IT-Forensik: Digitale Spurensuche zur Beweissicherung!

Professionelle IT-Forensik bei Datenrettung Austria: Effektive Analyse und Sicherung digitaler Beweise durch unsere SANS-zertifizierten Spezialisten

Allgemein beeidete und gerichtlich zertifizierte Sachverständige für Forensische Datensicherung, Datenrekonstruktion, Datenauswertung garantieren beste Ergebnisse durch SANS-Zertifizierung (www.sans.org)

Wann kommen diese Spezialisten zum Einsatz?

  • Sie vermuten unbefugte Zugriffe auf Ihre Computersysteme?

  • Sie hegen den Verdacht, dass einen sicherheitsrelevanten Vorfall in ihrem Computersystem geben könnt?

  • Sie brauchen beweiskräftige Nachweis für mögliche Datenmanipulation und deren Spuren?

  • Sie legen Werte darauf, dass diese Beweise vor Gericht standhalten?

  • Sie benötigen eine Analyse / Privatgutachten für einen Prozess vor Gericht?

Dipl. Ing. Christian Perst - Gutachter & Gerichtssachverständiger
Dipl. Ing. Christian Perst
Gutachter & Gerichtssachverständiger

Nutzen Sie unser Angebot zur Datenforensik, um sämtliche Computersicherheits-Szenarien – intern und extern – effektiv zu bewältigen. Lassen Sie uns Ihnen helfen, die Kontrolle zurückzugewinnen. Mit Datenrettung Austria sind Sie auf der sicheren Seite!

5 Schritte zu erstklassigen und beweiskräftigen Ergebnissen

Wir Beweise im Arbeitsspeicher

Phase 1

Durch die Unterscheidung zwischen „lebenden” und „toten” Systemen werden die Methoden ausgewählt, die die besten Ergebnisse liefern. Ein „lebendes” Computersystem „läuft” und hat Beweise im Arbeitsspeicher. Diese können gesichert werden. Wird das System ausgeschaltet, ist es „tot”, und die flüchtigen Beweise gehen verloren


Wir sichern als erstes die Daten Ihres Systeme

Phase 2

Für die adäquate Vorgehensweise wird die Datensicherung der Systeme (Festplatten, Arbeitsspeicher) durchgeführt.


Je nach Sicherheitsvorfall kommen unterschiedliche Analysemethoden zum Einsatz

Phase 3

Je nach Sicherheitsvorfall kommen unterschiedliche Analysemethoden zum Einsatz. Fast immer wird eine Zeitleiste der letzten Dateizugriffe erstellt. Diese liefert ein gutes Bild der Aktivitäten am Computer. Eine Malware-Recherche und eine Analyse der Registry bei Windows sind häufig notwendig.


Wurden Informationen gelöscht, gilt es im Speichersystem auf die Spurensuche zu gehen

Phase 4

Wurden Informationen gelöscht, gilt es im Speichersystem auf die Spurensuche zu gehen. Dabei werden Daten auf Byteebene analysiert. Fundorte werden ausgewertet und in Beziehung zur Fragestellung gesetzt. Oft ist es so möglich, auch noch bruchstückhafte Spuren zu sichern.


In dem Analysebericht werden die Ergebnisse erörtert

Phase 5

In dem Analysebericht werden die Ergebnisse erörtert und Hinweise für bzw. gegen den Sicherheitsvorfall begründet.


Datenrettung Austria - Professionell und sicher


No-Risk-
Garantie

Garantierte
Zufriedenheit:
Keine Daten - keine Kosten


Festpreis- und Bestpreis

Garantieren den besten Preis, ohne versteckte Kosten


Kundenorientierte Analyse-Varianten

Von der kostenlosen Economy-Analyse bis zur Lösung von Spezialfällen

🌐


Datensicherheit groß geschrieben

Höchste Sicherheit und Diskretion für Ihre Daten


Viele
gute Gründe

sprechen für uns Partner für Datenrettungslösungen


Die Computerforensik ist aus keinem IT-Sicherheitskonzept mehr wegzudenken

📢Die Computersysteme von Unternehmen weltweit werden rund um die Uhr angegriffen – wenn der Angriff erfolgreich ist, beginnt die Suche nach dem Täter.

