Forensics (Digitale Forensik)

Digitale Forensik – auch Cyber Forensics oder IT-Forensik genannt – bezeichnet die systematische Sammlung, Analyse und Auswertung digitaler Spuren, um Sicherheitsvorfälle, Datenmissbrauch oder Cyberangriffe aufzuklären. Ziel ist es, die Ursachen und Abläufe eines Vorfalls zu rekonstruieren und gerichtsverwertbare Beweise zu sichern.

Forensische Analysen sind ein zentraler Bestandteil der Incident ResponseIncident Response (Reaktion auf Sicherheitsvorfälle) Incident Response bezeichnet den strukturierten Prozess zur Erkennung, Analyse, Eindämmung und ... Mehr, vor allem bei komplexen Angriffen wie Advanced Persistent Threats (APT), RansomwareRansomware Ransomware ist eine Art von Malware, die darauf abzielt, ein Computersystem oder eine Datei zu verschlüsseln und von den rechtmäßigen Be... Mehr oder Insider Threats. Sie kommen in Unternehmen, Behörden, Strafverfolgung und bei Compliance-Prüfungen zum Einsatz.

Typische Schritte einer digitalen Forensik:

1. Identifikation: Welche Systeme, Daten und Ereignisse sind betroffen?
2. Sicherung (Imaging): Erstellung unveränderter Kopien (Snapshots) betroffener Systeme
3. Analyse: Untersuchung von Logs, Speicherinhalten, Artefakten, Malware und Netzverkehr
4. Rekonstruktion: Zeitliche und technische Nachvollziehbarkeit des Angriffs
5. Dokumentation & ReportingReporting Reporting im Projektmanagement ist der Prozess, bei dem regelmäßig Informationen über den Fortschritt, die Ergebnisse und die Leistung ei... Mehr: Erstellung forensischer Berichte für interne Zwecke oder Gerichte

Wichtige Analyseobjekte:

• Logdaten (SIEMSIEM (Security Information and Event Management) SIEM ist eine zentrale Technologie im Bereich der Cybersicherheit, die Sicherheitsinformationen und E... Mehr, System-, Netzwerk- und Applikationslogs)
• Dateisysteme, temporäre Dateien, RAM- und Netzwerkdumps
• Benutzeraktivitäten und Zugriffshistorien
• Artefakte von Malware oder Ransomware

Tools & Frameworks:

• Volatility, Autopsy, FTK, X-Ways, Sleuth Kit
• Memory Forensics Frameworks (z. B. Rekall)
• Standardisierte Vorgehensweisen nach NIST SP 800-86 oder ISOISO ISO steht für die „International Organization for Standardization“ – eine weltweit tätige Organisation zur Entwicklung und Veröffentlichu... Mehr/IEC 27037

Verwandte Begriffe:

Incident Response, Threat HuntingThreat Hunting Threat Hunting bezeichnet einen proaktiven Sicherheitsansatz, bei dem Sicherheitsexperten gezielt nach Hinweisen auf bisher unentdeckte... Mehr, TelemetryTelemetry (Sicherheitstelemetrie) Telemetry bezeichnet im Kontext der Cybersicherheit die Erfassung, Übertragung und Analyse technischer Messdaten au... Mehr, SIEM, Kill ChainKill Chain (Cyber Kill Chain) Die Cyber Kill Chain ist ein Modell zur systematischen Darstellung von Phasen eines Cyberangriffs. Ursprünglich von Loc... Mehr, MITRE ATT&CKMITRE ATT&CK MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) ist ein öffentlich zugängliches, systematisches Framework zur Besc... Mehr, Malware Analysis, IOC, TTPs