IT-Forensik für Einsteiger und Aufsteiger

Diese Veranstaltung ist abgelaufen

Grundlagen-Modul

Die IT-Forensik stellt Daten aus IT-Systemen als Beweise nachvollziehbar sicher und beurteilt diese im Hinblick auf vereinbarte Untersuchungsfragen. Anwendungen sind z.B. die Aufklärung von Wirtschaftskriminalität oder nicht regelkonformer Handlungen sowie von IT-Sicherheitsvorfällen.

In diesem zweitägigen Seminar vermitteln erfahrene IT-Forensiker Grundlagen der IT-Forensik (Computerforensik) an Teilnehmer, die bisher damit professionell nicht befasst waren, deren berufliche Rolle künftig aber ein solides Grundverständnis erfordert.

Dabei werden Konzepte und Beispiele mit dem Schwerpunkt „Sicherung und inhaltliche Auswertung von Datenträgern“ vorgestellt. Ausgewählte Handlungsschritte werden mit typischen Werkzeugen vorgeführt. Es finden jedoch keine Teilnehmerübungen statt.

Diese Aufteilung bietet den Vorteil, dass in zwei Tagen die wesentlichen Grundlagen, wichtige Faktoren für erfolgreiche Projekte in der IT-Forensik und viel Erfahrungswissen vermittelt werden können. Wer später eher solche Projekte steuern, leiten oder beaufsichtigen wird, kann bereits aus den ersten beiden Tagen relevantes Wissen gewinnen.

Optionales Zusatz-Modul (zusätzlicher Praxistag)

Teilnehmer, die operativ und techniknah Projekte in der IT-Forensik selbst durchführen möchten, können ein zusätzliches Praxismodul belegen. Dieses kann auf Anfrage an einem dritten Schulungstag durchgeführt werden. In diesem Zusatzmodul erlernen die Teilnehmer das Wissen des Basismoduls mit eigenen Grundlagenübungen praktisch umzusetzen.

Es handelt sich um einen offenen Kurs mit jeweils maximal 12 Teilnehmern.

Nach erfolgreicher Teilnahme sollen Teilnehmer:

  • einen Überblick über Konzepte, technische Grundlagen, Methoden und typische Werkzeuge der IT-Forensik gewonnen haben
  • wichtige Möglichkeiten, Herausforderungen und auch Beschränkungen kennen, mittels IT-forensischer Untersuchungen Erkenntnisse zu Untersuchungsfragen zu gewinnen
  • wissen, wie IT-forensische Untersuchungen ablaufen und wie man dabei typische Fehler vermeidet
  • auf IT-forensische Untersuchungen im Ernstfall besser handlungsbereit gerüstet sein
  • in einfacheren Fällen (bzw. abhängig von der Erfahrung und Situation) ausgewählte erste Schritte selbst durchführen sowie die geeigneten Handlungen veranlassen und überwachen und effizient mit hauptberuflichen IT-Forensikern zusammenarbeiten können.

Nach erfolgreicher Teilnahme des optionalen dritten Schulungstages sollen Teilnehmer:

  • einen Datenträger selbst IT-forensisch sichern und die Sicherung geeignet dokumentieren können
  • ein vertieftes handlungspraktisches Verständnis davon haben, welche Möglichkeiten IT-forensische Untersuchungen für ausgewählte Artefakte und Erkenntnisziele bieten und wie diese ablaufen. Dies ermöglicht, IT-forensische Untersuchungen besser zu steuern und Ergebnisse zu beurteilen, und ist Ausgangsbasis für einen Aufbaukurs.

Gegenstand ist ausdrücklich nicht, die Teilnehmer in die Lage zu versetzen, eigenständig komplexe IT-forensische Untersuchungen, die schnell technisch und vom Prozessablauf sehr anspruchsvoll werden können, durchführen zu können.

