Inhalt
Die Digitale Forensik, auch IT-Forensik oder Computerforensik genannt, befasst sich mit der Sicherung von Spuren auf Computersystemen, die durch einen Angreifer unberechtigt mittelbar oder unmittelbar verändert wurden. Ziel der forensischen Untersuchung ist es hiermit den Einbruchsweg und weitere Handlungen des Angreifers sowie idealerweise dessen Herkunft und Identität zu ermitteln.
Die Sammlung der Daten erfolgt dabei nach dem Grad der Flüchtigkeit ("order of volatility"). Zunächst werden am noch laufenden System z.B. aktive Prozesse und Speicherinhalte gesichert; nachfolgend werden Abbilder der Speichermedien und davon Arbeitskopien erstellt. Die Analyse erfolgt, nachdem deren bitweise Übereinstimmung mit den Originalen durch kryptografische Hashfunktionen gesichert wurde. Die erforderlichen Schritte werden im Detail vorgestellt und an praktischen Beispielen geübt; es werden zu allen behandelten Themen Arbeitsanleitungen (sogenannte "cheat sheets") ausgegeben.
In diesem Tutorium erwerben Sie nicht allein die Fähigkeit Daten von kompromittierten Systemen zu sichern und zu analysieren, besonderes Augenmerk legen wir auf die Etablierung von Prozessen die eine gelungene Dokumentation und Präsentation der Erkenntnisse gewährleisten. Beweiswürdigung und Gerichtsverwertbarkeit sind hierbei wichtige Themen.