{"id":28759,"date":"2025-03-20T12:56:38","date_gmt":"2025-03-20T11:56:38","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=28759"},"modified":"2025-03-20T13:50:49","modified_gmt":"2025-03-20T12:50:49","slug":"computer-forensik-unverzichtbares-werkzeug-beim-aufklaeren-von-it-sicherheitsvorfaellen","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=28759","title":{"rendered":"Computer-Forensik: Unverzichtbares Werkzeug beim Aufkl\u00e4ren von IT-Sicherheitsvorf\u00e4llen"},"content":{"rendered":"\n<p>Autor\/Redakteurin: <a href=\"https:\/\/www.twinsoft.de\/\">Gereon Tillenburg, CEO der TWINSOFT GmbH &amp; Co. KG<\/a>\/dcg<\/p>\n\n\n\n<p>Bei der Computer-Forensik geht es darum, von einer kompromittierten IT-Komponente Beweise f\u00fcr einen Cyber-Angriff oder Datendiebstahl zu sammeln, zu sichern und in einer Form aufzuarbeiten, in der es m\u00f6glich ist, sie beispielsweise vor Gericht vorzulegen. Dazu m\u00fcssen die Ergebnisse stimmig und \u00fcberpr\u00fcfbar sein, einen Standard f\u00fcr die Gerichtsfestigkeit gibt es derzeit n\u00e4mlich nicht.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"576\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2025\/02\/20181214_Twinsoft_Mitarbeiter9900374-002-1024x576.webp\" alt=\"\" class=\"wp-image-28590\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2025\/02\/20181214_Twinsoft_Mitarbeiter9900374-002-1024x576.webp 1024w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2025\/02\/20181214_Twinsoft_Mitarbeiter9900374-002-300x169.webp 300w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2025\/02\/20181214_Twinsoft_Mitarbeiter9900374-002-768x432.webp 768w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2025\/02\/20181214_Twinsoft_Mitarbeiter9900374-002.webp 1200w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><figcaption class=\"wp-element-caption\">Gereon Tillenburg, CEO der Twinsoft GmbH &#038; Co. KG &#8211; Quelle: Twinsoft<\/figcaption><\/figure>\n\n\n\n<p>Im Rahmen der IT-Forensik kommen unterschiedliche Analyse- und Untersuchungstechniken zum Einsatz und die Untersuchung l\u00e4uft in strukturierter Form ab. Am Ende der forensischen Untersuchung steht eine dokumentierte Beweiskette, die dar\u00fcber Aufschluss gibt, was auf dem betroffenen System genau passiert ist und wer daf\u00fcr die Verantwortung tr\u00e4gt.<\/p>\n\n\n\n<p>In der Praxis handelt es sich bei einer forensischen Untersuchung in den meisten F\u00e4llen um die Wiederherstellung von Daten. Dabei m\u00fcssen die Verantwortlichen Richtlinien einhalten, die sicher stellen, dass die Integrit\u00e4t der Informationen gewahrt bleibt.<\/p>\n\n\n\n<p><a><strong>Die verschiedenen Arten der Computer-Forensik<\/strong><\/a><\/p>\n\n\n\n<p>Es existieren unterschiedliche Arten der Computer-Forensik, die verschiedene Anwendungsbereiche abdecken:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Datenbankforensik<\/strong> k\u00fcmmert sich um Datenbankinformationen und Metadaten<\/li>\n\n\n\n<li><strong>E-Mail-Forensik<\/strong> umfasst nicht nur E-Mails, sondern auch Kontakt- und Kalenderdaten<\/li>\n\n\n\n<li><strong>Malware-Forensik<\/strong> \u00fcbernimmt die Code-Analyse und identifiziert die Nutzlast von Ransomware und