Ein wichtiger Bestandteil der Datenforensik ist die Wiederherstellung verlorener Daten. Auch während eines Angriffs böswillig gelöschte Daten sind oft zur Gänze wiederherzustellen. Wir bieten Ihnen rasche, professionelle Hilfe und natürlich absolute Diskretion.


In dem Analysebericht werden die Ergebnisse erörtert

VOM US-SICHERHEITSINSTITUT SANS ZERTIFIZIERTE EXPERTEN...
...belegen, dass wir das Know-how haben, um die IT-Penetrationstests sicher und erfolgreich abzuwickeln.


WIR ERBRINGEN SPITZENLEISTUNGEN FÜR UNSERE KUNDEN UND PARTNER...
...das ist nicht nur unsere Einstellung, sondern der Anspruch den Kunden und Partner an uns haben und den wir in vollem Umfang erfüllen. Wirklich gut werden wir, indem wir immer weiter lernen und unsere Erfahrungen in einen stetigen Verbesserungskreislauf einfließen lassen.


EHRLICHKEIT, QUALITÄT UND ZUVERLÄSSIGKEIT...
...sind klare Werte, nach denen wir uns richten. Wir sind der Überzeugung, dass ein Wort von uns, soviel Aussagekraft hat, wie eine schriftliche Vereinbarung.


HÖCHSTE DISKRETION...
...ist für uns selbstverständlich. Wir betreuen Unternehmen aus allen Bereichen der Industrie und Produktion, im Bereich der Dienstleistung, Versicherungen, Medienbranche, Flughafenverwaltungen uvm. Darauf können Sie sich verlassen.


10% RABATT FÜR NGOS...
...Sie schätzen Menschen und Unternehmen mit sozialer Verantwortung. Da geht es Ihnen wie uns. Das ist uns wichtig und daher bieten wir NGOs diesen Rabatt auf unsere Dienstleistungen an. Fragen Sie bei uns nach dem NGO-Rabatt.


Fallbeispiele aus der Praxis von Datenrettung Austria

  • Unbefugter Netzwerkzugriff
    Ein Unternehmen bemerkt verdächtige Aktivitäten im internen Netzwerk. Die IT-Forensik-Spezialisten von Datenrettung Austria den beauftragt, um festzustellen, ob es zu einem unbefugten Zugriff gekommen ist. Durch die Analyse von Netzwerkprotokollen und die Untersuchung des Arbeitsspeichers auf flüchtige Beweise können die Experten den Zeitpunkt und die Art des Zugriffs sowie die Quelle identifizieren.

  • Datenmanipulation in der Buchhaltung
    Ein Verdacht auf Manipulation der Finanzdaten wird in einem mittelständischen Unternehmen laut. Datenrettung Austria wird gerufen, um die Integrität der Buchhaltungssoftware und der gespeicherten Daten zu überprüfen. Die Forensiker erstellen eine Zeitleiste der Datei- und Datenbankzugriffe und analysieren die Registry-Einträge, um verdächtige Änderungen zu identifizieren.

  • Wiederherstellung gelöschter Daten
    Nach einem Angriff auf ein Unternehmensnetzwerk wurden kritische Daten gelöscht. Datenrettung Austria wird mit der Wiederherstellung dieser Daten beauftragt. Die Experten durchsuchen die Datenträger auf Byte-Ebene nach Resten der gelöschten Daten und setzen diese zu rekonstruierbaren Informationen zusammen.

  • Untersuchung von Malware-Angriffen
    Ein Unternehmen wird von einer Malware-Attacke getroffen, die Daten verschlüsselt und zur Zahlung von Lösegeld auffordert. Die IT-Forensik-Spezialisten von Datenrettung Austria analysieren das infizierte System, um die Malware zu identifizieren, ihren Verbreitungsweg nachzuvollziehen und Empfehlungen zur Behebung und zukünftigen Vermeidung zu geben.

  • Beweissicherung für Rechtsstreit
    Ein Mitarbeiter wird verdächtigt, vertrauliche Informationen gestohlen zu haben. Datenrettung Austria wird beauftragt, digitale Beweise zu sichern, die vor Gericht verwendet werden können. Die Forensiker analysieren Computer und mobile Geräte des Mitarbeiters, erstellen Berichte über die Nutzung und sichern relevante Beweise, die die Vorwürfe stützen oder entkräften können.