Seminarablauf

Tag 1

    • Einführung
    • Nachvollziehen des Sachverhaltes und zielgerichtete Identifikation, Auswahl und Priorisierung fallrelevanter Datenquellen (verschiedene Geräte, Anwendungen und Umgebungen): Untersuchungsplan
    • Operative IT-forensische Sicherung von Datenquellen
    • Besonderheiten der Sicherung ausgewählter Quellen spezifisch nach Quellenart (z.B. Festplatte eines Laptop-Clients, Mailbox von einem Mailserver und Backups, bis hin zu Hauptspeicherinhalten)
    • Verifikation gesicherter Daten

 

Tag 2

    • Physischer und logischer Aufbau von Datenträgern (Festplatte vs. SSD)
    • Partitionen und wichtige Konzepte zu Dateisystemen, insbesondere IT-forensisch relevante Eigenschaften von Dateisystemen, am Beispiel von NTFS
    • Wiederherstellung gelöschter Daten, soweit technisch möglich
    • Konzepte und Vorgehen bei verschlüsselten Datenträgern
    • Analyse einzelner Dateien (Identifikation mittels Stichwortsuche, Metadaten und Eigenschaften, Hashing und Hashsets)
    • Analyse ausgewählter Windows-Betriebssystem-Artefakte
      (z.B. Systeminformationen, Windows Registry, Logfiles, Nutzeraktivitäten)
    • Analyse ausgewählter Anwendungs-Artefakte (z.B. Webbrowser, E-Mail, Chats, lokale Spuren zu Clouddiensten)
    • Einführung in die Analyse ausgewählter Hauptspeicherinhalte
    • Einführung in die Analyse ausgewählter Inhalte eines Smartphones

 

Tag 3 (optionales Zusatz-Modul-Praxis)

    • Praktische Teilnehmerübungen zu Grundlagen der IT-forensischen Sicherung, Aufbereitung und Auswertung. Dies überwiegend am Beispiel eines zu untersuchenden Windows-Systems, mit dem Dateisystem NTFS und zugehörigen Windows- und Anwendungs-Artefakten, und unter überwiegender Nutzung von Windows als Auswertungsumgebung. Gegenstand dieses Tages ist das praktische Kennenlernen und Einüben der Grundlagen, die an den ersten beiden Tagen vorgestellt wurden. Die vertiefte Vermittlung von Wissen und Fähigkeiten zu Artefakten und Auswertungsmöglichkeiten ist nicht Gegenstand.
    • Sicherung
    • Aufbereitung
    • Auswertung
    • Artefakt-übergreifendes Fallbeispiel: Verdacht auf Datenexfiltration
  • Alexander Sigel
  • Robert Mittendorf

Grundprinzipien und Herausforderungen in der IT-Forensik; Möglichkeiten und Begrenzungen der IT-forensischen Erkenntnis; Ziele einer IT-forensischen Untersuchung und Zielkonflikte; Grundsätze der IT-forensischen Arbeitsweise; Rechtliche Beschränkungen und Voraussetzungen; Praxisbeispiele; Arten: blockweise physisch, „halbphysisch“, logisch; Nutzung von Writeblockern; Besonderheiten bei defekten Datenträgern und bei SSDs

(freier) Sachverständiger für IT-Forensik
M. Sc. Informatik, Consultant IT-Forensik/IT-Sicherheit
  • Alexander Sigel
  • Robert Mittendorf

Physischer und logischer Aufbau von Datenträgern, Wiederherstellung gelöschter Daten, soweit technisch möglich, Analyse einzelner Dateien. Analyse ausgewählter Anwendungs-Artefakte, Einführung in die Analyse ausgewählter Hauptspeicherinhalte und eines Smartphones

(freier) Sachverständiger für IT-Forensik
M. Sc. Informatik, Consultant IT-Forensik/IT-Sicherheit
  • Alexander Sigel
  • Robert Mittendorf

