hwr-notes/IT-Sicherheit/Zusammenfassungen/itsec4 - zusammenfassung.md

Datenforensik

1. Grundlagen der Datenforensik

1.1 Definition

Datenforensik (auch IT-Forensik oder digitale Forensik) ist die systematische Untersuchung von IT-Systemen zur:

• Feststellung eines Tatbestandes
• Identifizierung von Tätern
• Rekonstruktion eines Vorfalls
• gerichtsfesten Sicherung digitaler Beweise

Sie ist ein interdisziplinäres Feld aus:

• Informatik
• Netzwerktechnik
• Betriebssystemtechnik
• Recht
• Kriminalistik

---

1.2 Zielsetzung

Zentrale Ziele einer forensischen Untersuchung:

• 🔎 Rekonstruktion des Tathergangs
• 👤 Identifikation beteiligter Personen
• ⏱ Bestimmung des Tatzeitraums (Timeline)
• 📦 Ermittlung des Schadensumfangs
• ⚖ Gerichtsfeste Beweisführung

---

2. Arten von Computerkriminalität

2.1 Klassische Delikte mit IT-Bezug

• Betrug
• Erpressung
• Urheberrechtsverletzung
• Geheimnisverrat
• Verbreitung illegaler Inhalte

2.2 Computerkriminalität im engeren Sinne

• Ausspähen von Daten
• Abfangen von Daten
• Computerbetrug
• Datenveränderung
• Computersabotage
• Fälschung beweiserheblicher Daten

---

3. Motivation von Tätern

• 💰 finanzielle Interessen
• 🧠 technische Neugier
• 🧨 Rache oder Frustration
• 🏛 politische Motivation
• 🌍 staatlich organisierte Spionage

---

4. Forensischer Untersuchungsprozess

Die Untersuchung erfolgt strukturiert und nachvollziehbar.

4.1 Standardprozess (SAP-Modell)

1. Identifizierung
2. Sicherstellung (Secure)
3. Analyse
4. Präsentation

---

5. Phase 1: Identifizierung

Ziel: Feststellung, ob ein Sicherheitsvorfall vorliegt.

Aufgaben:

• Dokumentation der vorgefundenen Situation
• Bestandsaufnahme betroffener Systeme
• Identifikation relevanter Datenquellen:
  • Log-Dateien
  • Server
  • Endgeräte
  • Netzwerkgeräte
  • Cloud-Systeme

Leitfragen:

• Wer hatte Zugriff?
• Wann trat der Vorfall auf?
• Welche Systeme sind betroffen?

---

6. Phase 2: Sicherstellung von Beweisen

6.1 Grundprinzipien

• Minimale Veränderung der Originaldaten
• Lückenlose Dokumentation (Chain of Custody)
• Erstellung forensischer Kopien
• Sicherung der Integrität durch Hash-Werte

6.2 Forensisches Duplikat

• Bitweise 1:1-Kopie eines Datenträgers
• Keine logische Kopie!
• Einsatz von Write-Blockern
• Dokumentation von:
  • Datum
  • Uhrzeit
  • beteiligte Personen
  • verwendete Tools

6.3 Integritätsnachweis

• Bildung kryptographischer Hash-Werte (z. B. SHA-256)
• Vergleich vor und nach Analyse
• Sicherstellung der Unverändertheit

---

7. Flüchtige vs. nicht-flüchtige Daten

7.1 Flüchtige Daten (RAM)

Vor Abschalten sichern:

• angemeldete Benutzer
• laufende Prozesse
• Netzwerkverbindungen
• offene Dateien
• gespeicherte Schlüssel im Speicher

Problem: Ein einfaches Ausschalten zerstört diese Beweise.

7.2 Nicht-flüchtige Daten

• Festplatten
• SSD
• USB-Sticks
• Smartphones
• Cloud-Speicher

---

8. Live-Response vs. Offline-Analyse

8.1 Live-Response

Analyse eines laufenden Systems.

Vorteile:

• Sicherung flüchtiger Daten
• Erkennung von Rootkits

Risiken:

• Veränderung des Systems
• Manipulation durch Schadsoftware

8.2 Offline-Analyse

• Untersuchung auf separatem Analyse-System
• Arbeit mit forensischem Image
• bevorzugte Methode bei gerichtlichen Verfahren

---

9. Phase 3: Forensische Analyse

9.1 Anforderungen an den Analysten

• tiefgehende OS-Kenntnisse
• Verständnis von Dateisystemen
• Netzwerkforensik
• Kenntnisse aktueller Angriffstechniken
• Improvisationsfähigkeit

9.2 Analysebereiche

Dateisystemanalyse

• gelöschte Dateien
• versteckte Dateien
• Zeitstempelanalyse (MAC-Times)

Log-Analyse

• Authentifizierungsversuche
• Administratorzugriffe
• ungewöhnliche Aktivitäten

Netzwerkforensik

• Analyse von Netzwerkverkehr
• Rekonstruktion von Datenströmen
• Identifikation externer Verbindungen

Malware-Analyse

• statische Analyse
• dynamische Analyse
• Reverse Engineering

---

10. Timeline-Erstellung

Erstellung einer chronologischen Ereigniskette:

• Login-Zeiten
• Dateiänderungen
• Prozessstarts
• Netzwerkverbindungen

Ziel: Rekonstruktion des exakten Tathergangs.

---

11. Phase 4: Aufbereitung und Präsentation

11.1 Berichtserstellung

Ein forensischer Bericht enthält:

• Beschreibung des Vorfalls
• angewandte Methoden
• verwendete Werkzeuge
• Analyseergebnisse
• Schlussfolgerungen

11.2 Gerichtsfeste Präsentation

Erforderlich:

• Nachvollziehbarkeit
• Reproduzierbarkeit
• Beweiskette
• Integritätsnachweise

Beweise müssen:

• unverändert
• dokumentiert
• überprüfbar sein

---

12. Incident Response vs. Forensik

Incident Response

• schnelle Wiederherstellung des Betriebs
• Schadensbegrenzung
• Schließen von Sicherheitslücken

Forensik

• Täterermittlung
• gerichtliche Verwertung
• langfristige Ursachenanalyse

---

13. Beweiskette (Chain of Custody)

Dokumentiert:

• Wer hatte wann Zugriff?
• Wo wurde das Beweismittel aufbewahrt?
• Welche Maßnahmen wurden durchgeführt?

Fehlende Dokumentation kann Beweise unbrauchbar machen.

---

14. Typische Fehler bei der Spurensicherung

• vorschnelles Abschalten des Systems
• Arbeiten auf dem Originalsystem
• fehlende Hash-Werte
• unvollständige Dokumentation
• Vermischung von Incident Response und Forensik

---

15. Moderne Herausforderungen

• Verschlüsselte Datenträger
• Cloud-Umgebungen
• Container und virtuelle Maschinen
• Smartphones
• flüchtige Malware im RAM
• Anti-Forensik-Techniken

---

16. Gesamtbedeutung

Datenforensik ist:

• technisch anspruchsvoll
• rechtlich sensibel
• organisatorisch komplex

Sie bildet die Grundlage für:

• Strafverfolgung
• interne Ermittlungen
• Compliance-Prüfungen
• IT-Sicherheitsverbesserungen

In modernen IT-Infrastrukturen ist sie ein zentraler Bestandteil professioneller Sicherheitsarchitekturen.