IT-Forensik gegen Cyberkriminalität

Dabei kann es um eine Analyse von Angriffen aus dem Internet ebenso gehen wie um die Informationssicherung durch Behörden. Die Rekonstruktion von Dateien und Informationen ist ein wesentlicher Teil der Arbeit. Zukünftige Spezialisten aus sechs Nationen haben in diesem Monat an einem Erasmus-Intensivprogramm zum Thema IT-Forensik teilgenommen.

“Wenn ein Angriff passiert ist, wird eine Analyse notwendig”, beschreibt Haag eine der Kernaufgaben der IT-Forensik. Dabei müssten auf einem System etwaige Nachwirkungen wie geöffnete Backdoors oder installierte Malware aufgespürt werden. Eine entscheidende Frage sei ferner: “Wie ist ein Angreifer in ein System eingedrungen?” Die Sicherheitslücken, die bei einer Attacke genutzt wurden, müssten ermittelt werden. Gerade in Zeiten, in denen Cybercrime immer größere Ausmaße annehme, sei es entscheidend, Systeme gegen eine erneute Nutzung bekannter Angriffsvektoren abzusichern. “Daher wird die IT-Forensik immer wichtiger”, meint Haag.

Ob nach Angriffen oder bei der Suche nach belastendem Material auf behördlich sichergestellten Computersystemen – Datenwiederherstellung ist ein wichtiger Aspekt der Spurensicherung. “Eine Datei zu löschen heißt nicht, dass sie wirklich weg ist”, betont Haag. Was für die Spurensicherung gut ist, macht in der Wirtschaft bisweilen Probleme. Dort sei es häufig wichtig, Daten unwiederbringlich zu vernichten. Dabei könne davon ausgegangen werden, dass nur Dateien, die ein IT-Forensiker nicht mehr aufspüren kann, auch wirklich sicher gelöscht wurden. Auch der Inhalt des Arbeitsspeichers ist bei der Spurensuche wichtig. “Es gibt teils Lücken in Betriebssystemen, die für die forensische Analyse genutzt werden können”, meint Haag in diesem Zusammenhang. Konkret würden in einem Fall beim Schreiben auf Festplatten Blöcke mit Informationen aus dem Arbeitsspeicher aufgefüllt. Diese könnten daher auch Tage später noch rekonstruierbar sein.

Die Aufgabe des IT-Forensikers gestaltet sich besonders anspruchsvoll, wenn eine Analyse auch für ein juristisches Verfahren verwertbar sein soll. “Es ist ein wesentlicher Aspekt, Daten so zu sichern, dass sie vor Gericht anerkannt werden”, betont Haag. Konkret würden in der Praxis Prüfsummen verwendet, damit nachgewiesen werden kann, dass sichergestellte Daten nicht verändert wurden. Nur so kann Beweismaterial aus der forensischen Analyse auch in Prozessen verwertet werden. “Angriffe können von überall her erfolgen und machen nicht vor Grenzen halt”, hält Haag fest. Daher sei eine frühzeitige internationale Vernetzung für Experten im Bereich der IT-Security und IT-Forensik von besonders großer Bedeutung, um in der Praxis rechtzeitig reagieren zu können.

Silicon-Redaktion

Recent Posts

Mehr Datenschutz in der Montage

Assistenzsysteme unterstützen Monteure bei der Arbeit. Zu oft zahlt man jedoch mit den eigenen Daten…

1 Tag ago

Cyber Resilience Act: Countdown läuft

Hersteller werden stärker in die Pflicht genommen, den gesamten Lebenszyklus ihrer Produkte in den Blick…

1 Tag ago

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

2 Tagen ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

2 Tagen ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

2 Tagen ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

3 Tagen ago