# Datenforensik # 1. Grundlagen der Datenforensik ## 1.1 Definition **Datenforensik** (auch IT-Forensik oder digitale Forensik) ist die systematische Untersuchung von IT-Systemen zur: - Feststellung eines Tatbestandes - Identifizierung von Tätern - Rekonstruktion eines Vorfalls - gerichtsfesten Sicherung digitaler Beweise Sie ist ein interdisziplinäres Feld aus: - Informatik - Netzwerktechnik - Betriebssystemtechnik - Recht - Kriminalistik --- ## 1.2 Zielsetzung Zentrale Ziele einer forensischen Untersuchung: - 🔎 **Rekonstruktion des Tathergangs** - 👤 **Identifikation beteiligter Personen** - ⏱ **Bestimmung des Tatzeitraums (Timeline)** - 📦 **Ermittlung des Schadensumfangs** - ⚖ **Gerichtsfeste Beweisführung** --- # 2. Arten von Computerkriminalität ## 2.1 Klassische Delikte mit IT-Bezug - Betrug - Erpressung - Urheberrechtsverletzung - Geheimnisverrat - Verbreitung illegaler Inhalte ## 2.2 Computerkriminalität im engeren Sinne - Ausspähen von Daten - Abfangen von Daten - Computerbetrug - Datenveränderung - Computersabotage - Fälschung beweiserheblicher Daten --- # 3. Motivation von Tätern - 💰 finanzielle Interessen - 🧠 technische Neugier - 🧨 Rache oder Frustration - 🏛 politische Motivation - 🌍 staatlich organisierte Spionage --- # 4. Forensischer Untersuchungsprozess Die Untersuchung erfolgt strukturiert und nachvollziehbar. ## 4.1 Standardprozess (SAP-Modell) 1. **Identifizierung** 2. **Sicherstellung (Secure)** 3. **Analyse** 4. **Präsentation** --- # 5. Phase 1: Identifizierung Ziel: Feststellung, ob ein Sicherheitsvorfall vorliegt. ### Aufgaben: - Dokumentation der vorgefundenen Situation - Bestandsaufnahme betroffener Systeme - Identifikation relevanter Datenquellen: - Log-Dateien - Server - Endgeräte - Netzwerkgeräte - Cloud-Systeme ### Leitfragen: - Wer hatte Zugriff? - Wann trat der Vorfall auf? - Welche Systeme sind betroffen? --- # 6. Phase 2: Sicherstellung von Beweisen ## 6.1 Grundprinzipien - Minimale Veränderung der Originaldaten - Lückenlose Dokumentation (Chain of Custody) - Erstellung forensischer Kopien - Sicherung der Integrität durch Hash-Werte ## 6.2 Forensisches Duplikat - Bitweise 1:1-Kopie eines Datenträgers - Keine logische Kopie! - Einsatz von Write-Blockern - Dokumentation von: - Datum - Uhrzeit - beteiligte Personen - verwendete Tools ## 6.3 Integritätsnachweis - Bildung kryptographischer Hash-Werte (z. B. SHA-256) - Vergleich vor und nach Analyse - Sicherstellung der Unverändertheit --- # 7. Flüchtige vs. nicht-flüchtige Daten ## 7.1 Flüchtige Daten (RAM) Vor Abschalten sichern: - angemeldete Benutzer - laufende Prozesse - Netzwerkverbindungen - offene Dateien - gespeicherte Schlüssel im Speicher Problem: Ein einfaches Ausschalten zerstört diese Beweise. ## 7.2 Nicht-flüchtige Daten - Festplatten - SSD - USB-Sticks - Smartphones - Cloud-Speicher --- # 8. Live-Response vs. Offline-Analyse ## 8.1 Live-Response Analyse eines laufenden Systems. Vorteile: - Sicherung flüchtiger Daten - Erkennung von Rootkits Risiken: - Veränderung des Systems - Manipulation durch Schadsoftware ## 8.2 Offline-Analyse - Untersuchung auf separatem Analyse-System - Arbeit mit forensischem Image - bevorzugte Methode bei gerichtlichen Verfahren --- # 9. Phase 3: Forensische Analyse ## 9.1 Anforderungen an den Analysten - tiefgehende OS-Kenntnisse - Verständnis von Dateisystemen - Netzwerkforensik - Kenntnisse aktueller Angriffstechniken - Improvisationsfähigkeit ## 9.2 Analysebereiche ### Dateisystemanalyse - gelöschte Dateien - versteckte Dateien - Zeitstempelanalyse (MAC-Times) ### Log-Analyse - Authentifizierungsversuche - Administratorzugriffe - ungewöhnliche Aktivitäten ### Netzwerkforensik - Analyse von Netzwerkverkehr - Rekonstruktion von Datenströmen - Identifikation externer Verbindungen ### Malware-Analyse - statische Analyse - dynamische Analyse - Reverse Engineering --- # 10. Timeline-Erstellung Erstellung einer chronologischen Ereigniskette: - Login-Zeiten - Dateiänderungen - Prozessstarts - Netzwerkverbindungen Ziel: Rekonstruktion des exakten Tathergangs. --- # 11. Phase 4: Aufbereitung und Präsentation ## 11.1 Berichtserstellung Ein forensischer Bericht enthält: - Beschreibung des Vorfalls - angewandte Methoden - verwendete Werkzeuge - Analyseergebnisse - Schlussfolgerungen ## 11.2 Gerichtsfeste Präsentation Erforderlich: - Nachvollziehbarkeit - Reproduzierbarkeit - Beweiskette - Integritätsnachweise Beweise müssen: - unverändert - dokumentiert - überprüfbar sein --- # 12. Incident Response vs. Forensik ## Incident Response - schnelle Wiederherstellung des Betriebs - Schadensbegrenzung - Schließen von Sicherheitslücken ## Forensik - Täterermittlung - gerichtliche Verwertung - langfristige Ursachenanalyse --- # 13. Beweiskette (Chain of Custody) Dokumentiert: - Wer hatte wann Zugriff? - Wo wurde das Beweismittel aufbewahrt? - Welche Maßnahmen wurden durchgeführt? Fehlende Dokumentation kann Beweise unbrauchbar machen. --- # 14. Typische Fehler bei der Spurensicherung - vorschnelles Abschalten des Systems - Arbeiten auf dem Originalsystem - fehlende Hash-Werte - unvollständige Dokumentation - Vermischung von Incident Response und Forensik --- # 15. Moderne Herausforderungen - Verschlüsselte Datenträger - Cloud-Umgebungen - Container und virtuelle Maschinen - Smartphones - flüchtige Malware im RAM - Anti-Forensik-Techniken --- # 16. Gesamtbedeutung Datenforensik ist: - technisch anspruchsvoll - rechtlich sensibel - organisatorisch komplex Sie bildet die Grundlage für: - Strafverfolgung - interne Ermittlungen - Compliance-Prüfungen - IT-Sicherheitsverbesserungen In modernen IT-Infrastrukturen ist sie ein zentraler Bestandteil professioneller Sicherheitsarchitekturen.