Trojanern<\/li>\n\n\n\n<li><strong>Speicherforensik<\/strong> befasst sich mit Caches und Arbeitsspeichern<\/li>\n\n\n\n<li><strong>Mobile Forensik<\/strong> nimmt Mobilger\u00e4te unter die Lupe<\/li>\n\n\n\n<li><strong>Netzwerkforensik<\/strong> dient zur \u00dcberwachung des Netzwerkverkehrs, beispielsweise mit IDS\/IPS-Systemen oder der Analyse von Firewall-Logs<\/li>\n<\/ul>\n\n\n\n<p><a><strong>Anwendungsgebiete<\/strong><\/a><\/p>\n\n\n\n<p>Zu den Anwendungsgebieten der Computer-Forensik geh\u00f6ren die Aufkl\u00e4rung von Cyberkriminalit\u00e4t (Datendiebstahl, Hacking, etc.) sowie die Untersuchung physischer Verbrechen wie von Einbr\u00fcchen und Mord. Auch Datenwiederherstellungen, beispielsweise nach Ausf\u00e4llen oder versehentlichen Formatierungen von Datentr\u00e4gern, haben eine hohe Relevanz.<\/p>\n\n\n\n<p><a><strong>Vorgehensweise (S-A-P)<\/strong><\/a><\/p>\n\n\n\n<p>Im praktischen Einsatz hat sich die S-A-P-Vorgehensweise bew\u00e4hrt:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Datensammlung (Secure):<\/strong> Wenn m\u00f6glich, erstellen die zust\u00e4ndigen Mitarbeiter hierzu zun\u00e4chst einmal eine Kopie des betroffenen Ger\u00e4ts. Alle Untersuchungen finden dann mit Hilfe der Kopie statt, so dass das Original \u2013 beispielsweise eine Festplatte \u2013 unver\u00e4ndert erhalten bleibt und als Beweisst\u00fcck dienen kann. Es besteht aber auch die Option, Informationen f\u00fcr die Forensik zu verwenden, die \u00f6ffentlich zur Verf\u00fcgung stehen, wie beispielsweise Eintr\u00e4ge in Foren oder Sozialen Netzen. Sollen Daten im Arbeitsspeicher untersucht werden, so m\u00fcssen diese nat\u00fcrlich erhalten bleiben, etwa dadurch, dass sie Stromversorgung des jeweiligen Devices sichergestellt bleibt (Live-Forensik).<\/li>\n\n\n\n<li><strong>Analyse (Analysis):<\/strong> Hier kommen unterschiedliche Werkzeuge zum Einsatz, um herauszufinden, welche Daten wann von wem modifiziert wurden. Auf diese Weise wird herausgearbeitet, was konkret auf dem betroffenen Ger\u00e4t vorging. Parallel dazu erfolgt die Dokumentation des Vorgehens und der herausgefundenen Ergebnisse.<\/li>\n\n\n\n<li><strong>Pr\u00e4sentation (Presentation):<\/strong> In dieser Phase pr\u00e4sentieren die Forensik-Spezialisten ihre Ergebnisse, beispielsweise einem Richter oder einem IT-Verantwortlichen im Unternehmen.<\/li>\n<\/ol>\n\n\n\n<p><a><strong>Methoden<\/strong><\/a><\/p>\n\n\n\n<p>In der Forensik kommen sowohl Expertenwissen als auch diverse Techniken zum Einsatz. G\u00e4ngig sind in diesem Zusammenhang unter anderem laufwerks\u00fcbergreifende Analysen: Bei diesen Analysen vergleichen und korrelieren die Verantwortlichen Informationen, die von mehreren Quellen kommen und kl\u00e4ren auf diese Weise \u00c4hnlichkeiten und stellen Zusammenh\u00e4nge her. Das f\u00fchrt im Erfolgsfall zur Erkennung von Anomalien.<\/p>\n\n\n\n<p>Dazu kommen Live-Analysen: Hier setzen die Spezialisten im laufenden Betrieb auf einem verd\u00e4chtigen Ger\u00e4t System- und Analysewerkzeuge ein. Dieses Vorgehen eignet sich zum Untersuchen von fl\u00fcchtigen Daten im Cache oder Arbeitsspeicher.