Die vorliegende Arbeit beschreibt den Ablauf von computerforensischen Ermittlungen im Zuge von Computerstraftaten. Sie zeigt auf, welche Motivation die Täter treibt und welche Verfahren und Maßnahmen zur Abwehr eingesetzt werden können. Des Weiteren wird erläutert, mit welchen Werkzeugen die Angreifer arbeiten und welche möglichen Auswirkungen diese auf das betroffene System haben können. Im weiteren Verlauf wird beschrieben, welche Hindernisse eine Ermittlung birgt und wie mit diesen umzugehen ist, welche Möglichkeiten und Arten von Tools dem forensischen Team zur Arbeit zur Verfügung stehen und wofür diese eingesetzt werden können. Ein wesentlicher Punkt ist der Umgang mit dem Beweismaterial, sowie das Auffinden und die Sicherung von relevanten Daten und deren Auswertung. Auch wird das Wiederherstellen von gelöschten Daten durchleuchtet. Ein weiterer Teil der Arbeit befasst sich mit dem Aufdecken von schwer zugänglichen oder versteckten Dateien und Spuren des Angreifers um dort wichtige Informationen herausfiltern zu können. Es wird beschrieben, wo sich diese befinden und welchen Nutzen sie für eine Ermittlung haben.
Inhaltsverzeichnis
1. Einleitung
2. Angriffsverlauf
2.1 Angriffsarten
2.1.1 Malware
2.1.2 Spoofing
2.1.3 Denial of Service
2.1.4 Man-in-the-Middle
2.1.5 Cross-Site Scripting
3. Incident Response
3.1 Intrusion Detection-Systeme
3.2 Intrusion Prevention-Systeme
3.3 Penetrationstests
3.4 Eindämmung des Vorfalls
4. Computer-Forensik
4.1 Ermittlungsziele
4.2 Ermittlungsschritte
4.3 Sichern, Analysieren, Präsentieren
4.4 Sicherstellen der betroffenen Hardware
4.5 Erkenntnisse sammeln
4.6 Fehlerquellen
4.7 Datensicherung
4.7.1 Sicherung flüchtiger Daten
4.7.2 Forensisches Duplikat
4.8 Strukturierung des Materials
4.9 Anti-Forensik
5. Post-mortem-Analyse
5.1 File Slack
5.2 MAC-Time
5.3 Alternate Data Stream
5.4 Auslagerungsdateien
5.5 Versteckte Dateien
5.6 Systemprotokolle
5.7 Netzwerkanalyse
6. Gelöschte Daten
6.1 Speichern von Daten
6.2 Daten löschen
6.3 Daten wiederherstellen
7. Fazit und Ausblick
Zielsetzung & Themen
Die Arbeit befasst sich mit dem Ablauf computerforensischer Ermittlungen bei Computerstraftaten, von der methodischen Beweissicherung über die Analyse bis hin zur Datenwiederherstellung und Dokumentation, um fundierte Ermittlungsergebnisse für juristische Zwecke zu erzielen.
- Grundlagen und Verlauf von Computerangriffen
- Prozesse der Incident Response und Forensik
- Sicherung flüchtiger und persistenter Beweismittel
- Methoden der Post-Mortem-Analyse und Datenwiederherstellung
- Strategien der Angreifer (Anti-Forensik) und deren Gegenmaßnahmen
Auszug aus dem Buch
2.1.1 Malware
Malware steht für „malicious Software“ und bezeichnet die Gesamtheit aller unerwünschten Programme, welche schädlich sind und sich meist selbst verbreiten. Je nach Dateiformat wird Malware in die Kategorien Trojanische Pferde, Viren und Würmer unterteilt [vgl. Kleimann 2004a]. Verbreitet werden diese Programme mittels E-Mail, Instant Messenger und über Webseiten die Programme mit schädlichem Inhalt zum Download bereitstellen (die kann auch unwissentlich geschehen).
Viren sind schadhafte Programme, die andere Programme im System befallen können. Ein Virus nistet sich in die Befehlskette eines Anwendungsprogramms ein und wird beim Starten des ursprünglichen Programms ausgeführt. Er läuft entweder gleichzeitig im Hintergrund oder ersetzt das ganze Programm. Verbreitet werden sie durch Weitergabe der befallenen Dateien z. B. über Peer-to-Peer Verbindungen. Da der Befall nicht immer sichtbar ist, erfolgt die Weitergabe nicht unbedingt bewusst bzw. vorsätzlich. Die Auswirkungen, die ein Virus auf das System haben kann, sind vielfältig. Es können Dateien verändert oder gelöscht werden, erhöhte Belegung der Speicher- und Festplattenkapazität durch die Aktivitäten des Virenprogramms können auftreten und die Manipulation der Registry von Windowssystemen ist möglich [vgl. Kleimann 2004b].
Würmer kopieren und verbreiten sich, sofern sie erst einmal gestartet wurden, selbständig. Sie nisten sich jedoch nicht wie Viren in andere Programme ein. Würmer verbreiten sich z. B. mittels Versenden befallener E-Mails selbständig innerhalb eines Netzwerkes oder dem Internet von Rechner zu Rechner [vgl. Kleimann 2004b]. Dazu versenden sie sich selbst an Kontakte des Adressbuches eines Mailprogramms. Führt der Empfänger die angehängte Datei aus (z. B. aus Unwissenheit) so wird der Wurm von neuem aktiviert. Würmer können allein durch das selbständige Verbreiten hohe Schäden anrichten. So kann ein Mailserver oder Router der zusätzlichen Last der Mailflut eines Wurms mitunter nicht gewachsen sein. Auch auf den befallenen Rechnern verbrauchen Würmer Systemressourcen und schwächen so die Leistung des Systems.