Expertentipp vom Geschäftsführer

Die digitale Forensik ist heute unverzichtbar für die Sicherstellung von Beweismitteln in Sicherheitsvorfällen. Bei Datenrettung Austria empfehlen wir, regelmäßige Sicherheitsüberprüfungen und -analysen durchzuführen, um potenzielle Schwachstellen frühzeitig zu identifizieren. Eine systematische Erstellung von Zeitlinien der Dateizugriffe und eine gründliche Malware-Analyse sind essenzielle Schritte, um die Integrität Ihrer Daten zu gewährleisten. Vertrauen Sie auf zertifizierte Experten, um Ihre Systeme zu schützen und im Ernstfall schnell und effektiv zu reagieren.


Fragen und Antworten


Welche Schritte kann ich als Laie bei einem vermuteten fremden, unerlaubten Computerzugriff einleiten??

Oft hört man, dass ein Neuformatieren des befallenen Computersystems die Probleme löst. Dies ist jedoch nur dann zielführend, wenn man weiß, warum ein Cyber-Einbruch stattfand. Wird ein infiziertes System sogleich neu installiert, kommt es häufig vor, dass der gleiche Angreifer das Computersystem neuerlich übernimmt.

Daher sind möglichst folgende Fragen zu beantworten, um die Ursache einer erneuten Infektion auszuschließen:

  • Was ist passiert?
  • Wie ist das passiert?
  • Wodurch war dies möglich?
  • Wer war es?

Der wichtigste Schritt ist die frühzeitige Hinzuziehung eines forensischen Experten. Eigene fehlerhafte Nachforschungen vernichten oft wichtige Spuren und richten zusätzlichen Schaden am System an. Damit gehen wichtige Spuren für die Analyse verloren. Ist kein Datenforensik-Experte vor Ort verfügbar, sollte der Computer so belassen werden. Ist er eingeschaltet, sollte er auch eingeschaltet bleiben. Es ist dafür zu sorgen, dass niemand mehr mit diesem Gerät arbeitet, bis eine forensische Untersuchung gestartet wird.

Hängt der Computer in einem Unternehmensnetzwerk, sollten die infizierten Computer in ein abgeschottetes virtuelles LAN (VLAN) aufgenommen werden, in dem sich nur verdächtige Geräte befinden. Dieses Netzwerk sollte vom Internet und dem Unternehmensnetzwerk getrennt sein. Wenn dazu keine Möglichkeit besteht und das Netzwerkkabel (z.B. Ethernet) zweifelsfrei identifiziert werden kann, gilt es, den Computer vom Netzwerk zu trennen und sofort an einen aktiven isolierten Switch oder Hub anzuschließen.

Ein Foto vom Arbeitsplatz sowie von der Vorder- und Rückseite des verdächtigen Systems runden die Vorarbeiten ab. Befindet sich das Computersystem bereits in einem ausgeschalteten Zustand, sollte es nicht wieder eingeschaltet werden. Das Gerät ist einer forensischen Analyse zuzuführen.


Wie werden digitale Spuren gefunden und analysiert?

Im ersten Schritt muss zwischen „lebenden” und „toten” Computersystemen unterschieden werden (s.u.). Arbeitet das Computersystem, wird zuerst eine forensische Analyse des Arbeitsspeichers durchgeführt (wie Inhalt von Cache, Status der Netzverbindungen, laufende Prozesse, angemeldete Benutzer usw.).

Danach wird eine forensische Kopie der fragilen Daten, insbesondere des Festplattenspeichers, genommen. Dabei ist darauf zu achten, dass diese Prozesse gut dokumentiert, wiederholbar und reproduzierbar sind. Für Verfahren und Verhandlungen bei Gericht ist dies besonders wichtig.

Aus der Analyse des Arbeitsspeichers lassen sich bereits wertvolle Hinweise ableiten. Liegt das Speicherabbild des Festplattenspeichers vor, wird die Zeitleiste (engl. timeline) gebildet und Informationen und Hinweisen auf eine Verseuchung/Zugriff wird nachgegangen.

Die Zeitleiste stellt den letzten Zugriff lesender und schreibender Art wie die Änderung der Metadaten (Dateirechte, Zugriffszeiten, Zeiger auf Datenblöcke) dar.