Logische Sicherung von Dateien, insbesondere Vollständigkeitsprüfung und geeignete Dokumentation, Verwendung von Containerformaten für logische Datensicherungen; Physische Sicherung (IT-forensisches Imaging) von einem USB-Datenträger und von einer Festplatte am Hardware-Schreibschutz; Beweismittelkette: Sicherstellung der Integrität mittels Hashing und Verifikation; Datenrettung von einem Datenträger mit Lesefehlern; Besonderheiten bei verschlüsselten Datenträgern, z.B. Verschlüsselungsstatus bei Bitlocker feststellen, Entschlüsselungsschlüssel auslesen; Live-Sicherung wichtiger Daten im Rahmen von Incident Response, geeignete Sicherungsreihenfolge; Physische Sicherung von Hauptspeicherinhalten; Sicherung von Inhalten eines Smartphones (logisch, Dateisystem, physisch, auch Rooting/Jailbreak); mounten, Überprüfung eines gesicherten Images auf Lesbarkeit und Nämlichkeit; Entschlüsselung eines verschlüsselten Images (mit bekannten Zugangsdaten); Typische Vorverarbeitungsschritte, insbesondere Wiederherstellung von nicht mehr im Dateisystem eingetragenen Dateien (Informationen aus früheren Informationen aus dem Dateisystem, aus Schattenkopien und mittels Carving), Aufbereitung von Metadaten; Formatwandlung sowie Filterung auf relevante Daten; Indexierung von „losen“ Dateien (inklusive E-Mail) mit einem eDiscovery-Werkzeug; Intellektuelle Sichtung eines gesicherten Datenträgerimages eines Windows-Systems; Analyse der Partitionierung und des Dateisystems, Dateizuordnungstabelle (MFT); Gelöschte Dateien im Papierkorb und in Schattenkopien; Analyse existierender Dateien und ihrer Metadaten (Zeitstempel, Einträge in den Dateien); Parallele Stichwort-Suche über ein Datenträgerimage; Beispielhafte Analyse von Windows Registry-Hives; Analyse von Logfiles am Beispiel von Windows-Eventlogs; Datenbankforensik: Einträge in SQLite-Datenbanken am Beispiel eines Browser-Verlaufs; Sichtung einer ESEDB; Grundlagen des intellektuellen Reviews von „losen“ Dateien mit einem eDiscovery-Werkzeug; Beispielhaft Einführung in die Auswertung eines Hauptspeicherimages auf erste Auffälligkeiten; Analyse z.B. auf Auffälligkeiten bezüglich relevanter Daten im Dateisystem, auf Dateitransfers mit Fernwartungsprogrammen, auf an auffällige Adressen weitergeleitete E-Mails mit fallrelevanten Anhängen, auf angeschlossene USB-Datenträger, auf Hinweise auf jemals auf externen Laufwerken vorhandenen Dateien, etc.

(freier) Sachverständiger für IT-Forensik
M. Sc. Informatik, Consultant IT-Forensik/IT-Sicherheit
Robert Mittendorf

Robert Mittendorf

M. Sc. Informatik, Consultant IT-Forensik/IT-Sicherheit
Alexander Sigel

Alexander Sigel

(freier) Sachverständiger für IT-Forensik

Leave a reply

Details

15. September 2020 9:00
17. September 2020 17:00
Berlin

Zielgruppen

Mitarbeiter in Unternehmen oder bei Behörden, die beruflich im Rahmen von Untersuchungen (künftig) regelmäßig Erkenntnisse aus der IT-Forensik benötigen oder bereitstellen sollen und hierfür ein solides Grundverständnis erwerben wollen, etwa weil sie ihre berufliche Rolle erweitern. Typischerweise haben diese einen Hintergrund in: Compliance, Internal Audit, Datenschutz, Recht oder in einer Stabsstelle/Führungskräfte, IT, IT- bzw. Informationssicherheit, Konzernsicherheit Sachbearbeitende Ermittlung. Der Kurs eignet sich für Einsteiger, wobei grundlegende IT-Kenntnisse vorausgesetzt werden.