docs: add obsidian hwr docs

IT-Sicherheit/Zusammenfassungen/itsec4 - zusammenfassung.md

@@ -0,0 +1,319 @@
+# Datenforensik
+
+# 1. Grundlagen der Datenforensik
+
+## 1.1 Definition
+
+**Datenforensik** (auch IT-Forensik oder digitale Forensik) ist die systematische Untersuchung von IT-Systemen zur:
+
+- Feststellung eines Tatbestandes
+- Identifizierung von Tätern
+- Rekonstruktion eines Vorfalls
+- gerichtsfesten Sicherung digitaler Beweise
+
+Sie ist ein interdisziplinäres Feld aus:
+
+- Informatik
+- Netzwerktechnik
+- Betriebssystemtechnik
+- Recht
+- Kriminalistik
+
+---
+
+## 1.2 Zielsetzung
+
+Zentrale Ziele einer forensischen Untersuchung:
+
+- 🔎 **Rekonstruktion des Tathergangs**
+- 👤 **Identifikation beteiligter Personen**
+- ⏱ **Bestimmung des Tatzeitraums (Timeline)**
+- 📦 **Ermittlung des Schadensumfangs**
+- ⚖ **Gerichtsfeste Beweisführung**
+
+---
+
+# 2. Arten von Computerkriminalität
+
+## 2.1 Klassische Delikte mit IT-Bezug
+
+- Betrug
+- Erpressung
+- Urheberrechtsverletzung
+- Geheimnisverrat
+- Verbreitung illegaler Inhalte
+
+## 2.2 Computerkriminalität im engeren Sinne
+
+- Ausspähen von Daten
+- Abfangen von Daten
+- Computerbetrug
+- Datenveränderung
+- Computersabotage
+- Fälschung beweiserheblicher Daten
+
+---
+
+# 3. Motivation von Tätern
+
+- 💰 finanzielle Interessen
+- 🧠 technische Neugier
+- 🧨 Rache oder Frustration
+- 🏛 politische Motivation
+- 🌍 staatlich organisierte Spionage
+
+---
+
+# 4. Forensischer Untersuchungsprozess
+
+Die Untersuchung erfolgt strukturiert und nachvollziehbar.
+
+## 4.1 Standardprozess (SAP-Modell)
+
+1. **Identifizierung**
+2. **Sicherstellung (Secure)**
+3. **Analyse**
+4. **Präsentation**
+
+---
+
+# 5. Phase 1: Identifizierung
+
+Ziel: Feststellung, ob ein Sicherheitsvorfall vorliegt.
+
+### Aufgaben:
+
+- Dokumentation der vorgefundenen Situation
+- Bestandsaufnahme betroffener Systeme
+- Identifikation relevanter Datenquellen:
+  - Log-Dateien
+  - Server
+  - Endgeräte
+  - Netzwerkgeräte
+  - Cloud-Systeme
+
+### Leitfragen:
+
+- Wer hatte Zugriff?
+- Wann trat der Vorfall auf?
+- Welche Systeme sind betroffen?
+
+---
+
+# 6. Phase 2: Sicherstellung von Beweisen
+
+## 6.1 Grundprinzipien
+
+- Minimale Veränderung der Originaldaten
+- Lückenlose Dokumentation (Chain of Custody)
+- Erstellung forensischer Kopien
+- Sicherung der Integrität durch Hash-Werte
+
+## 6.2 Forensisches Duplikat
+
+- Bitweise 1:1-Kopie eines Datenträgers
+- Keine logische Kopie!
+- Einsatz von Write-Blockern
+- Dokumentation von:
+  - Datum
+  - Uhrzeit
+  - beteiligte Personen
+  - verwendete Tools
+
+## 6.3 Integritätsnachweis
+
+- Bildung kryptographischer Hash-Werte (z. B. SHA-256)
+- Vergleich vor und nach Analyse
+- Sicherstellung der Unverändertheit
+
+---
+
+# 7. Flüchtige vs. nicht-flüchtige Daten
+
+## 7.1 Flüchtige Daten (RAM)
+
+Vor Abschalten sichern:
+
+- angemeldete Benutzer
+- laufende Prozesse
+- Netzwerkverbindungen
+- offene Dateien
+- gespeicherte Schlüssel im Speicher
+
+Problem:
+Ein einfaches Ausschalten zerstört diese Beweise.
