IT-Forensik für Einsteiger und Aufsteiger
Grundlagen und Möglichkeiten verstehen, Fehler vermeiden und Untersuchungen steuern
Gegenstand des Seminars

Grundlagen-Modul

Die IT-Forensik stellt Daten aus IT-Systemen als Beweise nachvollziehbar sicher und beurteilt diese im Hinblick auf vereinbarte Untersuchungsfragen. Anwendungen sind z.B. die Aufklärung von Wirtschaftskriminalität oder nicht regelkonformer Handlungen sowie von IT-Sicherheitsvorfällen.

In diesem zweitägigen Seminar vermitteln erfahrene IT-Forensiker Grundlagen der IT-Forensik (Computerforensik) an Teilnehmer, die bisher damit professionell nicht befasst waren, deren berufliche Rolle künftig aber ein solides Grundverständnis erfordert.

Dabei werden Konzepte und Beispiele mit dem Schwerpunkt „Sicherung und inhaltliche Auswertung von Datenträgern“ vorgestellt. Ausgewählte Handlungsschritte werden mit typischen Werkzeugen vorgeführt. Es finden jedoch keine Teilnehmerübungen statt.

Diese Aufteilung bietet den Vorteil, dass in zwei Tagen die wesentlichen Grundlagen, wichtige Faktoren für erfolgreiche Projekte in der IT-Forensik und viel Erfahrungswissen vermittelt werden können. Wer später eher solche Projekte steuern, leiten oder beaufsichtigen wird, kann bereits aus den ersten beiden Tagen relevantes Wissen gewinnen.

Optionales Zusatz-Modul (zusätzlicher Praxistag)

Teilnehmer, die operativ und techniknah Projekte in der IT-Forensik selbst durchführen möchten, können ein zusätzliches Praxismodul belegen. Dieses kann auf Anfrage an einem dritten Schulungstag durchgeführt werden. In diesem Zusatzmodul erlernen die Teilnehmer das Wissen des Basismoduls mit eigenen Grundlagenübungen praktisch umzusetzen.

Es handelt sich um einen offenen Kurs mit jeweils maximal 12 Teilnehmern.

Zielsetzung

Nach erfolgreicher Teilnahme sollen Teilnehmer:

  • einen Überblick über Konzepte, technische Grundlagen, Methoden und typische Werkzeuge der IT-Forensik gewonnen haben
  • wichtige Möglichkeiten, Herausforderungen und auch Beschränkungen kennen, mittels IT-forensischer Untersuchungen Erkenntnisse zu Untersuchungsfragen zu gewinnen
  • wissen, wie IT-forensische Untersuchungen ablaufen und wie man dabei typische Fehler vermeidet
  • auf IT-forensische Untersuchungen im Ernstfall besser handlungsbereit gerüstet sein
  • in einfacheren Fällen (bzw. abhängig von der Erfahrung und Situation) ausgewählte erste Schritte selbst durchführen sowie die geeigneten Handlungen veranlassen und überwachen und effizient mit hauptberuflichen IT-Forensikern zusammenarbeiten können.

Nach erfolgreicher Teilnahme des optionalen dritten Schulungstages sollen Teilnehmer:

  • einen Datenträger selbst IT-forensisch sichern und die Sicherung geeignet dokumentieren können
  • ein vertieftes handlungspraktisches Verständnis davon haben, welche Möglichkeiten IT-forensische Untersuchungen für ausgewählte Artefakte und Erkenntnisziele bieten und wie diese ablaufen. Dies ermöglicht, IT-forensische Untersuchungen besser zu steuern und Ergebnisse zu beurteilen, und ist Ausgangsbasis für einen Aufbaukurs.

Gegenstand ist ausdrücklich nicht, die Teilnehmer in die Lage zu versetzen, eigenständig komplexe IT-forensische Untersuchungen, die schnell technisch und vom Prozessablauf sehr anspruchsvoll werden können, durchführen zu können.

Zielgruppe

Mitarbeiter in Unternehmen oder bei Behörden, die beruflich im Rahmen von Untersuchungen (künftig) regelmäßig Erkenntnisse aus der IT-Forensik benötigen oder bereitstellen sollen und hierfür ein solides Grundverständnis erwerben wollen, etwa weil sie ihre berufliche Rolle erweitern.

Typischerweise haben diese einen Hintergrund in:

  • Compliance, Internal Audit, Datenschutz, Recht oder in einer Stabsstelle/Führungskräfte
  • IT, IT- bzw. Informationssicherheit, Konzernsicherheit
  • Sachbearbeitende Ermittlung.

Der Kurs eignet sich für Einsteiger, wobei grundlegende IT-Kenntnisse vorausgesetzt werden.

Seminarablauf

Themenüberblick, 09:00 bis 17:00 Uhr:

Tag 1

  • Einführung
    • Grundprinzipien und Herausforderungen in der IT-Forensik
    • Möglichkeiten und Begrenzungen der IT-forensischen Erkenntnis
    • Ziele einer IT-forensischen Untersuchung und Zielkonflikte
    • Grundsätze der IT-forensischen Arbeitsweise
    • Rechtliche Beschränkungen und Voraussetzungen
    • Praxisbeispiele
  • Nachvollziehen des Sachverhaltes und zielgerichtete Identifikation, Auswahl und Priorisierung fallrelevanter Datenquellen (verschiedene Geräte, Anwendungen und Umgebungen): Untersuchungsplan
  • Operative IT-forensische Sicherung von Datenquellen
    • Arten: blockweise physisch, „halbphysisch“, logisch
    • Nutzung von Writeblockern
    • Besonderheiten bei defekten Datenträgern und bei SSDs
  • Besonderheiten der Sicherung ausgewählter Quellen spezifisch nach Quellenart (z.B. Festplatte eines Laptop-Clients, Mailbox von einem Mailserver und Backups, bis hin zu Hauptspeicherinhalten)
  • Verifikation gesicherter Daten

Tag 2

  • Physischer und logischer Aufbau von Datenträgern (Festplatte vs. SSD)
  • Partitionen und wichtige Konzepte zu Dateisystemen, insbesondere IT-forensisch relevante Eigenschaften von Dateisystemen, am Beispiel von NTFS
  • Wiederherstellung gelöschter Daten, soweit technisch möglich
  • Konzepte und Vorgehen bei verschlüsselten Datenträgern
  • Analyse einzelner Dateien (Identifikation mittels Stichwortsuche, Metadaten und Eigenschaften, Hashing und Hashsets)
  • Analyse ausgewählter Windows-Betriebssystem-Artefakte
    (z.B. Systeminformationen, Windows Registry, Logfiles, Nutzeraktivitäten)
  • Analyse ausgewählter Anwendungs-Artefakte (z.B. Webbrowser, E-Mail, Chats, lokale Spuren zu Clouddiensten)
  • Einführung in die Analyse ausgewählter Hauptspeicherinhalte
  • Einführung in die Analyse ausgewählter Inhalte eines Smartphones

Tag 3 (optionales Zusatz-Modul-Praxis):

Praktische Teilnehmerübungen zu Grundlagen der IT-forensischen Sicherung, Aufbereitung und Auswertung. Dies überwiegend am Beispiel eines zu untersuchenden Windows-Systems, mit dem Dateisystem NTFS und zugehörigen Windows- und Anwendungs-Artefakten, und unter überwiegender Nutzung von Windows als Auswertungsumgebung.

Gegenstand dieses Tages ist das praktische Kennenlernen und Einüben der Grundlagen, die an den ersten beiden Tagen vorgestellt wurden. Die vertiefte Vermittlung von Wissen und Fähigkeiten zu Artefakten und Auswertungsmöglichkeiten ist nicht Gegenstand.

