Grundlagen-Modul
Die IT-Forensik stellt Daten aus IT-Systemen als Beweise nachvollziehbar sicher und beurteilt diese im Hinblick auf vereinbarte Untersuchungsfragen. Anwendungen sind z.B. die Aufklärung von Wirtschaftskriminalität oder nicht regelkonformer Handlungen sowie von IT-Sicherheitsvorfällen.
In diesem zweitägigen Seminar vermitteln erfahrene IT-Forensiker Grundlagen der IT-Forensik (Computerforensik) an Teilnehmer, die bisher damit professionell nicht befasst waren, deren berufliche Rolle künftig aber ein solides Grundverständnis erfordert.
Dabei werden Konzepte und Beispiele mit dem Schwerpunkt „Sicherung und inhaltliche Auswertung von Datenträgern“ vorgestellt. Ausgewählte Handlungsschritte werden mit typischen Werkzeugen vorgeführt. Es finden jedoch keine Teilnehmerübungen statt.
Diese Aufteilung bietet den Vorteil, dass in zwei Tagen die wesentlichen Grundlagen, wichtige Faktoren für erfolgreiche Projekte in der IT-Forensik und viel Erfahrungswissen vermittelt werden können. Wer später eher solche Projekte steuern, leiten oder beaufsichtigen wird, kann bereits aus den ersten beiden Tagen relevantes Wissen gewinnen.
Optionales Zusatz-Modul (zusätzlicher Praxistag)
Teilnehmer, die operativ und techniknah Projekte in der IT-Forensik selbst durchführen möchten, können ein zusätzliches Praxismodul belegen. Dieses kann auf Anfrage an einem dritten Schulungstag durchgeführt werden. In diesem Zusatzmodul erlernen die Teilnehmer das Wissen des Basismoduls mit eigenen Grundlagenübungen praktisch umzusetzen.
Es handelt sich um einen offenen Kurs mit jeweils maximal 12 Teilnehmern.
Nach erfolgreicher Teilnahme sollen Teilnehmer:
- einen Überblick über Konzepte, technische Grundlagen, Methoden und typische Werkzeuge der IT-Forensik gewonnen haben
- wichtige Möglichkeiten, Herausforderungen und auch Beschränkungen kennen, mittels IT-forensischer Untersuchungen Erkenntnisse zu Untersuchungsfragen zu gewinnen
- wissen, wie IT-forensische Untersuchungen ablaufen und wie man dabei typische Fehler vermeidet
- auf IT-forensische Untersuchungen im Ernstfall besser handlungsbereit gerüstet sein
- in einfacheren Fällen (bzw. abhängig von der Erfahrung und Situation) ausgewählte erste Schritte selbst durchführen sowie die geeigneten Handlungen veranlassen und überwachen und effizient mit hauptberuflichen IT-Forensikern zusammenarbeiten können.
Nach erfolgreicher Teilnahme des optionalen dritten Schulungstages sollen Teilnehmer:
- einen Datenträger selbst IT-forensisch sichern und die Sicherung geeignet dokumentieren können
- ein vertieftes handlungspraktisches Verständnis davon haben, welche Möglichkeiten IT-forensische Untersuchungen für ausgewählte Artefakte und Erkenntnisziele bieten und wie diese ablaufen. Dies ermöglicht, IT-forensische Untersuchungen besser zu steuern und Ergebnisse zu beurteilen, und ist Ausgangsbasis für einen Aufbaukurs.
Gegenstand ist ausdrücklich nicht, die Teilnehmer in die Lage zu versetzen, eigenständig komplexe IT-forensische Untersuchungen, die schnell technisch und vom Prozessablauf sehr anspruchsvoll werden können, durchführen zu können.
Seminarablauf
Tag 1
-
- Einführung
- Nachvollziehen des Sachverhaltes und zielgerichtete Identifikation, Auswahl und Priorisierung fallrelevanter Datenquellen (verschiedene Geräte, Anwendungen und Umgebungen): Untersuchungsplan
- Operative IT-forensische Sicherung von Datenquellen
- Besonderheiten der Sicherung ausgewählter Quellen spezifisch nach Quellenart (z.B. Festplatte eines Laptop-Clients, Mailbox von einem Mailserver und Backups, bis hin zu Hauptspeicherinhalten)
- Verifikation gesicherter Daten
Tag 2
-
- Physischer und logischer Aufbau von Datenträgern (Festplatte vs. SSD)
- Partitionen und wichtige Konzepte zu Dateisystemen, insbesondere IT-forensisch relevante Eigenschaften von Dateisystemen, am Beispiel von NTFS
- Wiederherstellung gelöschter Daten, soweit technisch möglich
- Konzepte und Vorgehen bei verschlüsselten Datenträgern
- Analyse einzelner Dateien (Identifikation mittels Stichwortsuche, Metadaten und Eigenschaften, Hashing und Hashsets)
- Analyse ausgewählter Windows-Betriebssystem-Artefakte
(z.B. Systeminformationen, Windows Registry, Logfiles, Nutzeraktivitäten) - Analyse ausgewählter Anwendungs-Artefakte (z.B. Webbrowser, E-Mail, Chats, lokale Spuren zu Clouddiensten)
- Einführung in die Analyse ausgewählter Hauptspeicherinhalte
- Einführung in die Analyse ausgewählter Inhalte eines Smartphones
Tag 3 (optionales Zusatz-Modul-Praxis)
-
- Praktische Teilnehmerübungen zu Grundlagen der IT-forensischen Sicherung, Aufbereitung und Auswertung. Dies überwiegend am Beispiel eines zu untersuchenden Windows-Systems, mit dem Dateisystem NTFS und zugehörigen Windows- und Anwendungs-Artefakten, und unter überwiegender Nutzung von Windows als Auswertungsumgebung. Gegenstand dieses Tages ist das praktische Kennenlernen und Einüben der Grundlagen, die an den ersten beiden Tagen vorgestellt wurden. Die vertiefte Vermittlung von Wissen und Fähigkeiten zu Artefakten und Auswertungsmöglichkeiten ist nicht Gegenstand.
- Sicherung
- Aufbereitung
- Auswertung
- Artefakt-übergreifendes Fallbeispiel: Verdacht auf Datenexfiltration