+
+## 7.2 Nicht-flüchtige Daten
+
+- Festplatten
+- SSD
+- USB-Sticks
+- Smartphones
+- Cloud-Speicher
+
+---
+
+# 8. Live-Response vs. Offline-Analyse
+
+## 8.1 Live-Response
+
+Analyse eines laufenden Systems.
+
+Vorteile:
+- Sicherung flüchtiger Daten
+- Erkennung von Rootkits
+
+Risiken:
+- Veränderung des Systems
+- Manipulation durch Schadsoftware
+
+## 8.2 Offline-Analyse
+
+- Untersuchung auf separatem Analyse-System
+- Arbeit mit forensischem Image
+- bevorzugte Methode bei gerichtlichen Verfahren
+
+---
+
+# 9. Phase 3: Forensische Analyse
+
+## 9.1 Anforderungen an den Analysten
+
+- tiefgehende OS-Kenntnisse
+- Verständnis von Dateisystemen
+- Netzwerkforensik
+- Kenntnisse aktueller Angriffstechniken
+- Improvisationsfähigkeit
+
+## 9.2 Analysebereiche
+
+### Dateisystemanalyse
+- gelöschte Dateien
+- versteckte Dateien
+- Zeitstempelanalyse (MAC-Times)
+
+### Log-Analyse
+- Authentifizierungsversuche
+- Administratorzugriffe
+- ungewöhnliche Aktivitäten
+
+### Netzwerkforensik
+- Analyse von Netzwerkverkehr
+- Rekonstruktion von Datenströmen
+- Identifikation externer Verbindungen
+
+### Malware-Analyse
+- statische Analyse
+- dynamische Analyse
+- Reverse Engineering
+
+---
+
+# 10. Timeline-Erstellung
+
+Erstellung einer chronologischen Ereigniskette:
+
+- Login-Zeiten
+- Dateiänderungen
+- Prozessstarts
+- Netzwerkverbindungen
+
+Ziel:
+Rekonstruktion des exakten Tathergangs.
+
+---
+
+# 11. Phase 4: Aufbereitung und Präsentation
+
+## 11.1 Berichtserstellung
+
+Ein forensischer Bericht enthält:
+
+- Beschreibung des Vorfalls
+- angewandte Methoden
+- verwendete Werkzeuge
+- Analyseergebnisse
+- Schlussfolgerungen
+
+## 11.2 Gerichtsfeste Präsentation
+
+Erforderlich:
+
+- Nachvollziehbarkeit
+- Reproduzierbarkeit
+- Beweiskette
+- Integritätsnachweise
+
+Beweise müssen:
+
+- unverändert
+- dokumentiert
+- überprüfbar sein
+
+---
+
+# 12. Incident Response vs. Forensik
+
+## Incident Response
+
+- schnelle Wiederherstellung des Betriebs
+- Schadensbegrenzung
+- Schließen von Sicherheitslücken
+
+## Forensik
+
+- Täterermittlung
+- gerichtliche Verwertung
+- langfristige Ursachenanalyse
+
+---
+
+# 13. Beweiskette (Chain of Custody)
+
+Dokumentiert:
+
+- Wer hatte wann Zugriff?
+- Wo wurde das Beweismittel aufbewahrt?
+- Welche Maßnahmen wurden durchgeführt?
+
+Fehlende Dokumentation kann Beweise unbrauchbar machen.
+
+---
+
+# 14. Typische Fehler bei der Spurensicherung
+
+- vorschnelles Abschalten des Systems
+- Arbeiten auf dem Originalsystem
+- fehlende Hash-Werte
+- unvollständige Dokumentation
+- Vermischung von Incident Response und Forensik
+
+---
+
+# 15. Moderne Herausforderungen
+
+- Verschlüsselte Datenträger
+- Cloud-Umgebungen
+- Container und virtuelle Maschinen
+- Smartphones
+- flüchtige Malware im RAM
+- Anti-Forensik-Techniken
+
+---
+
+# 16. Gesamtbedeutung
+
+Datenforensik ist:
+
+- technisch anspruchsvoll
+- rechtlich sensibel
+- organisatorisch komplex
+
+Sie bildet die Grundlage für:
+
+- Strafverfolgung
+- interne Ermittlungen
+- Compliance-Prüfungen
+- IT-Sicherheitsverbesserungen
+
+In modernen IT-Infrastrukturen ist sie ein zentraler Bestandteil professioneller Sicherheitsarchitekturen.