Digitale Forensik

Die digitale Forensik kombiniert die allgemeine Forensik mit der Informationstechnik. Ziel ist es, verdächtige Vorfälle zu untersuchen, die sich auf Computersystemen ereignen. Das bedeutet, dass sie die digitalen Spuren von Cyberkriminellen erfasst, analysiert und auswertet.

Die Prozesse nach einem Vorfall

Digitale Forensik - so sieht die Spurensuche bei Cyberkriminalität aus

Nach der Einstufung des potenziell relevanten Vorfalls wird dieser mit speziellen Analysemethoden geprüft und zielgruppengerecht dargestellt.

    Incident als Ausgangspunkt

    Der Startpunkt für die Incident Response ist zugleich der Ausgangspunkt für die digitale Forensik. Deshalb ist die wichtigste Frage für die digitale Forensik zunächst, ob sich der Hacker noch immer im Netzwerk befindet. Dieser Faktor entscheidet nicht selten darüber, wie groß der Schaden ausfallen könnte und wie akut der Handlungsbedarf ist.

    Ursachenanalyse

    Für die Spurensuche ist es unerlässlich, nichts am digitalen Tatort zu verändern. Damit verhält es sich wie in der realen Welt. Anschließend versuchen die IT-Spezialisten herauszufinden, ob es eine harmlose Attacke oder ein gezielter Cyberangriff war. Gleichzeitig suchen sie nach möglichen Zugängen und Fluchtwegen, die Täter ausgenutzt haben könnten.

    Rekonstruktion des Tathergangs

    Zunächst untersuchen die Cyber-Analysten sämtliche Gegebenheiten rund um den Sicherheitsvorfall. Dabei geht es darum, den digitalen Fingerabdruck des Täters sicherzustellen. Außerdem ist es notwendig, den Tathergang zu rekonstruieren. Dadurch lässt sich feststellen, welche sensiblen Daten in seine Hände gelangt sind. Gegebenenfalls wurden Daten nämlich nicht nur gestohlen, sondern sogar verändert oder zerstört.

    Externe Kompetenz anfordern

    Die digitale Forensik im Unternehmen einzuführen, ist nicht immer ganz einfach. Denn insbesondere die DSGVO ist dabei unbedingt zu berücksichtigen. Eine Möglichkeit ist es, die notwendigen Kompetenzen intern aufzubauen. Alternativ bietet es sich an, einen Spezialisten dafür zu engagieren. Ein externer Partner meist die einfachste Möglichkeit. Denn es handelt sich um ein kritisches und wichtiges Thema für die Unternehmenssicherheit. Mithilfe von Implementierungs-Roadmaps lassen sich die nötigen Anforderungen erfüllen und die richtigen Produkte wählen.

    Rechtliche Aspekte

    Für die digitale Forensik ist das richtige Fachwissen unablässig: Qualifizierte Mitarbeitende haben im besten Fall einen Hintergrund in der Strafverfolgung. Auf diese Weise wissen sie, welche Aspekte für ein anstehendes Gerichtsverfahren notwendig sind. Zudem sollten sie spezialisiert auf die digitale Forensik sein und sich mit den wichtigsten Tools auskennen. Regelmäßige Schulungen sind dabei besonders entscheidend.

    Dokumentationspflicht

    Besonders wichtig ist die behördliche Dokumentationspflicht - sie ist auf keinen Fall zu vernachlässigen. Davon betroffen sind sämtliche Vorfälle, die sich hinsichtlich der IT-Sicherheit im Unternehmen ereignen.

Branchen

Incident als Ausgangspunkt

Forensik als Teil des Incident Response Managements

Die Incident Response ist ein wichtiger Bestandteil jedes Unternehmens. Dabei handelt es sich um einen organisierten Ansatz, um die Schäden durch IT-Vorfälle auf ein Minimum zu reduzieren. Durch die vorgegebenen Richtlinien fallen Sicherheitsverletzungen geringer und die Wiederherstellungszeiten kürzer aus. Die Grundlage dafür ist ein ausgearbeiteter Incident Response Plan, der in einem Zweifelsfall greift.

Mehrwert

Dafür dient die IT-Forensik

Die digitale Forensik, auch Computer Forensik genannt, dient dazu, verdächtige Vorfälle zu untersuchen. Laut BSI (Bundesamt für Sicherheit in der Informationstechnik) gehört eine solche Untersuchung zum Notfallmanagement innerhalb eines Unternehmens. Damit die digitale Forensik einwandfrei durchführbar ist, setzt sie sich aus drei Phasen zusammen:

Sofortmaßnahmen
Die digitale Forensik untersucht Cybervorfälle. Um den unmittelbaren Schaden zu begrenzen, sollte das Notfallmanagement ebenfalls über einen durchdachten Incident Response Plan verfügen.
Recovery
Während die digitale Forensik die Vorfälle untersucht, wird ein Notbetrieb eingeleitet. Er soll die Folgeschäden begrenzen und den Zeitdruck bei der Wiederherstellung minimieren.
Wiederherstellung
Im letzten Schritt gilt es, den Normalbetrieb wiederherzustellen. Dabei sind sämtliche Auswirkungen des Zwischenfalls zu beseitigen.
untersuchung

Methoden

Das sind die wichtigsten Fähigkeiten für die digitale Forensik

Für die digitale Forensik lassen sich unterschiedliche Tools nutzen. Häufig kommt das Reverse Engineering schädlicher Dateien oder von Malware vor, bei dem digitale Dokumente nach unerwünschten Infektionen durchsucht werden. Zu den wichtigsten Tools gehören:

Reverse Engineering
Beim Reverse Engineering wird Software wieder lesbar für den Menschen gemacht. So kann Software und dessen Funktionen besser analysiert werden.
Log-Analyse
Protokolle werden nach bestimmten Kriterien untersucht, um Hinweise oder Erkenntnisse des Zielsystems zu erlangen.
Threat-Intelligence-Datenbanken
Es ist wichtig die Angriffsquellen und -arten zu kennen. Mit diesen Erkenntnissen können Risiken besser verstanden werden.
assessment

Aktuelle Informationen

Aktuelle Blog-Artikel

Unsere Mitarbeiter veröffentlichen regelmäßig Artikel zum Thema IT-Security

Kontakt

Neugierig? Überzeugt? Interessiert?

Vereinbaren Sie ein unverbindliches Erstgespräch mit einem unserer Vertriebsmitarbeiter. Nutzen Sie den folgenden Link, um einen Termin auszuwählen: