Datenforensik – Was ist passiert und wer hat's getan?
Der Spezialist für Beweismittelsicherung durch forensische Analysen und Auswertungen
Datenforensik durch einen Sachverständigen (allgemein beeideter und gerichtlich zertifizierter Sachverständiger für „Forensische Datensicherung, Datenrekonstruktion, Datenauswertung”)
Beste Ergebnisse durch SANS-zertifizierte Spezialisten (www.sans.org)
-
Sie vermuten Zugriffe auf Ihre Computersysteme?
-
Sie haben einen Verdacht in Sachen Computersicherheitsvorfall?
-
Sie wollen wissen, ob es Spuren von Datenmanipulation gibt?
-
Sie möchten Beweise gerichtlich verwertbar sichern?
-
Sie wollen eine Analyse / Privatgutachten für einen Prozess vor Gericht?
Die Datenforensik beschäftigt sich mit verschiedensten Computersicherheits-Szenarien – außerhalb und innerhalb des Unternehmens. Wir helfen Ihnen wieder die Oberhand zu gewinnen.
Dipl. Ing. Christian PerstGutachter & Gerichtssachverständiger
7 Schritte zu erstklassigen Ergebnissen
1. Phase
Durch die Unterscheidung zwischen „lebenden” und „toten” Systemen werden die Methoden ausgewählt, die die besten Ergebnisse liefern. Ein „lebendes” Computersystem „läuft” und hat Beweise im Arbeitsspeicher. Diese können gesichert werden. Wird das System ausgeschaltet, ist es „tot”, und die flüchtigen Beweise gehen verloren.
2. Phase
Für die adäquate Vorgehensweise wird die Datensicherung der Systeme (Festplatten, Arbeitsspeicher) durchgeführt.
3. Phase
Je nach Sicherheitsvorfall kommen unterschiedliche Analysemethoden zum Einsatz. Fast immer wird eine Zeitleiste der letzten Dateizugriffe erstellt. Diese liefert ein gutes Bild der Aktivitäten am Computer. Eine Malware-Recherche und eine Analyse der Registry bei Windows sind häufig notwendig.
4. Phase
Wurden Informationen gelöscht, gilt es im Speichersystem auf die Spurensuche zu gehen. Dabei werden Daten auf Byteebene analysiert. Fundorte werden ausgewertet und in Beziehung zur Fragestellung gesetzt. Oft ist es so möglich, auch noch bruchstückhafte Spuren zu sichern.
5. Phase
In dem Analysebericht werden die Ergebnisse erörtert und Hinweise für bzw. gegen den Sicherheitsvorfall begründet.
Die Computerforensik ist aus keinem IT-Sicherheitskonzept mehr wegzudenken.
Die Computersysteme von Unternehmen weltweit werden rund um die Uhr angegriffen – wenn der Angriff erfolgreich ist, beginnt die Suche nach dem Täter.
Ein wichtiger Bestandteil der Datenforensik ist die Wiederherstellung verlorener Daten. Auch während eines Angriffs böswillig gelöschte Daten sind oft zur Gänze wiederherzustellen. Wir bieten Ihnen rasche, professionelle Hilfe und natürlich absolute Diskretion – senden Sie uns Ihre Anfrage direkt online!
5 Gründe, warum Sie ausgerechnet uns an Ihre heiklen Systeme lassen sollen
Vom US-Sicherheitsinstitut SANS zertifizierte Experten...
...belegen, dass wir das Know-how haben, um die IT-Penetrationstests sicher und erfolgreich abzuwickeln.
Wir streben nachhaltig Spitzenleistungen an...
...das ist unsere Einstellung, das ist der Anspruch an uns. Wir wissen, unsere Zertifizierung ist die Befähigung die Tätigkeit ausüben zu können. Wirklich gut werden wir, indem wir immer weiter lernen und unsere Erfahrungen in einen stetigen Verbesserungskreislauf einfließen lassen.
Ehrlichkeit, Qualität und Zuverlässigkeit...
...das sind unsere Werte, nach denen wir uns richten. Wir sind der Überzeugung, dass ein Wort von uns, soviel Aussagekraft hat, wie eine schriftliche Vereinbarung.
Höchste Diskretion...
...ist für uns selbstverständlich. Wir betreuen Unternehmen aus allen Bereichen der Industrie und Produktion, im Bereich der Dienstleistung, Versicherungen, Medienbranche, Flughafenverwaltungen uvm. Darauf können Sie sich verlassen.
10% Rabatt für NGOs...
...Sie schätzen Menschen und Unternehmen mit sozialer Verantwortung. Da geht es Ihnen wie uns. Das ist uns wichtig und daher bieten wir NGOs diesen Rabatt auf unsere Dienstleistungen an. Fragen Sie bei uns nach dem NGO-Rabatt.
Häufige Fragen
Häufig gestellte Fragen zu unseren Datenforensik
Oft hört man, dass ein Neuformatieren des befallenen Computersystems die Probleme löst. Dies ist jedoch nur dann zielführend, wenn man weiß,
warum ein Cyber-Einbruch stattfand. Wird ein infiziertes System sogleich neu installiert, kommt es häufig vor, dass der gleiche Angreifer
das Computersystem neuerlich übernimmt.
Daher sind möglichst folgende Fragen zu beantworten, um die Ursache einer erneuten Infektion auszuschließen:
Was ist passiert?
Wie ist das passiert?
Wodurch war dies möglich?
Wer war es?
Der wichtigste Schritt ist die frühzeitige Hinzuziehung eines forensischen Experten. Eigene fehlerhafte Nachforschungen vernichten
oft wichtige Spuren und richten zusätzlichen Schaden am System an. Damit gehen wichtige Spuren für die Analyse verloren.
Ist kein Datenforensik-Experte vor Ort verfügbar, sollte der Computer so belassen werden. Ist er eingeschaltet, sollte er auch
eingeschaltet bleiben. Es ist dafür zu sorgen, dass niemand mehr mit diesem Gerät arbeitet, bis eine forensische Untersuchung gestartet wird.
Hängt der Computer in einem Unternehmensnetzwerk, sollten die infizierten Computer in ein abgeschottetes virtuelles LAN (VLAN) aufgenommen
werden, in dem sich nur verdächtige Geräte befinden. Dieses Netzwerk sollte vom Internet und dem Unternehmensnetzwerk getrennt sein.
Wenn dazu keine Möglichkeit besteht und das Netzwerkkabel (z.B. Ethernet) zweifelsfrei identifiziert werden kann, gilt es, den
Computer vom Netzwerk zu trennen und sofort an einen aktiven isolierten Switch oder Hub anzuschließen.
Ein Foto vom Arbeitsplatz sowie von der Vorder- und Rückseite des verdächtigen Systems runden die Vorarbeiten ab.
Befindet sich das Computersystem bereits in einem ausgeschalteten Zustand, sollte es nicht wieder eingeschaltet werden. Das Gerät ist
einer forensischen Analyse zuzuführen.
Im ersten Schritt muss zwischen „lebenden” und „toten” Computersystemen unterschieden werden (s.u.).
Arbeitet das Computersystem, wird zuerst eine forensische Analyse des Arbeitsspeichers durchgeführt (wie Inhalt von Cache, Status
der Netzverbindungen, laufende Prozesse, angemeldete Benutzer usw.). Danach wird eine forensische Kopie der fragilen Daten,
insbesondere des Festplattenspeichers, genommen. Dabei ist darauf zu achten, dass diese Prozesse gut dokumentiert, wiederholbar
und reproduzierbar sind. Für Verfahren und Verhandlungen bei Gericht ist dies besonders wichtig.
Aus der Analyse des Arbeitsspeichers lassen sich bereits wertvolle Hinweise ableiten.
Liegt das Speicherabbild des Festplattenspeichers vor, wird die Zeitleiste (engl. timeline) gebildet und Informationen und Hinweisen
auf eine Verseuchung/Zugriff wird nachgegangen. Die Zeitleiste stellt den letzten Zugriff lesender und schreibender Art wie die
Änderung der Metadaten (Dateirechte, Zugriffszeiten, Zeiger auf Datenblöcke) dar.
Jede Datei hat - je nach Betriebssystem - einige Zeitstempel, in der - je nach Aktion - ein Zeitpunkt gespeichert wird. Üblicherweise
handelt es sich um drei oder vier Zeiten: lesender Zugriff, schreibender Zugriff, Änderung der Metadaten und Erstellungsdatum der Datei.
Über die Zeitleiste ist eine chronologische Abfolge der Aktionen auf dem System möglich.
Manchmal ist es notwendig, den gesamten Speicher inkl. der freien Datenblöcke zu durchsuchen. Oft lassen sich so auch Hinweise zur
Verseuchung/Zugriff/vermuteten Aktion finden.
Spezielle Analysen betriebssystemspezifischer Eigenheiten (wie z.B. bei Windows: Bereiche in der Registry, Prefetch-Mechanismus,
letzte Dateiaufrufe, gestartete Programme uvm.) werfen ein klärendes Licht auf die vermuteten Aktivitäten.
Jeder IT-Sicherheitsvorfall ist individuell und unterscheidet sich von anderen Vorfällen. Um eine seriöse Abschätzung geben zu können, benötigen wir eine detaillierte Beschreibung des vermuteten Vorfalls und die zu untersuchenden Systeme. Gerne senden wir Ihnen dann nähere Informationen zu.
Auf eingeschalteten Systemen befinden sich viele Hinweise und Spuren im Arbeitsspeicher. Jeder Prozess der ausgeführt wird, existiert als Kopie im Arbeitsspeicher und hat dort seine Verknüpfungen, wie offene Dateien, DLLs, Handles u.a. Somit sind wertvolle Informationen im Arbeitsspeicher vorhanden, die beim Ziehen des Stromkabels verloren gehen. Die traditionelle Datenforensik/Datenforensik arbeitet fast ausschließlich mit stromlosen Systemen, an denen die Analysen durchgeführt wurde.
Der Begriffe „lebende” Systeme wird in der Datenforensik für Computersysteme verwendet, die arbeiten, also
eingeschaltet sind und Daten im Arbeitsspeicher haben. „Tote” Systeme sind Computer, die stromlos, also
ausgeschaltet sind.
In der forensischen Datensicherung ergibt sich die Reihenfolge der Sicherung der Medien nach der Flüchtigkeit der Daten.
Da der Arbeitsspeicher einer sehr schnellen Änderung unterworfen ist, sollte er möglichst rasch gesichert werden. Danach
folgen Datenspeicher im Betrieb und danach Datenspeicher, die offline und gesondert aufbewahrt werden.
State-of-the-Art der modernen Datenforensik ist, Spuren in lebenden Systemen auszuwerten. So sind z.B. zwei der bekanntesten
Vertreter von Schadsoftware der letzten Jahre über die Forensik des Arbeitsspeichers leicht zu identifizieren. Stuxnet hatte
im September 2010 die iranischen Urananreicherungszentrifugen torpediert und beim Conficker-Wurm handelte es sich um eine
sehr populäre Malware, die 2008 bis 2010 in verschiedensten Varianten für die Infizierung von ca. 6 Mio. Geräten
verantwortlich war.”
In dem jungen Bereich der Datenforensik ist die Speicheranalyse ein noch jüngeres Arbeits- und Forschungsfeld. 2005 wurde in der 1. „Digital Forensic Research Conference” ein Wettbewerb gestartet, der ein öffentlichkeitswirksames Medium darstellte, um Arbeiten auf diesem Forschungsgebiete zu entwickeln und anzukurbeln. Seit diesem Zeitpunkt werden verstärkt Mechanismen und Strukturen des Speicheraufbaus der verschiedenen Betriebssysteme analysiert. Einige Jahre später entstanden die ersten Programme, die über die einfache Textsuche im Arbeitsspeicher hinausgingen. Der Datenforensiker wird damit in der Analyse eines Arbeitsspeichers oder Speicherabbildes eines laufenden Computers unterstützt. Das Ziehen des Stromkabels sollte als erste forensische Maßnahme der Vergangenheit angehören.
Weiterführende Themen
Computerbetrug | Schadsoftware (Malware) aufspüren
Szenario
-
Sie haben den Verdacht, dass jemand Ihre Systeme manipuliert?
