IT-Forensik
Digitale Beweismittelsicherung von IT-Vorfällen.
IT-Forensik
 

Hardware

Hardware-Lösungen und Geräte in der IT-Forensik

Weiterlesen

Software

Software und Applikationen für die Anwendung in der Computer-Forensik

Weiterlesen

Wissen

Hintergrundinformation zu den Grundlagen der IT-Forensik

Weiterlesen

Nachrichten

Aktuelle Nachrichten und Informationen aus der IT- und Computer-Forensik.

Weiterlesen
 

IT-Forensik

Die Anwendungsbereiche der IT-Forensik oder auch Digitalen Forensik werden immer vielfältiger und auch die Angriffe auf Computersysteme und Netzwerkinformationsstrukturen nehmen weiterhin sprunghaft zu. Somit ist es nur logisch, dass auch der Markt für hardware- und softwareseitige Produkte im Bereich der Computerforensik zunehmend an Dynamik gewinnt. Dieser ist nicht nur allein durch den Wettbewerb getrieben, sondern auch durch die Tatsache der Diversifikation in der Wahl der zur Verfügung stehenden Kommunkationsmittel, die nicht zuletzt durch den Einsatz von Smartphones und "Bring-Your-Own-Device"-Szenarien, sich fortwährend weiterentwickelt.

Die Möglichkeit digitale Spuren aus Datenträgern auszulesen ist nicht nur in der Kriminalistik gefragt, sondern auch im Unternehmensumfeld, wenn es um die Nachweiserbringung von IT-gestützten Delikten geht. In der unternehmerischen Praxis  geht es hierbei noch nicht einmal ausschließlich um Industriespionage, sondern oftmals um wesentlich profanere Vorfälle wie bspw.:

  • Kopieren von Datensätzen wie Kundenstammdaten seitens eines Mitarbeiters
  • Verrat von Unternehmensgeheimnissen
  • Übertriebenes privates Surfen oder Erledigung von privaten Nebentätigkeiten während der Arbeitszeit.
  • Mobbing
  • Manipulation von Unternehmensdaten / Datensätzen oder einer Vielzahl weiterer Delikte

Die Gründe und die eigentliche Motivation eines Mitarbeiters dem Unternehmen zu schaden für das man tätig ist, können vielfältig sein und müssen nicht immer einen vorsätzlichen oder mutwilligen Hintergrund haben. Motivationen spielen in der IT-Forensik jedoch nicht die ausschlaggebende Rolle. IT-Forensik verfolgt einen wissenschaftlichen Ansatz, der sich ausschließlich auf die Beweisführung oder Beweisentkräftung konzentriert.

Beleuchtet man die IT-Forensik genau, so ist das Wissensspektrum was für einen IT-Forensiker erforderlich ist, sehr breit abgesteckt. Neben den zahlreichen unterschiedlichen Datenträgern und Dateisystemen, die ein regelmäßiger Bestandteil von forensischen Analysen sind, zählen hierzu auch umfangreiche Kenntnisse im Bereich der Datenrekonstruktion und Datenrettung, IT-Netzwerkstrukturen, Virtuellen Maschinen, vertiefte Kenntnisse in der IP- und Domainnamensauflösung sowie juristische Aspekte im Bereich des Datenschutzes und der Mitarbeiterrechte. Anhand des letztgenannten Punktes erkennt man einen guten IT-Forensiker quasi schon beim Beratungsgespräch, denn er eroiert gemeinsam mit dem Kunden die Ausgangslage und gibt im besten Falle schon hier wertvolle Hinweise zur Vorgehensweise, z.B. Handlungsempfehlungen in Absprache mit dem Betriebsrat, Einbindung des internen Datenschutzbeauftragten und Ratschläge zur Vorgehensweise vor Sicherstellung eines Geräts.

Alle oben benannten Punkte sind elementare Punkte, denn sie entscheiden schon vor der IT-forensischen Analyse über die Gerichtsfestigkeit- und spätere Verwertbarkeit der Beweisführung und selbst ein sattelfester erbrachter Beweis für ein IT-Delikt seitens eines Mitarbeiters kann nichtig sein, wenn den Beteiligten im Vorfeld der Sicherstellung eines Gerätes ein Verfahrensfehler unterläuft.

Die IT-Forensik gliedert sich von daher in folgende Bereiche:

  • Beratung
  • Identifizierung
  • Sicherstellung
  • Analyse
  • Aufbereitung und Präsentation der forensischen Ergebnisse

Das Ziel der Computer-Forensik ist hierbei die Beantwortung folgender Fragen:

  • Wer - hat Daten gelöscht, verändert oder manipuliert, bzw. kopiert ?
  • Wann - wurde diese Tat begangen (Datum / Uhrzeit)
  • Warum - wurden Daten gelöscht, verändert, manipuliert oder kopiert ?
  • Wo - wurde die Tat genau begangen
  • Was - ist genau vorgefallen / geschehen und welche Daten wurden exakt manipuliert bzw. betroffen.
  • Wie - welche soft- oder hardwaremäßigen Hilfsmittel wurden eingesetzt um die Tat zu begehen.