Jede Datei hat - je nach Betriebssystem - einige Zeitstempel, in der - je nach Aktion - ein Zeitpunkt gespeichert wird. Üblicherweise handelt es sich um drei oder vier Zeiten:

  • lesender Zugriff
  • schreibender Zugriff
  • Änderung der Metadaten
  • Erstellungsdatum der Datei

Über die Zeitleiste ist eine chronologische Abfolge der Aktionen auf dem System möglich. Manchmal ist es notwendig, den gesamten Speicher inkl. der freien Datenblöcke zu durchsuchen. Oft lassen sich so auch Hinweise zur Verseuchung/Zugriff/vermuteten Aktion finden. Spezielle Analysen betriebssystemspezifischer Eigenheiten (wie z.B. bei Windows: Bereiche in der Registry, Prefetch-Mechanismus, letzte Dateiaufrufe, gestartete Programme uvm.) werfen ein klärendes Licht auf die vermuteten Aktivitäten.


Wie hoch ist der Aufwand für eine forensische Analyse?

Jeder IT-Sicherheitsvorfall ist individuell und unterscheidet sich von anderen Vorfällen. Um eine seriöse Abschätzung geben zu können, benötigen wir eine detaillierte Beschreibung des vermuteten Vorfalls und die zu untersuchenden Systeme. Gerne senden wir Ihnen dann nähere Informationen zu.


Weshalb ist heutzutage bei einem verseuchten System das Ziehen des Stromkabels nicht mehr die beste Vorgangsweise?

Auf eingeschalteten Systemen befinden sich viele Hinweise und Spuren im Arbeitsspeicher. Jeder Prozess der ausgeführt wird, existiert als Kopie im Arbeitsspeicher und hat dort seine Verknüpfungen, wie offene Dateien, DLLs, Handles u.a. Somit sind wertvolle Informationen im Arbeitsspeicher vorhanden, die beim Ziehen des Stromkabels verloren gehen. Die traditionelle Datenforensik/Datenforensik arbeitet fast ausschließlich mit stromlosen Systemen, an denen die Analysen durchgeführt wurde.


Seit wann gibt es die IT-forensische-Analyse des Arbeitsspeichers/Speicherabbildes?

Der Begriffe „lebende” Systeme wird in der Datenforensik für Computersysteme verwendet, die arbeiten, also eingeschaltet sind und Daten im Arbeitsspeicher haben. „Tote” Systeme sind Computer, die stromlos, also ausgeschaltet sind.

In der forensischen Datensicherung ergibt sich die Reihenfolge der Sicherung der Medien nach der Flüchtigkeit der Daten. Da der Arbeitsspeicher einer sehr schnellen Änderung unterworfen ist, sollte er möglichst rasch gesichert werden. Danach folgen Datenspeicher im Betrieb und danach Datenspeicher, die offline und gesondert aufbewahrt werden.

State-of-the-Art der modernen Datenforensik ist, Spuren in lebenden Systemen auszuwerten. So sind z.B. zwei der bekanntesten Vertreter von Schadsoftware der letzten Jahre über die Forensik des Arbeitsspeichers leicht zu identifizieren. Stuxnet hatte im September 2010 die iranischen Urananreicherungszentrifugen torpediert und beim Conficker-Wurm handelte es sich um eine sehr populäre Malware, die 2008 bis 2010 in verschiedensten Varianten für die Infizierung von ca. 6 Mio. Geräten verantwortlich war.”

Schritt 1 zu meinen Daten!


Analyse beantragen

Beratung Vorort:   +43 5523 2161650



Offenlegung

IT-Forensik vom Experten: Datenrettung Austria Datensicherung und Beweissicherung
Professionelle IT-Forensik bei Datenrettung Austria ⇒ sichern und analysieren Sie digitale Beweise effektiv. Unsere SANS-zertifizierten Spezialisten bieten höchste Diskretion und rasche Hilfe bei Sicherheitsvorfällen
Kategorie: Wissen

Veröffentlicht am:

Hochwasserhilfe:
Wir sind für Sie da und helfen, wenn Ihre Daten durch das Hochwasser gelitten haben.
Rufen Sie unsere kostenlose Hotline: 0800 400 410 .
Weitere Informationen