-
Sie vermuten, jemand verwendet Ihren Computer zu illegalen Aktivitäten?
-
Ihr Provider hat Ihnen mitgeteilt, dass auf Ihrem Server eingebrochen wurde.
Ihre Vorteile
Wir untersuchen Ihre Computersysteme und sichern, analysieren und werten digitale Spuren aus.
Wir erklären Ihnen die Vorgänge
auf Ihren Systemen.
Informationen
Prinzipiell muss man zwischen „lebenden” und „toten” Systemen unterscheiden. Der Unterschied ist, dass lebende Systeme noch Beweise im Arbeitsspeicher, in der Prozessliste u.ä. haben können. Flüchtige Daten sind vorhanden. Tote Systeme sind ausgeschaltet. Der Inhalt vom Arbeitsspeicher ist mit einfachen Mitteln nicht mehr auslesbar.
In einer ersten Stufe wird ein lebendes System gründlich nach Schadsoftware untersucht. Mit speziellen Programmen werden eventuell vorhandene Rootkits sicher aufgedeckt (verdächtige Prozesse werden untersucht).
Werden nach der Untersuchung des lebenden Systems verdächtige Spuren entdeckt, ist eine Analyse der gesamten Festplatte angebracht.
Ist das System abgeschaltet, sprich „tot”, wird von der Festplatte eine 1:1-Kopie (Image) gezogen. Auf einer Kopie der Kopie werden die Untersuchungen durchgeführt. Als weitere Maßnahme kann das Image in einer geschützten Umgebung „virtualisiert” gestartet und so live untersucht werden.
Besteht der Verdacht, dass das System infiziert wurde, gilt es, möglichst wenige Spuren zu verwischen.
Bei Windows werden z. B. beim Herunterfahren oder Neustarten tausende Dateien geschrieben. Damit wird es immer schwieriger, digitale Spuren zu sichern. Nach dem Verdacht ist es am besten, das Computersystem nicht mehr anzufassen und schnell eine fachkundige Person (Incident Handler oder Forensiker) zu Rate zu ziehen. Der Rechner soll in dem Zustand gelassen werden, in dem er sich zu dem Verdachtsmoment befand. Die einzige vertretbare und empfohlene Aktion ist das Ziehen des Netzwerksteckers (das ist der kleine Stecker, der den Rechner mit dem Netzwerk/Internet verbindet). Damit ist das System isoliert und kann keinen Schaden mehr anrichten.
Dateien, Festplatte sicher löschen
Szenario
-
Sie wollen Ihre Festplatte oder Ihren Datenträger sicher löschen, sodass auch einzelne Bereiche nicht wiederhergestellt werden können?
-
Ihre Datenträger sollen auch am Ende der Lebenszeit unwiderruflich unbenutzbar gemacht werden?
Ihre Vorteile
Wir sorgen dafür, dass Ihre vertraulichen Informationen auch vertraulich bleiben. Wir löschen ihre Festplatte, Ihren Datenträger unwiderruflich.
Informationen
Es besteht die Möglichkeit, dass die Festplatte defekte Blöcke auf noch freie Bereiche umkopiert. Auf diese defekten Blöcke kann man normalerweise nicht mehr zugreifen. Befand sich eine solche Datei auf einem Bereich, der als defekt markiert wird, ist es unter Umständen möglich, dass Teile der Datei wiederhergestellt werden können. Dagegen hilft, das ganze physikalische Medium (und nicht nur die Dateien in der Dateistruktur) mit Nullen oder zufälligen Mustern zu überschreiben.
Rufen Sie uns an! Wir beraten Sie gerne.
Penetrationstest
Zum Thema Penetrationstest bieten wir gesonderte, detailliertere Informationen auf unserer dedizierten Seite:
IT-Penetrationstest.
Firmenkunden
Kontakt
Kurzanfrage:
Ihre Nachricht wurde erfolgreich gesendet.
Wir werden uns in Kürze bei Ihnen melden.
(Unsere Bürozeiten sind Mo - Do von 08:30 - 18:00 und Fr von 08:30 - 16:00)
Haben Sie eine Frage? Kontaktieren Sie uns jetzt!
Hartlauer Zentrallabor:
Kostenlose Hotline:
