Daten der IT-Forensik von einzelnen Systemen mit speziellen Tools zusammenführen

Inhaltsverzeichnis

Die digitale Forensik befasst sich mit dem Identifizieren, Sichern, Analysieren und Dokumentieren digitaler Beweismittel. Ein zentraler Aspekt dabei sind Herkunft und Umfang der verfügbaren Daten. In diesem Kontext bezeichnet Single-Source-Forensik einen Ermittlungsansatz, bei dem sich die Analyse nur auf eine Datenquelle stützt. Das kann ein einzelner Computer, ein Server, ein Smartphone oder ein anderes isoliertes digitales Gerät sein. Obwohl dieser Ansatz in der Praxis häufig vorkommt, stellt er Forensiker vor erhebliche Herausforderungen, da für eine umfassende Bewertung oft der entscheidende Gesamtkontext fehlt.

Es ist schwierig, einen Tathergang zu rekonstruieren, wenn man nur eine Quelle hat. Ohne die Möglichkeit, Daten über verschiedene Quellen hinweg zu korrelieren – etwa Netzwerklogs, Serverprotokolle oder die Geräte anderer beteiligter Personen –, bleibt das Bild unvollständig. Ereignisse lassen sich oft nur mühsam in einen chronologischen und kausalen Zusammenhang bringen; das erhöht das Risiko von Fehlinterpretationen. Ermittler sehen lediglich einen Ausschnitt des Geschehens, dessen wahre Bedeutung sich möglicherweise erst im Zusammenspiel mit anderen Systemen erschließt.

iX-tract

• Single-Source-Forensik zwingt zur Analyse mit minimalen Ressourcen, da hoch entwickelte, zentrale Protokollierungssysteme oft fehlen und Forensiker mühsam lokale Artefakte untersuchen müssen. Jedes Fragment gewinnt so entscheidende Aussagekraft.
• Autopsy ist eine grafische Benutzeroberfläche für die Sleuth-Kit-Toolchain mit Dateisystem-Explorer, Galerieansicht, Zeitleiste und Schlagwortsuche. Mit Plug-ins für Volatility und Plaso lassen sich RAM-Dumps und Logs direkt im gleichen Fall analysieren.
• Disk- und Memory-Korrelation verbindet Zeitstempel aus den Dateisystemmetadaten, Prefetch und Event-Logs mit Prozessereignissen aus dem RAM-Abbild zu einer einzigen übersichtlichen Zeitleiste. So entsteht ein lückenloses Gesamtbild, das sich als Bericht exportieren lässt.

Mehr zum Thema IT-Forensik

• Was das Forensik-Multitool Velociraptor kann und wie man es einsetzt
• Daten der IT-Forensik von einzelnen Systemen mit speziellen Tools zusammenführen
• Forensik-Tool in der Praxis: Mit Velociraptor auf Spurensuche
• IT-Forensik: Einführung in Kroll Artifact Parser and Extractor
• IT-Forensik: Mit KAPE und Microsoft Autoruns Persistenzmechanismen aufdecken
• IT-Forensik: Spuren eines Angreifers aufdecken mit KAPE

Lukas Petzi

Lukas Petzi ist als Consultant für Cybersecurity und Incident Response bei der Corporate Trust GmbH auf die digitale Forensik und die Bearbeitung von IT-Sicherheitsvorfällen spezialisiert.

Trotzdem ist die Single-Source-Forensik in vielen Szenarien sehr wichtig. Solche Situationen sind beispielsweise der Verlust oder die Beschädigung eines Firmengeräts, bei dem man allein aus dessen Zustand via Remote-Access-Tools oder dem letzten Backup schließen muss, ob sensible Daten kompromittiert wurden. Ebenso ist sie bei der Untersuchung von Insiderbedrohungen relevant, bei der sich die Analyse oft zunächst auf den Arbeitsplatzrechner eines verdächtigen Mitarbeiters konzentriert. Darüber hinaus spielt die Einzelsystemforensik in der ersten Phase der Incident Response eine zentrale Rolle, wenn bei einem Sicherheitsvorfall das als „Patient Zero“ identifizierte System isoliert und analysiert wird, bevor das volle Ausmaß des Angriffs auf das Netzwerk bekannt ist.

Das war die Leseprobe unseres heise-Plus-Artikels "Daten der IT-Forensik von einzelnen Systemen mit speziellen Tools zusammenführen". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.