Zusammenfassung der Kapitel
1. Einleitung: Das Kapitel führt in das Themenfeld der Computer-Forensik ein und definiert Begriffe wie Bedrohung sowie die Motivationen von Angreifern.
2. Angriffsverlauf: Hier werden die typischen Phasen eines IT-Angriffs sowie spezifische Angriffsarten wie Malware, Spoofing, Denial of Service, Man-in-the-Middle und Cross-Site Scripting erläutert.
3. Incident Response: Dieses Kapitel behandelt die strukturierte Reaktion auf Sicherheitsvorfälle, inklusive Intrusion Detection- und Prevention-Systemen sowie die Rolle von Penetrationstests.
4. Computer-Forensik: Es werden die Ziele, der methodische Ablauf, die Sicherung der Hardware sowie der Umgang mit Beweismitteln und Fehlern bei forensischen Ermittlungen detailliert beschrieben.
5. Post-mortem-Analyse: Dieser Abschnitt erläutert die Untersuchung forensischer Duplikate, unter anderem durch die Analyse von File Slacks, MAC-Times, Alternate Data Streams und versteckten Dateien.
6. Gelöschte Daten: Das Kapitel befasst sich mit der Speichertechnik von Daten und zeigt Methoden auf, wie gelöschte Informationen identifiziert und wiederhergestellt werden können.
7. Fazit und Ausblick: Eine Zusammenfassung der aktuellen Lage in der Computer-Forensik und ein Ausblick auf die steigende Bedeutung von IT-Sicherheit und forensischem Know-how.
Schlüsselwörter
Computer-Forensik, IT-Sicherheit, Beweissicherung, Incident Response, Malware, Spoofing, Denial of Service, Post-Mortem-Analyse, Datenwiederherstellung, File Slack, MAC-Time, Alternate Data Stream, Anti-Forensik, Penetrationstests, Datensicherheit.
Häufig gestellte Fragen
Worum geht es in dieser Arbeit grundsätzlich?
Die Bachelorarbeit bietet eine grundlegende Einführung in die Computer-Forensik und beschreibt, wie Ermittler nach Computerstraftaten vorgehen, um Spuren zu sichern, Angreifer zu identifizieren und den Schaden zu begrenzen.
Was sind die zentralen Themenfelder der Arbeit?
Zentrale Themen sind die Analyse von Angriffsverläufen, die Reaktion auf Sicherheitsvorfälle (Incident Response), Methoden zur Beweissicherung und die Untersuchung von IT-Systemen auf digitale Spuren oder gelöschte Daten.
Was ist das primäre Ziel oder die Forschungsfrage der Arbeit?
Das Ziel ist es, den methodischen Ablauf forensischer Ermittlungen aufzuzeigen, um sicherzustellen, dass digitale Beweise professionell, lückenlos und vor Gericht verwertbar gesichert und analysiert werden können.
Welche wissenschaftlichen Methoden werden verwendet?
Die Arbeit basiert auf einer Literaturanalyse und der Zusammenstellung technischer Standards zur forensischen Datensicherung, Live-Analyse und Auswertung von Systemstrukturen wie Dateisystemen.
Was wird im Hauptteil der Arbeit detailliert behandelt?
Der Hauptteil erörtert das Vorgehen bei Systemeinbrüchen, die Funktionsweise verschiedener Angriffsarten, das S-A-P-Modell der Forensik sowie spezifische Techniken zur Analyse von Dateisystemen, versteckten Dateien und gelöschten Inhalten.
Welche Schlüsselwörter charakterisieren die Arbeit?
Zu den wichtigsten Begriffen zählen Computer-Forensik, Beweissicherung, Malware, Incident Response, Post-Mortem-Analyse, Datenwiederherstellung und Anti-Forensik.
Wie unterscheidet die Arbeit zwischen verschiedenen Datensicherungstypen?
Es wird zwischen flüchtigen Daten (wie RAM-Inhalten, die beim Ausschalten verloren gehen) und persistenten Daten (auf Festplatten gespeicherte Informationen) differenziert, wobei für beide unterschiedliche Forensik-Tools erforderlich sind.
Warum ist das "S-A-P-Modell" für Forensiker wichtig?
Das S-A-P-Modell (Sichern, Analysieren, Präsentieren) dient als struktureller Leitfaden, um eine professionelle und nachvollziehbare Ermittlungsphase zu gewährleisten, die auch juristischen Ansprüchen genügt.
Was besagt die Arbeit über das Löschen von Daten?
Die Arbeit verdeutlicht, dass ein einfacher Löschbefehl Daten nicht physisch entfernt, sondern nur den Speicherplatz als frei markiert, weshalb forensische Tools diese Daten oft rekonstruieren können.
- Quote paper
- Philine Brinkmann (Author), 2008, Einführung in die Computer-Forensik, Munich, GRIN Verlag, https://www.grin.com/document/192597
