeachtet der Größe oder Art eines Unternehmens alle Akteure anfällig sind und Opfer eines Angriffs werden könnten. lesen

Was ist ein Indicator of Compromise?

Definition Indicator of Compromise (IoC)

Was ist ein Indicator of Compromise?

Indicator of Compromise (IoC) sind Merkmale und Daten, die auf die Kompromittierung eines Computersystems oder Netzwerks hinweisen. Es handelt sich beispielsweise um außergewöhnliche Netzaktivitäten, besondere Dateien, Einträge in Logfiles oder gestartete Prozesse. Die Kompromittierungsindikatoren lassen sich in eine strukturierte Form bringen und automatisiert auswerten. lesen

Wieder Attacken auf Krankenhäuser

Ransomware

Wieder Attacken auf Krankenhäuser

Erneut wurden deutsche Krankenhäuser per Erpressungstrojaner lahmgelegt. Was Datenschutz und Security-Anbieter dazu sagen – und was Kliniken im Notfall tun können. lesen

Unternehmen müssen ihre Abwehr stärken

Cyber-Resilience

Unternehmen müssen ihre Abwehr stärken

Die Digitalisierung birgt neue Gefahren, aber dem technologischen Fortschritt auszuweichen bedeutet Stillstand. Niemand ist vor Cyber-Piraterie geschützt. Egal ob große Unternehmen, Konzerne oder staatliche Institutionen, selbst Politiker und Stars, es kann jeden treffen. Aber was schützt vor den Gefahren? Es gibt leider noch kein Patentrezept. lesen

Die Evolution der Endpunktsicherheit

Von Antivirus zu Endpoint Detection & Response

Die Evolution der Endpunktsicherheit

Der Begriff Endpoint Detection & Response – kurz EDR – steht für zukunftsgerichtete Endpunktsicherheit, die Unternehmen tiefen Einblick in verdächtige und schädliche Aktivitäten gewährt. Davon ausgehend, dass es keinen hundertprozentigen Schutz geben kann, ermöglicht es EDR als sinnvolle Ergänzung zur Endpoint Protection, verdächtige Aktivitäten aufzuspüren, zu analysieren und schließlich darauf zu reagieren. lesen

Diebstahl DSGVO-relevanter Daten verhindern

IT-Security Management & Technology Conference 2019

Diebstahl DSGVO-relevanter Daten verhindern

In einer Live-Demo zeigt Michael Veit, Technology Evangelist bei Sophos, auf der IT-Security Management & Technology Conference 2019, wie Angriffe heutzutage erfolgen, wie sie erkannt, analysiert und dann verhindert werden. lesen

Twistlock schützt Container, Hosts und Serverless

Cloud-native Sicherheitslösung für Cloud-native Umgebungen

Twistlock schützt Container, Hosts und Serverless

Im Zuge des neuesten Releases wird Twistlock 19.03 zur umfassenden Cloud-native-Sicherheitsplattform. Hosts, Container sowie Serverless-Architekturen lassen sich mit der ihrerseits Cloud-nativen und API-fähigen Lösung gleichermaßen schützen. lesen

Unternehmen im Visier von Angreifern

IT-Security Management & Technology Conference 2019

Unternehmen im Visier von Angreifern

Die Frage, warum ein Unternehmen gehackt wird, stellen sich viele Security-Verantwortliche oft gar nicht. Unternehmen gehen davon aus, dass sie zu klein seien um ein lohnendes Ziel für Angreifer zu sein. Das zeigt, dass viele Verantwortliche die Risiken für ihr eigenes Unternehmen nicht sehen oder gar nicht kennen, meist sogar ein falsches Verständnis davon haben, was kriminelle Hacker motiviert. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45589938 / Definitionen)