Forensische Informatik - Cheatsheet
Techniken zur Datensicherung
Definition:
Techniken zur Datensicherung werden verwendet, um Daten zu schützen und eine Wiederherstellung im Falle von Datenverlust oder -beschädigung zu ermöglichen.
Details:
- Vollständige Sicherung (Full Backup): Kopiert alle Daten.
- Inkrementelle Sicherung: Sichert nur die seit der letzten Sicherung geänderten Daten.
- Differenzielle Sicherung: Sichert nur die seit der letzten vollständigen Sicherung geänderten Daten.
- RAID-Systeme: Kombination mehrerer Festplatten, um Redundanz und/oder Leistung zu erhöhen.
- Cloud-Backup: Sicherung von Daten auf externen Servern über das Internet.
- Snapshots: Erstellen eines Zustandsabbilds zu einem bestimmten Zeitpunkt.
- Offsite-Sicherungen: Speicherung von Backups an einem anderen geografischen Standort.
Methoden zur Verhinderung von Datenmanipulation
Definition:
Methoden zur Verhinderung von Datenmanipulation umfassen Techniken und Werkzeuge, um die Integrität von Daten sicherzustellen und unbefugte Änderungen zu erkennen oder zu verhindern.
Details:
- Hashing: Einwegfunktionen zur Sicherstellung der Datenintegrität (z.B. SHA-256).
- Digitale Signaturen: Kombination von Hashing und Verschlüsselung zur Authentifizierung.
- Audit-Trails: Protokollierung von Änderungen zur Nachverfolgbarkeit.
- Zugriffskontrollen: Beschränkung des Zugriffs auf autorisierte Benutzer.
- Unveränderliche Speicher: Technologien wie WORM (Write Once, Read Many) zur Vermeidung von Änderungen.
Werkzeuge zur Extraktion von Beweisdaten
Definition:
Werkzeuge zur Extraktion von Beweisdaten sind spezialisierte Software- und Hardware-Tools, die in der forensischen Informatik eingesetzt werden, um digitale Beweise aus unterschiedlichen Datenquellen sicherzustellen.
Details:
- Disk-Imaging: Erstellung eines bitweisen Abbildes eines Speichermediums, z.B. mit dd, FTK Imager.
- File-Carving: Rekonstruktion von Dateien aus Rohdatenblöcken, z.B. mit Scalpel, PhotoRec.
- Speicheranalyse: Untersuchung des flüchtigen Speichers (RAM), z.B. mit Volatility.
- Datenwiederherstellung: Wiederherstellung gelöschter oder beschädigter Dateien, z.B. mit Recuva, R-Studio.
- Netzwerkanalyse: Analyse von Netzwerkverkehr zur Identifikation von Anomalien, z.B. mit Wireshark.
- Mobile Forensik: Extraktion von Beweisdaten aus Mobilgeräten, z.B. mit Cellebrite, Elcomsoft.
- Dateisystemanalyse: Untersuchung und Analyse von Dateisystemstrukturen, z.B. mit Autopsy, Sleuth Kit.
Protokollierung und Dokumentation von Beweisen
Definition:
Dokumentation von Beweisen in Forensik, essentielle Aufzeichnung für Nachvollziehbarkeit.
Details:
- Beweismittel ordnungsgemäß dokumentieren: Datenträger, Protokolle, Logs.
- Ketten der Beweiskette (Chain of Custody): Jede Veränderung und jedes Handeln protokollieren.
- Verwendung digitaler Signaturen und Hash-Funktionen zur Sicherung der Integrität: \text{SHA-256}, \text{MD5}.
- Einhalten rechtlicher Vorschriften und Standards (\text{ISO/IEC 27037}).
- Beschreiben von Methoden und Tools, die zur Beweismittelgewinnung und -analyse verwendet wurden.
- Klare und verständliche Aufbereitung für Dritte (z.B. Gericht, Anwälte).
- Regelmäßige Überprüfungen und Audits der Dokumentationsprozesse.
E-Mail- und Kommunikationsanalyse
Definition:
Analyse von E-Mails und elektronischer Kommunikation zur Beweissicherung und Ermittlung forensisch relevanter Informationen.
Details:
- Identifizierung und Extraktion von Metadaten (z.B. IP-Adressen, Zeitstempel).
- Rekonstruktion von Kommunikationsverläufen.
- Nutzung von Suchmethoden und Filtern zur Relevanzfindung.
- Untersuchung von Header-Informationen zur Verifizierung der Echtheit.
- Anwendung von Techniken zur Wiederherstellung gelöschter E-Mails.
- Beachtung von rechtlichen und ethischen Richtlinien.
- Automatisierte Analysewerkzeuge und Skripte zur Effizienzsteigerung einsetzen.
Forensische Analyse von Netzwerken
Definition:
Durch Untersuchung von Netzwerkinformationen und Protokollen werden potenzielle Sicherheitsvorfälle analysiert und Beweise gesammelt.
Details:
- Netzwerkverkehrsüberwachung und -analyse
- Identifikation von Anomalien und Sicherheitsverstößen
- Sammlung und Sicherung von Beweisdaten
- Analyse von Protokolldateien, z. B. Firewall- und IDS/IPS-Logs
- Verwendung von Tools wie Wireshark, Nmap, und NetFlow
- Rekonstruktion von Kommunikationsabläufen
- Relevante Datenformate: PCAP, NetFlow
- Sinne von \textit{Chain of Custody} und Dokumentation
- Rechtsverfahren und Richtlinien beachten
Datenschutzgesetze
Definition:
Gesetze, die den Schutz personenbezogener Daten regeln.
Details:
- GDPR (EU-Datenschutz-Grundverordnung) - Regelt Datenverarbeitung in der EU
- BDSG (Bundesdatenschutzgesetz) - Ergänzt die GDPR in Deutschland
- Betroffenenrechte: Auskunft, Löschung, Berichtigung
- Privacy by Design und Privacy by Default - Prinzipien des Datenschutzes
- Bußgelder bei Verstößen gegen Datenschutzvorschriften
Untersuchung von Festplatten und Speichermedien
Definition:
Forensische Analyse von Festplatten und Speichermedien zur Identifizierung und Sicherung digitaler Beweise.
Details:
- Sicherstellen der Integrität: Write Blocker verwenden
- Datenakquise: bitgenaue Kopien erstellen (z.B. mit
dd
) - Dateisystemanalyse: Metadaten und gelöschte Dateien rekonstruieren
- Suchtechniken: Schlüsselwörter, Mustererkennung
- Manipulationen erkennen: Zeitstempel, Dateigrößen
- Berichtserstellung: dokumentierte und nachvollziehbare Ergebnisse