 

Bitlocker, TrueCrypt, FileVault & Co. - Passwort knacken, aushebeln und hacken mittels Inception

(c) by Carsten Maartmann / Inception Inception ist ein Tool zur physikalischen Speichermanipulation unter Verwendung des IEE 1394 SBP2 DMA Expoits mittels der libforensic1394 Library. Ähnliche Ansätze finden sich bereits in einigen Forensik-Tools des kommerziellen Anbieters Elcomsoft. Inception ist jedoch Freeware, bzw. Donationware und ist kostenlos erhältlich. Das Tool Inception ist in der Lage bei einem physikalischem Rechnerzugriff sämtliche Passwörter zurückzusetzen, um u.a. hierdurch auch auf vollverschlüsselte Festplatten (TrueCrypt, Bitlocker, FileVault) zuzugreifen zu können.

Hierzu greift Inception über die FireWire Schnittstelle, Thunderbolt, den ExpressCard / PC-Card Slot oder die PCI/PCIe Schnittstellen zur Abbilderstellung auf den Arbeitsspeicher der jeweiligen Maschine zu um im Anschluß in das erstellte Abbild des Arbeitsspeichers Codeveränderungen durchzuführen um die darin Signaturen zur Passwortabfrage von TrueCrypt, Bitlocker, FileVault und Co. außer Kraft zu setzen. Sobald diese Programmcode-Injizierung abgeschlossen worden ist, wird das veränderte Abbild des Arbeitsspeichers wieder auf die zu kompromittierende Maschine zurückgeschrieben. Hiernach akzeptiert z.B. TrueCrypt jedes beliebige Passwort. Auch Admin und Rootrechte lassen sich auf den jeweiligen Maschinen mittels "Inception" erlangen.

Weiterlesen: Bitlocker, TrueCrypt, FileVault & Co. - Passwort knacken, aushebeln und hacken mittels Inception

Neue Werkzeuge zur IT-Forensik - Atola Insight 3.0

Atola Technology LogoAtola Technology, nach eigenem Bekunden Weltmarktführer im Bereich der Hard- und Softwareentwicklung für die IT-Forensik und Datenrettung von Festplatten, präsentiert seine Neue Version von "Atola Insight 3.0". Neben über 200 neuen Funktionen und Fehlerbehebungen wurde im wesentlichen die Benutzer- und Bedienoberfläche des Programms überarbeitet und verbessert. Weitere Verbesserungen sorgen unter anderem dafür, dass nun zwei unterschiedliche Tasks für zwei Festplatten-Laufwerke simultan ausgeführt werden können.

Weiterlesen: Neue Werkzeuge zur IT-Forensik - Atola Insight 3.0

Oxygen Forensic Suite 2014 6.0 zielt auf Bandenkriminalität ab

Oxygen Mobile Forensic Suite

Oxygen Forensics hat eine aktualisierte Version seiner Mobil-Forensik Software "Oxygen Forensic Suite 2014" veröffentlicht. Als neueste Funktion wurde die Möglichkeit einer Queranalyse von Beweismitteln über mehrere Mobilgeräte implementiert.  Darüber hinaus erhielt die Version 6.0 neue Darstellungsoptionen um alle Verbindungen und die Kommunikation zwischen mehreren Verdächtigen in einer einzigen Übersicht zu visualisieren. Zudem sorgt eine verbesserte Historie / Timeline für bessere Präsentationsmöglichkeiten von geräteübergreifenden Vorfällen, da sich diese nun in einem Fenster komplett darstellen lassen.

Oxygen Forensic Suite 6.0 zielt in der neuen Version auf die Analyse von Mobiltelefonen bei Verdachtsvorfällen aus dem Bereich der Bandenkriminalität ab. Neue Analysefunktionen erlauben die Untersuchung von Interaktionen unterschiedlichster Nutzer von mehreren Mobiltelefonen,  wohingegen die verbesserte Timeline-Ansicht nun auch in der Lage ist, alle Vorfälle innerhalb einer definierten Zeitspanne in einem einzigen Bildschirmfenster darzustellen und dies unabhängig von der Anzahl analysierter Mobiltelefone.

Weiterlesen: Oxygen Forensic Suite 2014 6.0 zielt auf Bandenkriminalität ab

IT-Forensik Leitfaden

IT-Forensik Leitfaden des BSI

Den IT-Forensik Leitfaden vom Bundesamt für Sicherheit in der Informationstechnik können Sie unter untenstehendem Link downloaden. Dieser gibt Ihnen auf 354 Seiten tiefe Einblicke in alle anfallenden Aspekte im Tätigkeitsbereich der IT- und Computerforensik.

Neben einer detaillierten Beschreibung der allgemeine Vorgehensweise und forensischen Vorgehensweise, widmen sich die unterschiedlichen Kapitel auch spezifischeren Fragestellungen wie z.B der integrierten forensischen Methoden im Windows Server 2008 und 2003 sowie der Extraktion von Hardwaredaten, Rohdaten, Konfigurationsdaten sowie Protokolldaten von unterschiedlichen Betriebssystemen wie Windows oder Linux, über die unterschiedlichen Dateisysteme wie FAT32, NTFX und ext-Linux Partitionen, bis hin zu IT-forensischen Ansätzen zur Auswertung von IT-Anwendungsdaten wie MySQL, E-Mail Clients wie Outlook oder Thunderbird und vieler weiterer.

Download: IT-Forensik-Leitfaden