Definition IT-Forensik

Was ist IT-Forensik?

| Autor / Redakteur: Tutanch / Peter Schmitz

IT-Forensik ist die methodische Datenanalyse zur Aufklärung und zur gerichtsverwertbaren Beweissicherung von IT-Vorfällen.
IT-Forensik ist die methodische Datenanalyse zur Aufklärung und zur gerichtsverwertbaren Beweissicherung von IT-Vorfällen. (Bild: Pixabay / CC0)

Die IT-Forensik ist ein Teilgebiet der Forensik und beschäftigt sich mit der methodischen Analyse von Vorfällen auf IT-Systemen und der gerichtsverwertbaren Sicherung der Beweise. Ziel ist es, exakt festzustellen, welche Aktionen auf einem IT-System stattgefunden haben und wer Verursacher oder Verantwortlicher hierfür ist.

Die IT-Forensik nutzt verschiedene Analyse-, Ermittlungs- und Beweissicherungstechniken, um verdächtige Vorgänge auf IT-Systemen zu untersuchen, zu dokumentieren und Verantwortliche zu ermitteln. Sie führt strukturierte, methodische Analysen durch und sichert Beweise gerichtssicher. Als Teilgebiet der Forensik hat sich die IT-Forensik zu einer eigenen Wissenschaft für Ermittlungsbehörden und Betreiber professioneller IT-Systeme entwickelt.

Neben der Aufklärung von Straftaten kann die IT-Forensik auch zum Einsatz kommen, um Störungen oder Fehlfunktionen der IT zu analysieren und aufzuklären. Die gesicherten digitalen Beweismittel müssen verschiedenen Anforderungen beispielsweise denen der Gerichte genügen. Die IT-Forensik lässt sich nochmals in die Computer-Forensik und die Daten-Forensik unterteilen. Während sich die Computer-Forensik um die Analyse von Geräten kümmert, sind bei der Daten-Forensik Datenbanken und Datenbestände Inhalt der Untersuchungen. Sowohl polizeiliche Behörden als auch IT-Unternehmen und Beratungsfirmen betreiben IT-Forensik.

Forensische Analyse von Datenträgern

Tool-Tipp: The Sleuth Kit und Autopsy

Forensische Analyse von Datenträgern

15.05.18 - Mit dem Open-Source-Forensik-Tool „The Sleuth Kit“ und dem HTML-Frontend „Autopsy“ lassen sich externe und interne Datenträger forensisch analysieren. Das Tool unterstützt die wichtigsten Dateiformate und kann gelöschte Dateien wiederherstellen. Es dient allerdings weniger der Datenrettung, sondern vor allem der forensischen Analyse. lesen

Strukturierter Ablauf einer IT-forensischen Analyse

Der Ablauf einer IT-forensischen Analyse ist strukturiert und methodisch immer gleich. Er umfasst die Schritte Identifizierung, Datensicherung, Analyse, Dokumentation und Aufbereitung. Im Prozessschritt der Identifizierung erfolgt eine Bestandsaufnahme des zu untersuchenden Vorfalls, die Darstellung der Ausgangslage und die Beschreibung der zu klärenden Fragen. Bei der Datensicherung werden alle im vorherigen Schritt identifizierten flüchtigen oder nicht flüchtigen Daten gesichert. Auch die Frage ist zu klären, ob ein IT-System trotz des Vorfalls weiter betrieben werden kann oder abgeschaltet werden muss. Während der Analyse werden Daten und Systeme hinsichtlich des Vorfalls genau untersucht, um Abläufe, Ursachen und Verantwortliche zu ermitteln. Der letzte Schritt befasst sich mit der Aufbereitung und der Präsentation der Analyseergebnisse. Der erstellte Bericht enthält Fakten wie die Identität des Täters, den Umfang und Zeitraum der Tat, Ursache und Motivation der Tat sowie den genauen Ablauf.

Beispiele für digitale Spuren der IT-Forensik

Während der IT-forensischen Analyse werden digitale Spuren identifiziert, lokalisiert und gesichert. Beispiele für digitale Spuren sind:

  • ausgeführte Anwendungen
  • erfolgte Anmeldungen an einem IT-System
  • abgesetzte Befehle auf einem IT-System
  • erfolgte Downloads von Dateien
  • Zugriffe auf Dateien
  • gelöschte Dateien
  • Verbindungen externer Geräte mit einem System
  • Veränderungen von Login-Daten
  • Aufrufe von Webseiten
  • Nutzung des Webbrowsers

Leitfaden des BSI

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Leitfaden für IT-Forensik veröffentlicht, der sich an Sicherheitsverantwortliche, Betreiber von IT-Systemen oder Administratoren wendet. Für diese Zielgruppen beschreibt der Leitfaden das methodische Vorgehen für Datenanalysen auf Datenträgern und Analysen in Computernetzwerken. Ziel ist es, bei der Aufklärung von IT-Vorfällen zu unterstützen. Der Leitfaden dient als Nachschlagewerk und beinhaltet verschiedene praxisbezogene Problemstellungen und Beispiele.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Unternehmen sind Anfällig für Innentäter

