Broschüre: IT Forensik Analyst PDF Anmeldung / Broschüre (0.58 MB)
Alle Kurstermine »


Zeitpläne (IT) per Post: Anfordern »

Termine: Ganzjährige Termine
Dauer: 5 Tage
Seminarort: Bundesweit
Fachbereich: IT

Kosten:
2796,50 Euro inkl. MwSt. pro Teilnehmer
(2350,00 Euro netto + 446,50 Euro MwSt.)

Broschüre / Anmeldung: Kostenlos herunterladen »
Leseprobe: Skript IT Forensik Analyst »

IT-Forensiker Fachlich

3 Sicherstellung vor Ort


3.1 Grundsätze

Bekommt der Sachverständige / Forensiker die Aufgabe, das zu untersuchende Objekt vor Ort selbst sicherzustellen bzw. bei einer behördlichen Sicherstellung beratend mitzuwirken, sind unter dem Aspekt „keine Daten verändern“ einige Dinge zu beachten.

Sind die zu sichernden Objekte Datenträger in Form von Wechselspeichermedien vorhanden, so sind diese entsprechend zu katalogisieren. Auch eine Spindel von CD- / DVD-Rohlingen kann bespielte Datenträger enthalten.
Wechselspeichermedien können aufgrund ihrer Größe überall versteckt sein bzw. unverfänglich herumliegen. Es ist auf Speicherkarten, Memory-Sticks und MP3-Player zu achten, auch hier können verfängliche Daten gespeichert sein! USB-Sticks können sich in getarnten Umgebungen befinden, z.B. als Schlüsselanhänger etc.

Ebenfalls enthalten Mobiltelefone / Smartphones / Tablet-PCs und Digitalkameras, Drucker und Kopierer etc. Speichermedien und können zum Speichern inkriminierter Daten benutzt werden.

Sind die zu sichernden Objekte PCs, Clientrechner, Server etc., so ist der zum Zeitpunkt der Sicherstellung gültige Betriebszustand festzuhalten (beschreiben, fotografieren).
Unter anderem ist dabei von Bedeutung, ob

Laufen auf dem Rechner noch Programme, so empfiehlt es sich, diesen Zustand photographisch zu dokumentieren bzw. zu beschreiben. Alle am Rechner belegten Schnittstellen sind beschreibend und / oder photographisch zu sichern.
Ist ein Rechner in Betrieb, können auch durch kontrolliertes Herunterfahren Daten verändert oder gelöscht werden, sofern auf dem Gerät entsprechende Software installiert ist.

Im Falle einer Sicherstellung ist empfehlenswert, den Rechner durch Ziehen des Netzsteckers vom Strom zu nehmen. Diese Entscheidung obliegt grundsätzlich dem Einsatzleiter vor Ort, beziehungsweise dem Verantwortlichen und die Entscheidung ist zu dokumentieren.

Wird anders entschieden, so ist zu dokumentieren, dass der Grundsatz „Never touch an original!“ keine Gültigkeit besitzt. Dieses ist ausführlich im Protokoll festzuhalten. Für die Auswertung des Hauptspeichers in laufenden Systemen gibt es spezielle Tools. Es sollen Fälle bekannt sein, wo Daten im RAM (meist auf PCI-Karten) einen Warmstart überlebten und noch via forensische Boot-CD ausgewertet werden konnten, was zu beweisen wäre.

3.7 Wert von Beweismittel

Ein Beweismittel ist nur dann ein Sachbeweises, wenn es im Originalzustand vorliegt.
Bei der forensischen Untersuchung werden Schritte vollzogen, die folgender Struktur folgen. Die Beweismittel müssen

werden.
Diese Reihenfolge ist schlüssig und muss eingehalten werden.
In der Computer-Forensik muss nachvollzogen werden können, dass das gefundene Beweismittel im Original vorhanden ist.

Mit Originaldaten ist deshalb äußerst sorgsam umzugehen.

Als oberster Grundsatz gilt: „Never touch an original!


 

4 Grundsätze in der forensischen Untersuchung

4.1 Systemplattform

Je nach Kenntnisstand wählt sich der Sachverständige / Forensiker seine Systemplattformen.
Sowohl unter Windows als auch unter Unix (Linux) gibt es Tools für die forensische Auswertung und Analyse.
Der momentane Stand der technischen Ausstattung eines forensischen Labors baut auf Flexibilität sowohl in der System- als auch in der Auswertungsumgebung. Da in letzter Zeit häufiger Apple-Rechner (Mac) und iOS-Geräte in Straftaten involviert sind, ist es für den Sachverständigen / Forensiker unumgänglich, sich mit allen Systemen zu beschäftigen.

4.2 Arbeitsumgebung

In der Folge werden drei Arbeitsumgebungen beschrieben:

Praktisch sind alle drei Aufgaben auf einem Rechner zu bewältigen, jedoch verbietet sich Internetanschluss an einen Rechner, auf dem Datenträger-Images bzw. Auswertungen analysiert werden.
Im Hinblick auf eine zügige Abarbeitung des gezogenen Images empfiehlt sich ein Rechner für die Auswertung und Analyse. So können weitere Images gezogen werden, während auf dem zweiten Rechner bereits die Auswertung gefahren wird. Auch bei einer Infizierung des Systems wird dann nur ein Teilsystem betroffen (Risikominimierung).

4.3 Akquirierungsumgebung

Zur Akquirierung14 eines Datenträgers wird ein Tool zur Herstellung eines Images benötigt, bei dem auch der nicht genutzte Speicherplatz des Datenträgers gesichert wird.
Die Sicherung auf das Laufwerk geschieht ohne Rücksichtnahme auf Partitionen.
Die Akquirierung erfolgt ausschließlich von einem schreibgeschützten Quelllaufwerk.
Es ist dabei unerheblich, ob das System mittels Bootdiskette im DOS-Modus, mittels CD-R unter Windows oder Unix (Linux) gebootet wird oder das zu akquirierende Laufwerk direkt an den Akqurierungsrechner angeschlossen wird.

--------
14 erwerben, an-, herbeischaffen, beibringen

Auszeichnung 25 Jahre modal