hwr-notes/IT-Sicherheit/Zusammenfassungen/itsec4 - zusammenfassung.md

# Datenforensik

# 1. Grundlagen der Datenforensik

## 1.1 Definition

**Datenforensik** (auch IT-Forensik oder digitale Forensik) ist die systematische Untersuchung von IT-Systemen zur:

- Feststellung eines Tatbestandes
- Identifizierung von Tätern
- Rekonstruktion eines Vorfalls
- gerichtsfesten Sicherung digitaler Beweise

Sie ist ein interdisziplinäres Feld aus:

- Informatik
- Netzwerktechnik
- Betriebssystemtechnik
- Recht
- Kriminalistik

---

## 1.2 Zielsetzung

Zentrale Ziele einer forensischen Untersuchung:

- 🔎 **Rekonstruktion des Tathergangs**
- 👤 **Identifikation beteiligter Personen**
- ⏱ **Bestimmung des Tatzeitraums (Timeline)**
- 📦 **Ermittlung des Schadensumfangs**
- ⚖ **Gerichtsfeste Beweisführung**

---

# 2. Arten von Computerkriminalität

## 2.1 Klassische Delikte mit IT-Bezug

- Betrug
- Erpressung
- Urheberrechtsverletzung
- Geheimnisverrat
- Verbreitung illegaler Inhalte

## 2.2 Computerkriminalität im engeren Sinne

- Ausspähen von Daten
- Abfangen von Daten
- Computerbetrug
- Datenveränderung
- Computersabotage
- Fälschung beweiserheblicher Daten

---

# 3. Motivation von Tätern

- 💰 finanzielle Interessen
- 🧠 technische Neugier
- 🧨 Rache oder Frustration
- 🏛 politische Motivation
- 🌍 staatlich organisierte Spionage

---

# 4. Forensischer Untersuchungsprozess

Die Untersuchung erfolgt strukturiert und nachvollziehbar.

## 4.1 Standardprozess (SAP-Modell)

1. **Identifizierung**
2. **Sicherstellung (Secure)**
3. **Analyse**
4. **Präsentation**

---

# 5. Phase 1: Identifizierung

Ziel: Feststellung, ob ein Sicherheitsvorfall vorliegt.

### Aufgaben:

- Dokumentation der vorgefundenen Situation
- Bestandsaufnahme betroffener Systeme
- Identifikation relevanter Datenquellen:
  - Log-Dateien
  - Server
  - Endgeräte
  - Netzwerkgeräte
  - Cloud-Systeme

### Leitfragen:

- Wer hatte Zugriff?
- Wann trat der Vorfall auf?
- Welche Systeme sind betroffen?

---

# 6. Phase 2: Sicherstellung von Beweisen

## 6.1 Grundprinzipien

- Minimale Veränderung der Originaldaten
- Lückenlose Dokumentation (Chain of Custody)
- Erstellung forensischer Kopien
- Sicherung der Integrität durch Hash-Werte

## 6.2 Forensisches Duplikat

- Bitweise 1:1-Kopie eines Datenträgers
- Keine logische Kopie!
- Einsatz von Write-Blockern
- Dokumentation von:
  - Datum
  - Uhrzeit
  - beteiligte Personen
  - verwendete Tools

## 6.3 Integritätsnachweis

- Bildung kryptographischer Hash-Werte (z. B. SHA-256)
- Vergleich vor und nach Analyse
- Sicherstellung der Unverändertheit

---

# 7. Flüchtige vs. nicht-flüchtige Daten

## 7.1 Flüchtige Daten (RAM)

Vor Abschalten sichern:

- angemeldete Benutzer
- laufende Prozesse
- Netzwerkverbindungen
- offene Dateien
- gespeicherte Schlüssel im Speicher

Problem:
Ein einfaches Ausschalten zerstört diese Beweise.

## 7.2 Nicht-flüchtige Daten

- Festplatten
- SSD
- USB-Sticks
- Smartphones
- Cloud-Speicher

---

# 8. Live-Response vs. Offline-Analyse

## 8.1 Live-Response

Analyse eines laufenden Systems.

Vorteile:
- Sicherung flüchtiger Daten
- Erkennung von Rootkits

Risiken:
- Veränderung des Systems
- Manipulation durch Schadsoftware

## 8.2 Offline-Analyse

- Untersuchung auf separatem Analyse-System
- Arbeit mit forensischem Image
- bevorzugte Methode bei gerichtlichen Verfahren

---

# 9. Phase 3: Forensische Analyse

## 9.1 Anforderungen an den Analysten

- tiefgehende OS-Kenntnisse
- Verständnis von Dateisystemen
- Netzwerkforensik
- Kenntnisse aktueller Angriffstechniken
- Improvisationsfähigkeit

## 9.2 Analysebereiche

### Dateisystemanalyse
- gelöschte Dateien
- versteckte Dateien
- Zeitstempelanalyse (MAC-Times)

### Log-Analyse
- Authentifizierungsversuche
- Administratorzugriffe
- ungewöhnliche Aktivitäten

### Netzwerkforensik
- Analyse von Netzwerkverkehr
- Rekonstruktion von Datenströmen
- Identifikation externer Verbindungen

### Malware-Analyse
- statische Analyse
- dynamische Analyse
- Reverse Engineering

---

# 10. Timeline-Erstellung

Erstellung einer chronologischen Ereigniskette:

- Login-Zeiten
- Dateiänderungen
- Prozessstarts
- Netzwerkverbindungen

Ziel:
Rekonstruktion des exakten Tathergangs.

---

# 11. Phase 4: Aufbereitung und Präsentation

## 11.1 Berichtserstellung

Ein forensischer Bericht enthält:

- Beschreibung des Vorfalls
- angewandte Methoden
- verwendete Werkzeuge
- Analyseergebnisse
- Schlussfolgerungen

## 11.2 Gerichtsfeste Präsentation

Erforderlich:

- Nachvollziehbarkeit
- Reproduzierbarkeit
- Beweiskette
- Integritätsnachweise

Beweise müssen:

- unverändert
- dokumentiert
- überprüfbar sein

---

# 12. Incident Response vs. Forensik

## Incident Response

- schnelle Wiederherstellung des Betriebs
- Schadensbegrenzung
- Schließen von Sicherheitslücken

## Forensik

- Täterermittlung
- gerichtliche Verwertung
- langfristige Ursachenanalyse

---

# 13. Beweiskette (Chain of Custody)

Dokumentiert:

- Wer hatte wann Zugriff?
- Wo wurde das Beweismittel aufbewahrt?
- Welche Maßnahmen wurden durchgeführt?

Fehlende Dokumentation kann Beweise unbrauchbar machen.

---

# 14. Typische Fehler bei der Spurensicherung

- vorschnelles Abschalten des Systems
- Arbeiten auf dem Originalsystem
- fehlende Hash-Werte
- unvollständige Dokumentation
- Vermischung von Incident Response und Forensik

---

# 15. Moderne Herausforderungen

- Verschlüsselte Datenträger
- Cloud-Umgebungen
- Container und virtuelle Maschinen
- Smartphones
- flüchtige Malware im RAM
- Anti-Forensik-Techniken

---

# 16. Gesamtbedeutung

Datenforensik ist:

- technisch anspruchsvoll
- rechtlich sensibel
- organisatorisch komplex

Sie bildet die Grundlage für:

- Strafverfolgung
- interne Ermittlungen
- Compliance-Prüfungen
- IT-Sicherheitsverbesserungen

In modernen IT-Infrastrukturen ist sie ein zentraler Bestandteil professioneller Sicherheitsarchitekturen.