Sicherung

  • Logische Sicherung von Dateien, insbesondere Vollständigkeitsprüfung und geeignete Dokumentation, Verwendung von Containerformaten für logische Datensicherungen
  • Physische Sicherung (IT-forensisches Imaging) von einem USB-Datenträger und von einer Festplatte am Hardware-Schreibschutz
  • Beweismittelkette: Sicherstellung der Integrität mittels Hashing und Verifikation
  • Datenrettung von einem Datenträger mit Lesefehlern
  • Besonderheiten bei verschlüsselten Datenträgern, z.B. Verschlüsselungsstatus bei Bitlocker feststellen, Entschlüsselungsschlüssel auslesen
  • Live-Sicherung wichtiger Daten im Rahmen von Incident Response, geeignete Sicherungsreihenfolge
  • Physische Sicherung von Hauptspeicherinhalten
  • Sicherung von Inhalten eines Smartphones (logisch, Dateisystem, physisch, auch Rooting/Jailbreak)

Aufbereitung

  • mounten, Überprüfung eines gesicherten Images auf Lesbarkeit und Nämlichkeit
  • Entschlüsselung eines verschlüsselten Images (mit bekannten Zugangsdaten)
  • Typische Vorverarbeitungsschritte, insbesondere Wiederherstellung von nicht mehr im Dateisystem eingetragenen Dateien (Informationen aus früheren Informationen aus dem Dateisystem, aus Schattenkopien und mittels Carving), Aufbereitung von Metadaten
  • Formatwandlung sowie Filterung auf relevante Daten
  • Indexierung von „losen“ Dateien (inklusive E-Mail) mit einem eDiscovery-Werkzeug

Auswertung

  • Intellektuelle Sichtung eines gesicherten Datenträgerimages eines Windows-Systems
  • Analyse der Partitionierung und des Dateisystems, Dateizuordnungstabelle (MFT)
  • Gelöschte Dateien im Papierkorb und in Schattenkopien
  • Analyse existierender Dateien und ihrer Metadaten (Zeitstempel, Einträge in den Dateien)
  • Parallele Stichwort-Suche über ein Datenträgerimage
  • Beispielhafte Analyse von Windows Registry-Hives
  • Analyse von Logfiles am Beispiel von Windows-Eventlogs
  • Datenbankforensik: Einträge in SQLite-Datenbanken am Beispiel eines Browser-Verlaufs; Sichtung einer ESEDB
  • Grundlagen des intellektuellen Reviews von „losen“ Dateien mit einem eDiscovery-Werkzeug
  • Beispielhaft Einführung in die Auswertung eines Hauptspeicherimages auf erste Auffälligkeiten

Artefakt-übergreifendes Fallbeispiel: Verdacht auf Datenexfiltration:

  • Analyse z.B. auf Auffälligkeiten bezüglich relevanter Daten im Dateisystem, auf Dateitransfers mit Fernwartungsprogrammen, auf an auffällige Adressen weitergeleitete E-Mails mit fallrelevanten Anhängen, auf angeschlossene USB-Datenträger, auf Hinweise auf jemals auf externen Laufwerken vorhandenen Dateien, etc.
Referenten
Phil  Knüfer, M. Sc. IT-Sicherheit, Consultant IT-Sicherheit/IT-Forensik
Robert  Mittendorf, M. Sc. Informatik, Consultant IT-Forensik/IT-Sicherheit
Alexander  Sigel, M.A., GGF DigiTrace GmbH, Senior-Consultant, (freier) Sachverständiger für IT-Forensik.
Martin  Wundram, GGF DigiTrace GmbH, Senior-Consultant, T.I.S.P. - TeleTrust Information Security Professional. Von der IHK zu Köln öffentlich bestellter und vereidigter Sachverständiger für Systeme und Anwendungen der Informationsverarbeitung, insbesondere IT-Sicherheit und IT-Forensik.
Termin und Ort
Ort:
Tagungshotel (wird noch bekannt gegeben)
Bonn


Zeitraum:
05.11.2019 09:00 Uhr - 07.11.2019 17:00 Uhr

Preis

Teilnahmegebühr Basis-Modul:
1.880,- Euro zzgl. MwSt.

Teilnahmegebühr Basis-Modul + Zusatz-Modul:
2.790,- Euro zzgl. MwSt.

Zur Anmeldung


Partner:



Veranstaltungen nach Datum


Januar 2019 (7)

Februar 2019 (8)

März 2019 (20)

April 2019 (9)

Mai 2019 (15)

Juni 2019 (12)

September 2019 (22)

Oktober 2019 (4)

November 2019 (20)


Veranstaltungen nach Thema


Datenschutz
Digital Compliance
Informationssicherheit
Organisation & Best Practice
Rechtliche Anforderungen & Regulierung
Technische Mittel & Methoden
Zertifizierung