Insider Threats

Unternehmen sind Anfällig für Innentäter

Wenn über Bedrohungen der Unternehmens-IT diskutiert wird, liegt der Fokus meistens bei Gefahren durch Hacker, Cyber-Kriminelle und wie man dieser Bedrohung Herr werden kann. Etwas aus dem Blickfeld gerät dabei ein viel tiefer gehender Risikofaktor: Die Gefahren, die sich aus fahrlässigem oder böswilligen Verhalten eigener Mitarbeiter, Auftrag­nehmer oder Geschäftspartner ergeben können. lesen

Forensik und mehr mit Graph-Datenbanken

Mehrfachidentitäten, Geldwäsche und Steuerhinterziehung

Forensik und mehr mit Graph-Datenbanken

Eine Graph-Datenbank ist die Grundlage für die visualisierte Darstellung vernetzter Informa­tionen und Beziehungen. Egal, ob es dabei um die „Panama Papers“, Mehrfachidentitäten im Sozialsystem oder Geldwäsche geht – sie bilden die Grundlage für Recherchen. lesen

Was ist Cyber Resilience?

Definition Cyber Resilience

Was ist Cyber Resilience?

Cyber Resilience ist eine ganzheitliche Strategie zur Stärkung der Widerstandskraft der IT einer Organisation gegenüber Cyberangriffen. Cyber Resilience beinhaltet unter anderem die Konzepte der Cyber Security und des Business Continuity Managements. Sie soll Angriffe auf die IT verhindern und den sicheren Weiterbetrieb sowie die schnelle Wiederaufnahme des Betriebs sicherstellen. lesen

Monitoring und Zugriffsschutz für APIs

PingIntelligence for APIs mit intelligenter Erkennung

Monitoring und Zugriffsschutz für APIs

Der Sicherheitsanbieter Ping Identity bringt eine Monitoring-Lösung für API-Aktivitäten auf den Markt. PingIntelligence for APIs soll Cyber-Attacken auf API-Infrastrukturen automatisch erkennen und dabei helfen, sie zu vereiteln. lesen

Die wichtigsten Kriterien für ein Log-Management

Log-Daten und der Datenschutz

Die wichtigsten Kriterien für ein Log-Management

Geht es um die Sicherheit im Rechenzentrum, fallen als erstes Begriffe wie Failover, Spiegelung, Zutrittskontrolle, Brandschutz und unterbrechungsfreie Stromversorgung. Vor dem Hintergrund der DSGVO drängt sich nun das Thema Log-Management wieder mit in die erste Reihe. lesen

Cybersicherheit: eine Chance für Führungskräfte im Zeitalter der digitalen Transformation

[Gesponsert]

Bedarf an Sicherheit steigt weiter an

Cybersicherheit: eine Chance für Führungskräfte im Zeitalter der digitalen Transformation

Zum Schutz einer Organisation reichen kleinen Gruppen hochspezialisierter technischer Experten, die solche Bedrohungen analysieren, nicht aus. Moderne Unternehmen streben derzeit ein holistischeres Verständnis für die Natur der Risiken und deren potentielle Auswirkungen auf ihre Geschäftstätigkeit an. lesen

Cloud-Unwetter: Ein Schirm wird zum Schutz kaum reichen

Cloud-bezogene Digitalforensik

Cloud-Unwetter: Ein Schirm wird zum Schutz kaum reichen

Mit Cloud Computing hat sich schlagartig die Art und Weise geändert, wie Organisationen ihre IT-Infrastruktur betreiben. Der Wechsel zur Cloud ersetzte einen Großteil der traditionellen Hardware durch virtualisierte, aus der Ferne bereitgestellte, on-demand verfügbare Software-Services, die für den jeweiligen speziellen Bedarf konfiguriert werden. Diese Services werden meist in externen Rechenzentren von spezialisierten Providern betrieben. Die Folge: Software und Daten können physikalisch an mehreren Orten verteilt rund um den Globus gespeichert sein. lesen

Geheime Office 365-API zum Ausspähen von Benutzern

Mail-Nutzer-Überwachung in Office 365

Geheime Office 365-API zum Ausspähen von Benutzern

Administratoren in Office 365 können die Ak­ti­on­en von Mail-Anwendern auslesen. Ei­gent­lich ist die dazu entsprechende, geheime API aus Sicherheits- und Forensik-Gründen integriert, um Hackangriffen auf die Spur zu kommen. Zwar lassen sich keine Texte lesen, aber durch Analyse der Metadaten sind Kommunikations­verläufe nachvollziehbar. Microsoft hat die Existenz der API bestätigt. lesen

Apple Secure Enclave-Schutz lässt sich umgehen

Elcomsoft iOS Forensic Toolkit (EIFT)

Apple Secure Enclave-Schutz lässt sich umgehen

Elcomsoft hat das iOS Forensic Toolkit (EIFT), ein mobiles, forensisches Tool zur Daten­extraktion aus iPhones, iPads und iPod Touch-Geräten aktualisiert. Version 4.0 des Tools kann jetzt Elemente von 64-Bit-iOS-Geräten aus dem iOS-Schlüsselbund extrahieren und ent­schlüs­seln, wodurch der sichere Secure Enclave-Schutz erfolgreich umgangen wird. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45589938 / Definitionen)