<\/p>\n\n\n\n<p>Bei der stochastischen Forensik untersuchen die Verantwortlichen unbeabsichtigte Datenver\u00e4nderungen, die sich aus digitalen Prozessen ergeben. Dazu geh\u00f6rt beispielsweise eine m\u00f6gliche Ver\u00e4nderung von Dateiattributen bei Kopiervorg\u00e4ngen. Auf diese Weise lassen sich Verletzungen des Datenschutzes durch Insider herausfinden.<\/p>\n\n\n\n<p>Ebenfalls wichtig: Die Suche nach Daten in versteckten Ordnern und nicht zugewiesenem Speicherplatz. Das gleiche gilt f\u00fcr die umgekehrte Steganografie. Bei der Steganographie geht es darum, digitale Daten \u2013 beispielsweise in Bild-Dateien \u2013 zu verstecken. Die umgekehrte Steganografie soll diese Daten wieder sichtbar machen. Das funktioniert beispielsweise durch die Analyse von Datei-Hashes.<\/p>\n\n\n\n<p>Bei der Wiederherstellung von Dateien untersuchen die zust\u00e4ndigen Mitarbeiter die Speicherkomponenten des betroffenen Systems, um Dateifragmente zu finden und miteinander zu verkn\u00fcpfen. Auf diese Weise lassen sich Informationen wiederherstellen, die aus den Verzeichnissen der Datentr\u00e4ger gel\u00f6scht aber noch nicht physikalisch \u00fcberschrieben wurden.<a><\/a><\/p>\n\n\n\n<p><strong>Ziele<\/strong><\/p>\n\n\n\n<p>Wie teilweise bereits erw\u00e4hnt, verfolgt die Computer-Forensik konkret das Ziel, strukturierte Untersuchungen durchzuf\u00fchren, dokumentierte Beweisketten zu erstellen und die auf dem betroffenen Computer-System durchgef\u00fchrten Aktionen nachzuvollziehen. Au\u00dferdem spielt es eine wichtige Rolle, die f\u00fcr die entdeckten Vorf\u00e4lle verantwortlichen Personen zu identifizieren und Gutachten f\u00fcr Gerichte und Versicherungen anzufertigen.<\/p>\n\n\n\n<p><a><strong>Karrierepfade, die f\u00fcr die Computer-Forensik relevant sind<\/strong><\/a><\/p>\n\n\n\n<p>Da es sich bei der Computer-Forensik um ein eigenes Fachgebiet handelt, gibt es f\u00fcr diesen Bereich auch unterschiedliche Berufswege. Die Cyber-Security-Analysten nehmen beispielsweise die gesammelten Daten unter die Lupe und gewinnen daraus Erkenntnisse, die sp\u00e4ter zum Einsatz kommen k\u00f6nnen, um Beweise zu untermauern und die Security-Strategie der Betroffenen zu verbessern. Der forensische Ingenieur sammelt im Gegensatz dazu im Rahmen der Erfassungsphase des forensischen Prozesses Daten und bereitet deren Analyse vor. Forensische Ingenieure stellen also fest, was auf den Ger\u00e4ten vorgefallen ist. Forensische kaufm\u00e4nnische Sachverst\u00e4ndige spezialisieren sich wiederum auf das Aufdecken von Straftaten, die mit Geldw\u00e4sche und vergleichbaren finanziellen Transaktionen zusammenh\u00e4ngen. Es existieren zur IT-Forensik inzwischen auch diverse Bachelor- und Master-Studieng\u00e4nge an Universit\u00e4ten.<\/p>\n\n\n\n<p><a><strong>Herausforderungen f\u00fcr Forensiker<\/strong><\/a><\/p>\n\n\n\n<p>Forensiker werden in der Praxis mit einer gro\u00dfen Zahl an Herausforderungen konfrontiert. Dazu geh\u00f6ren:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Verschl\u00fcsselung erschwert die Beweissammlung.<\/li>\n\n\n\n<li>Cloud Computing erschwert den direkten Zugang zu den Datentr\u00e4gern.<\/li>\n\n\n\n<li>Cloud Computing wirkt rechtliche Fragen auf, da es schwieriger ist, die Konsistenz der Daten nachzuweisen.<\/li>\n\n\n\n<li>Datenschutz und Privatsph\u00e4re m\u00fcssen sichergestellt werden.