VERANSTALTUNGEN

Digital Workspace World
22.10.18 - 22.10.18
In Wiesbaden, RheinMain CongressCenter

PM Forum 2018
23.10.18 - 24.10.18
In Nürnberg

PM Forum 2018
23.10.18 - 24.10.18
In Nürnberg

MCC Fachkonferenz CyberSecurity für die Energiewirtschaft
24.10.18 - 25.10.18
In Köln

Panda Security: IT Security Breakfast
26.10.18 - 26.10.18
In Spanischen Botschaft in Berlin

FußspurenDurch die Zunahme von Ereignisfällen in Unternehmen werden immer häufiger interne Ermittlungen erforderlich und nehmen dabei immer größere Ausmaße an. 

Zumindest trifft dies auf die zu untersuchenden Datenmengen zu. So ist es kaum mehr händelbar, dass sich eine Person allein mit der Untersuchung und Auswertung von Daten befasst, sondern mehrere Personen damit betraut werden müssen. Neueste Technologien können hier zum Einsatz kommen, die große Datenmengen verarbeiten, darstellen und verteilen können. Das verteilte Arbeiten an Dokumenten ist in größeren Unternehmen durchaus etabliert, gleiches muss sich für den Fachbereich der IT-Forensik etablieren mit Kollaborations-Forensik.

Separates Netzwerksegment für die Forensik

Der Ansatz der hierbei verfolgt wird, ist denkbar einfach: Daten aus einer forensischen Maßnahme oder mehreren Maßnahmen werden auf einem zentralen Storage vorgehalten, die gesondert abgesichert und physikalisch vom Netz getrennt erreichbar sind. Forensiker, Ermittler und Analysten haben hierbei gleichsam den Zugriff auf die Daten eines Falles und können diese auswerten und/oder analysieren. Je nachdem, um was für eine Ermittlung es sich handelt, kann hier ein Rechte-Management greifen, welches unterschiedlichen Ermittlern und/oder Analysten unterschiedliche Zugriffe auf die Daten innerhalb eines Falles gewährt.

Beispielsweise können IT-Forensiker den Zugriff auf den Case bekommen, um Daten auf den Server mit dem Storage zu laden und diese entsprechend auch zuordnen. Analysten hingegen können lediglich Daten betrachten, um diese entsprechend auszuwerten. Ermöglicht wird Kollaboration-Forensik durch den Einsatz modernster Technologien und leistungsstarker Server. Empfehlenswert ist es, ein separates Netzwerksegment aufzubauen, auf dem nur die dafür fest konfigurierten Forensik-Workstations Zugriff haben. Dieses Forensik-Netzwerk hat keine Anbindung an das Internet und bietet somit alle Anforderungen an die digitale Forensik. Die Forensik-Workstation benötigen dabei nicht mehr so viel Rechenleistung wie herkömmlich, sondern lediglich einen Browser. Zwei Lösungen die hervorstechen und mit denen wir am häufigsten arbeiten, können direkt im Browser angesprochen werden und nach dem Login als Forensiker oder Ermittler kann man direkt mit der Arbeit beginnen, da ein Ladeprozess lokal nicht mehr erfolgen muss.

Beispiele für Kollaboration-Forensik sind „AccessData“ mit seinem „Forensic Lab Summation“ und „Cellebrite“ mit dem „UFED Analytics Enterprise“. Ersteres hat seinen Schwerpunkt auf den Bereich der herkömmlichen Forensik gelegt und verbindet zugleich auch die Einhaltung rechtlicher Aspekte bei der forensischen Auswertung und Analyse von Daten. Die zweite Lösung spezialisierte sich auf die Auswertung und Analyse von Daten aus mobilen Endgeräten.

Übersicht über elektronische Asservate

Die Vorteile solcher Lösungen liegen auf der Hand, angefangen von der Unabhängigkeit bestehender Infrastrukturen und Plattformen bis hin zur deutlich besseren Skalierbarkeit und Analysemöglichkeiten für mehrere IT-Forensiker, Ermittler und/oder Analysten. Ein weiterer Vorteil von Kollaboration-Forensik-Lösungen ist das Datenmanagement, welches es dem Forensiker erlaubt, unterschiedliche Datenquellen heran ziehen zu können, um diese in einem Case vereint bereit stellen zu können. Das können z.B. im AccessData Forensic Lab Festplatten, USB-Sticks, logische Abbilder von Datenbanken oder auch SD-Karten sein. Dabei können unterschiedliche elektronische Asservate einem Beschuldigten zugeordnet werden und man behält die Übersicht. Bei der Plattform UFED Analytics Enterprise der Firma Cellebrite können z.B. Smartphones als forensische Abbilder gemeinsam mit SIM-Karten, Cloud-Daten und SD-Karten ebenfalls eines Beschuldigten im Storage zusammengeführt und den Ermittlern bereitgestellt werden. Dies kann über einen direkten Zugang geschehen, oder in Form eines Berichts.

Marko RoggeMarko Rogge kam aus dem Umfeld der Computer-Hacker in die Security Branche und war dort viele Jahre als Berater tätig. Ab 2006 wechselte er in Ermittlungstätigkeiten und arbeitete dort im technischen Bereich für zahlreiche namenhafte Konzerne. Teile seiner Ausbildung erlangte er in Israel (Tel Aviv, Petach Tikwa) sowie von ehemaligen geheimdienstlichen Mitarbeitern und anderen Ermittlern. Marko Rogge ist seit Anfang 2016 "Leiter Forensik & Investigations Lab" bei der Phalanx-IT GmbH in Heilbronn, ist zudem EnCase Certified Forensiker, Certified Cellebrite mobile Forensik Trainer & Certified Cellebrite UFED Ultimate Forensiker. Er arbeitet erfolgreich seit vielen Jahren für diverse Strafverfolgungs- und Ermittlungsbehörden im technischen Ermittlungsbereich und trainierte auch fachspezifisch im Bereich mobile Forensik Mitarbeiter von Geheimdiensten, Strafverfolgungs- und Ermittlungsbehörden, aber auch Zoll und Steuerfahndungseinheiten.
 

GRID LIST
Mac Malware

Malware für macOS macht sich strukturelle Lücke zunutze

Malware? Für Mac-Nutzer ist das doch gar kein Problem. Und tatsächlich gibt es weit…
Hacker

Hacker-Gruppen kooperierten bei Angriff auf Energieversorger

Der aktuelle BSI-Lagebericht verdeutlicht, dass Cyber-Angriffe an der Tagesordnung sind.…
Phishing

Die Malware Muddy Water weitet Angriffe auf Regierungsziele aus

Experten von Kaspersky Lab haben eine große Operation des Bedrohungsakteurs ‚Muddy Water‘…
Tb W190 H80 Crop Int 3291093b7e9d4bb8f9855b6052833cf6

Banking-Trojaner und gefälschte Wettanbieter-Apps

Der September 2018 stand ganz im Zeichen eines Banking-Trojaners, welcher es auf die…
Tb W190 H80 Crop Int 66a298aa494de1bd9d09e2e746d170e8

Tipps für IT-Sicherheit im Büro

Knapp 90 Prozent der Bevölkerung sind laut ARD/ZDF-Onlinestudie inzwischen online, auch…
Tb W190 H80 Crop Int F91e3a4d242630c208b60fee05b31566

Attacke mit 1,7 Tb/s – DDoS-Schutzsysteme nicht gewachsen

Das maximale Angriffsvolumen von DDoS-Angriffen ist in stetigem Wachstum. Noch vor…
Smarte News aus der IT-Welt