IT-Forensik gegen Cyberkriminalität

Dabei kann es um eine Analyse von Angriffen aus dem Internet ebenso gehen wie um die Informationssicherung durch Behörden. Die Rekonstruktion von Dateien und Informationen ist ein wesentlicher Teil der Arbeit. Zukünftige Spezialisten aus sechs Nationen haben in diesem Monat an einem Erasmus-Intensivprogramm zum Thema IT-Forensik teilgenommen.

“Wenn ein Angriff passiert ist, wird eine Analyse notwendig”, beschreibt Haag eine der Kernaufgaben der IT-Forensik. Dabei müssten auf einem System etwaige Nachwirkungen wie geöffnete Backdoors oder installierte Malware aufgespürt werden. Eine entscheidende Frage sei ferner: “Wie ist ein Angreifer in ein System eingedrungen?” Die Sicherheitslücken, die bei einer Attacke genutzt wurden, müssten ermittelt werden. Gerade in Zeiten, in denen Cybercrime immer größere Ausmaße annehme, sei es entscheidend, Systeme gegen eine erneute Nutzung bekannter Angriffsvektoren abzusichern. “Daher wird die IT-Forensik immer wichtiger”, meint Haag.

Ob nach Angriffen oder bei der Suche nach belastendem Material auf behördlich sichergestellten Computersystemen – Datenwiederherstellung ist ein wichtiger Aspekt der Spurensicherung. “Eine Datei zu löschen heißt nicht, dass sie wirklich weg ist”, betont Haag. Was für die Spurensicherung gut ist, macht in der Wirtschaft bisweilen Probleme. Dort sei es häufig wichtig, Daten unwiederbringlich zu vernichten. Dabei könne davon ausgegangen werden, dass nur Dateien, die ein IT-Forensiker nicht mehr aufspüren kann, auch wirklich sicher gelöscht wurden. Auch der Inhalt des Arbeitsspeichers ist bei der Spurensuche wichtig. “Es gibt teils Lücken in Betriebssystemen, die für die forensische Analyse genutzt werden können”, meint Haag in diesem Zusammenhang. Konkret würden in einem Fall beim Schreiben auf Festplatten Blöcke mit Informationen aus dem Arbeitsspeicher aufgefüllt. Diese könnten daher auch Tage später noch rekonstruierbar sein.

Die Aufgabe des IT-Forensikers gestaltet sich besonders anspruchsvoll, wenn eine Analyse auch für ein juristisches Verfahren verwertbar sein soll. “Es ist ein wesentlicher Aspekt, Daten so zu sichern, dass sie vor Gericht anerkannt werden”, betont Haag. Konkret würden in der Praxis Prüfsummen verwendet, damit nachgewiesen werden kann, dass sichergestellte Daten nicht verändert wurden. Nur so kann Beweismaterial aus der forensischen Analyse auch in Prozessen verwertet werden. “Angriffe können von überall her erfolgen und machen nicht vor Grenzen halt”, hält Haag fest. Daher sei eine frühzeitige internationale Vernetzung für Experten im Bereich der IT-Security und IT-Forensik von besonders großer Bedeutung, um in der Praxis rechtzeitig reagieren zu können.

Silicon-Redaktion

Recent Posts

Keine Angst vor Phishing

Bereits seit einigen Jahren führt die RGF Staffing Germany Schulungen durch, um die eigenen Mitarbeiter…

1 Stunde ago

Blick ins Innenleben industrieller KI

Das Europäische Forschungsprojekt XMANAI hat den Blick in die KI geöffnet und macht ihre Entscheidungsprozesse…

1 Stunde ago

Wie Hacker Large Language Models für ihre Zwecke nutzen

Hacker nutzen LLM weniger als visionäre Alleskönner-Technologien, sondern als effiziente Werkzeuge zum Verbessern von Standardangriffen,…

2 Stunden ago

Software AG entwickelt KI-gestütztes Process-Mining-Tool

Der "ARIS AI Companion" soll alle Mitarbeitenden darin befähigen, Prozesse zu analysieren und Ineffizienzen aufzudecken.

4 Stunden ago

EM 2024: Fußballfest für Cyberangriffe

Kurz vor der Fußball-Europameisterschaft in Deutschland nehmen die Cyberbedrohungen für Sportfans zu, warnt Marco Eggerling…

2 Tagen ago

CRM: Die Qual der Wahl

Software für das Customer Relationship Management muss passgenau ausgewählt und im Praxistest an das einzelne…

2 Tagen ago