<\/li>\n\n\n\n<li>Es gibt auch zeitliche Herausforderungen, da die Daten zu sichern sind, bevor jemand sie manipulieren oder l\u00f6schen kann.<\/li>\n\n\n\n<li>Heterogenit\u00e4t der Umgebungen: Forensiker m\u00fcssen sich mit vielen unterschiedlichen Datei- und Betriebssystemen sowie IT-Komponenten auseinandersetzen.<\/li>\n\n\n\n<li>Neue Technologien wie KI sorgen f\u00fcr neue Herausforderungen.<\/li>\n<\/ul>\n\n\n\n<p><a><strong>Fazit<\/strong><\/a><\/p>\n\n\n\n<p>Computer-Forensik ist ein Aufgabengebiet, in dem gro\u00dfes Know-How und umfassende Erfahrung gefragt sind. \u00dcbernehmen Mitarbeiter, denen die erforderlichen Kenntnisse fehlen, damit zusammenh\u00e4ngende Aufgaben, so ist die Gefahr gro\u00df, dass sie aus Versehen Daten vernichten oder kompromittieren und so das ganze Projekt zum Scheitern bringen. Deswegen ist es immer empfehlenswert, Spezialisten mit solchen Aufgaben zu betrauen.<\/p>\n\n\n\n<p>Direkter Link zu Twinsoft: <a href=\"https:\/\/www.twinsoft.de\/\">TWINSOFT<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Lesen Sie hier einen Artikel zum Thema Computer-Forensik von Gereon Tillenburg, CEO der Firma Twinsoft:<br \/>\nBei der Computer-Forensik geht es darum, von einer kompromittierten IT-Komponente Beweise f\u00fcr einen Cyber-Angriff oder Datendiebstahl zu sammeln, zu sichern und in einer Form aufzuarbeiten, in der es m\u00f6glich ist, sie beispielsweise vor Gericht vorzulegen. Dazu m\u00fcssen die Ergebnisse stimmig und \u00fcberpr\u00fcfbar sein, einen Standard f\u00fcr die Gerichtsfestigkeit gibt es derzeit n\u00e4mlich nicht.<br \/>\nIm Rahmen der IT-Forensik kommen unterschiedliche Analyse- und Untersuchungstechniken zum Einsatz und die Untersuchung l\u00e4uft in strukturierter Form ab. Am Ende der forensischen Untersuchung steht eine dokumentierte Beweiskette, die dar\u00fcber Aufschluss gibt, was auf dem betroffenen System genau passiert ist und wer daf\u00fcr die Verantwortung tr\u00e4gt.<\/p>\n<p>In der Praxis handelt es sich bei einer forensischen Untersuchung in den meisten F\u00e4llen um die Wiederherstellung von Daten. Dabei m\u00fcssen die Verantwortlichen Richtlinien einhalten, die sicher stellen, dass die Integrit\u00e4t der Informationen gewahrt bleibt. &#8230;<\/p>\n","protected":false},"author":81,"featured_media":28590,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[20692,5451,1920],"class_list":["post-28759","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-computer-forensik","tag-cyberkriminalitaet","tag-forensik"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/28759","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/81"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=28759"}],"version-history":[{"count":2,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/28759\/revisions"}],"predecessor-version":[{"id":28786,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/28759\/revisions\/28786"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/28590"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=28759"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=28759"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=28759"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}