Forensische Informatik - Cheatsheet

Techniken zur Datensicherung

Definition:

Techniken zur Datensicherung werden verwendet, um Daten zu schützen und eine Wiederherstellung im Falle von Datenverlust oder -beschädigung zu ermöglichen.

Details:

• Vollständige Sicherung (Full Backup): Kopiert alle Daten.
• Inkrementelle Sicherung: Sichert nur die seit der letzten Sicherung geänderten Daten.
• Differenzielle Sicherung: Sichert nur die seit der letzten vollständigen Sicherung geänderten Daten.
• RAID-Systeme: Kombination mehrerer Festplatten, um Redundanz und/oder Leistung zu erhöhen.
• Cloud-Backup: Sicherung von Daten auf externen Servern über das Internet.
• Snapshots: Erstellen eines Zustandsabbilds zu einem bestimmten Zeitpunkt.
• Offsite-Sicherungen: Speicherung von Backups an einem anderen geografischen Standort.

Methoden zur Verhinderung von Datenmanipulation

Definition:

Methoden zur Verhinderung von Datenmanipulation umfassen Techniken und Werkzeuge, um die Integrität von Daten sicherzustellen und unbefugte Änderungen zu erkennen oder zu verhindern.

Details:

• Hashing: Einwegfunktionen zur Sicherstellung der Datenintegrität (z.B. SHA-256).
• Digitale Signaturen: Kombination von Hashing und Verschlüsselung zur Authentifizierung.
• Audit-Trails: Protokollierung von Änderungen zur Nachverfolgbarkeit.
• Zugriffskontrollen: Beschränkung des Zugriffs auf autorisierte Benutzer.
• Unveränderliche Speicher: Technologien wie WORM (Write Once, Read Many) zur Vermeidung von Änderungen.

Werkzeuge zur Extraktion von Beweisdaten

Definition:

Werkzeuge zur Extraktion von Beweisdaten sind spezialisierte Software- und Hardware-Tools, die in der forensischen Informatik eingesetzt werden, um digitale Beweise aus unterschiedlichen Datenquellen sicherzustellen.

Details:

• Disk-Imaging: Erstellung eines bitweisen Abbildes eines Speichermediums, z.B. mit dd, FTK Imager.
• File-Carving: Rekonstruktion von Dateien aus Rohdatenblöcken, z.B. mit Scalpel, PhotoRec.
• Speicheranalyse: Untersuchung des flüchtigen Speichers (RAM), z.B. mit Volatility.
• Datenwiederherstellung: Wiederherstellung gelöschter oder beschädigter Dateien, z.B. mit Recuva, R-Studio.
• Netzwerkanalyse: Analyse von Netzwerkverkehr zur Identifikation von Anomalien, z.B. mit Wireshark.
• Mobile Forensik: Extraktion von Beweisdaten aus Mobilgeräten, z.B. mit Cellebrite, Elcomsoft.
• Dateisystemanalyse: Untersuchung und Analyse von Dateisystemstrukturen, z.B. mit Autopsy, Sleuth Kit.

Protokollierung und Dokumentation von Beweisen

Definition:

Dokumentation von Beweisen in Forensik, essentielle Aufzeichnung für Nachvollziehbarkeit.

Details:

• Beweismittel ordnungsgemäß dokumentieren: Datenträger, Protokolle, Logs.
• Ketten der Beweiskette (Chain of Custody): Jede Veränderung und jedes Handeln protokollieren.
• Verwendung digitaler Signaturen und Hash-Funktionen zur Sicherung der Integrität: \text{SHA-256}, \text{MD5}.
• Einhalten rechtlicher Vorschriften und Standards (\text{ISO/IEC 27037}).
• Beschreiben von Methoden und Tools, die zur Beweismittelgewinnung und -analyse verwendet wurden.
• Klare und verständliche Aufbereitung für Dritte (z.B. Gericht, Anwälte).
• Regelmäßige Überprüfungen und Audits der Dokumentationsprozesse.

E-Mail- und Kommunikationsanalyse

Definition:

Analyse von E-Mails und elektronischer Kommunikation zur Beweissicherung und Ermittlung forensisch relevanter Informationen.

Details:

• Identifizierung und Extraktion von Metadaten (z.B. IP-Adressen, Zeitstempel).
• Rekonstruktion von Kommunikationsverläufen.
• Nutzung von Suchmethoden und Filtern zur Relevanzfindung.
• Untersuchung von Header-Informationen zur Verifizierung der Echtheit.
• Anwendung von Techniken zur Wiederherstellung gelöschter E-Mails.
• Beachtung von rechtlichen und ethischen Richtlinien.
• Automatisierte Analysewerkzeuge und Skripte zur Effizienzsteigerung einsetzen.

Forensische Analyse von Netzwerken

Definition:

Durch Untersuchung von Netzwerkinformationen und Protokollen werden potenzielle Sicherheitsvorfälle analysiert und Beweise gesammelt.

Details:

• Netzwerkverkehrsüberwachung und -analyse
• Identifikation von Anomalien und Sicherheitsverstößen
• Sammlung und Sicherung von Beweisdaten
• Analyse von Protokolldateien, z. B. Firewall- und IDS/IPS-Logs
• Verwendung von Tools wie Wireshark, Nmap, und NetFlow
• Rekonstruktion von Kommunikationsabläufen
• Relevante Datenformate: PCAP, NetFlow
• Sinne von \textit{Chain of Custody} und Dokumentation
• Rechtsverfahren und Richtlinien beachten

Datenschutzgesetze

Definition:

Gesetze, die den Schutz personenbezogener Daten regeln.

Details:

• GDPR (EU-Datenschutz-Grundverordnung) - Regelt Datenverarbeitung in der EU
• BDSG (Bundesdatenschutzgesetz) - Ergänzt die GDPR in Deutschland
• Betroffenenrechte: Auskunft, Löschung, Berichtigung
• Privacy by Design und Privacy by Default - Prinzipien des Datenschutzes
• Bußgelder bei Verstößen gegen Datenschutzvorschriften

Untersuchung von Festplatten und Speichermedien

Definition:

Forensische Analyse von Festplatten und Speichermedien zur Identifizierung und Sicherung digitaler Beweise.

Details:

• Sicherstellen der Integrität: Write Blocker verwenden
• Datenakquise: bitgenaue Kopien erstellen (z.B. mit dd)
• Dateisystemanalyse: Metadaten und gelöschte Dateien rekonstruieren
• Suchtechniken: Schlüsselwörter, Mustererkennung
• Manipulationen erkennen: Zeitstempel, Dateigrößen
• Berichtserstellung: dokumentierte und nachvollziehbare Ergebnisse