Lektion 5, Thema 1
In Progress

Datenrettung und Forensik

Lektion Progress
0% Complete

Die IT-Forensik war ursprünglich eine Spezialwissenschaft von Ermittlungsbehörden. Sie umfasst

  • Kriminaltechnische Analysen
  • Umgang mit IT-Systemen bei IT-Ausfällen (Hardware- und Softwareversagen), Cyber-Risiken und Fehlbedienungen durch den Nutzer

und ist insbesondere im Falle drohender oder erlittener Datenverluste relevant.

Definiert wird der Begriff wie folgt:

„IT-Forensik ist die streng methodisch vorgenommene Datenanalyse auf Datenträgern und in Computernetzen zur Aufklärung von Vorfällen unter Einbeziehung der Möglichkeiten der strategischen Vorbereitung insbesondere aus der Sicht des Anlagenbetreibers eines IT-Systems.“

Eine der Hauptaufgaben der IT-Forensik ist es zu erkennen, ob ein Vorfall vorliegt (zum Beispiel ein Hackerangriff). Bei Vorliegen eines Vorfalls muss dieser identifiziert werden. Durch eine rasche Identifizierung und Bestätigung eines Vorfalls können Maßnahme zur Schadensbegrenzung eingeleitet werden. Je schneller reagiert wird, umso besser stehen die Chancen den Schaden gering zu halten. Innerhalb des Unternehmens muss identifiziert werden, welche Bereiche betroffen sind. Nur durch eine genaue Schadensanalyse kann die Auswirkung eines Vorfalls eingeschätzt werden.

Weitere Aufgaben der IT-Forensik ist die Wiederherstellung der IT-Systeme und der IT-Infrastruktur und die Aufklärung des Schadenshergangs.

Unterteilen lässt sich die IT-Forensik in Post-mortem-Analyse und Live-Forensik.

Bei der Post-mortem-Analyse die auch Offline-Forensik genannt wird, werden Vorkommnisse nachträglich aufgeklärt. Die Aufklärung erfolgt, indem die Datenträgerabbilder (Images) auf nichtflüchtige Spuren von Vorfällen untersucht werden. Im Vordergrund stehen Untersuchung und Gewinnung von umbenannten, verschlüsselten, gelöschten und versteckten Daten von Massenspeichern.

Die Live-Forensik, auch Online-Forensik genannt, untersucht während der Laufzeit den Vorfall. Es wird versucht, flüchtige Daten zu gewinnen und zu untersuchen. Die Daten enthalten Informationen über bestehende Netzwerkverbindungen, den Hauptspeicherinhalt und gestartete Prozesse.

Durch professionelle Datenrettung können Daten von defekten Datenträgern wieder hergestellt werden, um einen endgültigen Verlust zu verhindern. Jedoch können auch, wie wir bereits kennengelernt haben, unbefugte Dritte mit der Hilfe der Datenrettung Daten wiederherstellen. 

Unterschieden wird zwischen acht verschiedenen forensischen Datenarten:

  • Hardwaredaten
  • Details über Daten
  • Prozessdaten
  • Sitzungsdaten
  • Rohdateninhalte
  • Anwenderdaten
  • Konfigurationsdaten
  • Anwenderdaten

Es werden verschiedene Anforderungen an die Vorsorge für die IT-Forensik gestellt. Der In-formationssicherheitsbeauftrage (ISB) ist dafür zuständig, dass die Anforderungen erfüllt werden. Basis-Anforderungen, die erfüllt werden müssen, sind:

  • Bei der Erfassung und Auswertung von Daten für die forensische Untersuchung müssen alle Rahmenbedingungen, rechtlicher und regulatorischer Art eingehalten werden. Es darf auch nicht zu einem Verstoß gegen firmeninterne Regelungen und Mitarbeitervereinbarungen kommen. Einbezogen werden muss deswegen der Datenschutzbeauftragte, der Betriebsrat und der Personalrat.
  • Ein Ratgeber, der regelt welche Erstmaßnahmen für den Fall eines IT-Sicherheitsvorfalls ergriffen werden müssen muss angefertigt werden. Mögliche Spuren sollen nicht zerstört werden, weshalb eine Handlungsregelung getroffen werden muss.
  • Besteht innerhalb eines Unternehmens kein eigenes Forensik-Team muss sich mit externen Forensik-Dienstleistern auseinandergesetzt werden. Eine Dokumentation über die in Frage kommenden Dienstleister ist erforderlich.