USU World 2018
06.06.18 - 07.06.18
In World Conference Center Bonn

CEBIT 2018
11.06.18 - 15.06.18
In Hannover

ERP Tage Aachen
19.06.18 - 21.06.18
In Aachen

next IT Con
25.06.18 - 25.06.18
In Nürnberg

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

FußspurenDurch die Zunahme von Ereignisfällen in Unternehmen werden immer häufiger interne Ermittlungen erforderlich und nehmen dabei immer größere Ausmaße an. 

Zumindest trifft dies auf die zu untersuchenden Datenmengen zu. So ist es kaum mehr händelbar, dass sich eine Person allein mit der Untersuchung und Auswertung von Daten befasst, sondern mehrere Personen damit betraut werden müssen. Neueste Technologien können hier zum Einsatz kommen, die große Datenmengen verarbeiten, darstellen und verteilen können. Das verteilte Arbeiten an Dokumenten ist in größeren Unternehmen durchaus etabliert, gleiches muss sich für den Fachbereich der IT-Forensik etablieren mit Kollaborations-Forensik.

Separates Netzwerksegment für die Forensik

Der Ansatz der hierbei verfolgt wird, ist denkbar einfach: Daten aus einer forensischen Maßnahme oder mehreren Maßnahmen werden auf einem zentralen Storage vorgehalten, die gesondert abgesichert und physikalisch vom Netz getrennt erreichbar sind. Forensiker, Ermittler und Analysten haben hierbei gleichsam den Zugriff auf die Daten eines Falles und können diese auswerten und/oder analysieren. Je nachdem, um was für eine Ermittlung es sich handelt, kann hier ein Rechte-Management greifen, welches unterschiedlichen Ermittlern und/oder Analysten unterschiedliche Zugriffe auf die Daten innerhalb eines Falles gewährt.

Beispielsweise können IT-Forensiker den Zugriff auf den Case bekommen, um Daten auf den Server mit dem Storage zu laden und diese entsprechend auch zuordnen. Analysten hingegen können lediglich Daten betrachten, um diese entsprechend auszuwerten. Ermöglicht wird Kollaboration-Forensik durch den Einsatz modernster Technologien und leistungsstarker Server. Empfehlenswert ist es, ein separates Netzwerksegment aufzubauen, auf dem nur die dafür fest konfigurierten Forensik-Workstations Zugriff haben. Dieses Forensik-Netzwerk hat keine Anbindung an das Internet und bietet somit alle Anforderungen an die digitale Forensik. Die Forensik-Workstation benötigen dabei nicht mehr so viel Rechenleistung wie herkömmlich, sondern lediglich einen Browser. Zwei Lösungen die hervorstechen und mit denen wir am häufigsten arbeiten, können direkt im Browser angesprochen werden und nach dem Login als Forensiker oder Ermittler kann man direkt mit der Arbeit beginnen, da ein Ladeprozess lokal nicht mehr erfolgen muss.

Beispiele für Kollaboration-Forensik sind „AccessData“ mit seinem „Forensic Lab Summation“ und „Cellebrite“ mit dem „UFED Analytics Enterprise“. Ersteres hat seinen Schwerpunkt auf den Bereich der herkömmlichen Forensik gelegt und verbindet zugleich auch die Einhaltung rechtlicher Aspekte bei der forensischen Auswertung und Analyse von Daten. Die zweite Lösung spezialisierte sich auf die Auswertung und Analyse von Daten aus mobilen Endgeräten.

Übersicht über elektronische Asservate

Die Vorteile solcher Lösungen liegen auf der Hand, angefangen von der Unabhängigkeit bestehender Infrastrukturen und Plattformen bis hin zur deutlich besseren Skalierbarkeit und Analysemöglichkeiten für mehrere IT-Forensiker, Ermittler und/oder Analysten. Ein weiterer Vorteil von Kollaboration-Forensik-Lösungen ist das Datenmanagement, welches es dem Forensiker erlaubt, unterschiedliche Datenquellen heran ziehen zu können, um diese in einem Case vereint bereit stellen zu können. Das können z.B. im AccessData Forensic Lab Festplatten, USB-Sticks, logische Abbilder von Datenbanken oder auch SD-Karten sein. Dabei können unterschiedliche elektronische Asservate einem Beschuldigten zugeordnet werden und man behält die Übersicht. Bei der Plattform UFED Analytics Enterprise der Firma Cellebrite können z.B. Smartphones als forensische Abbilder gemeinsam mit SIM-Karten, Cloud-Daten und SD-Karten ebenfalls eines Beschuldigten im Storage zusammengeführt und den Ermittlern bereitgestellt werden. Dies kann über einen direkten Zugang geschehen, oder in Form eines Berichts.

Marko RoggeMarko Rogge kam aus dem Umfeld der Computer-Hacker in die Security Branche und war dort viele Jahre als Berater tätig. Ab 2006 wechselte er in Ermittlungstätigkeiten und arbeitete dort im technischen Bereich für zahlreiche namenhafte Konzerne. Teile seiner Ausbildung erlangte er in Israel (Tel Aviv, Petach Tikwa) sowie von ehemaligen geheimdienstlichen Mitarbeitern und anderen Ermittlern. Marko Rogge ist seit Anfang 2016 "Leiter Forensik & Investigations Lab" bei der Phalanx-IT GmbH in Heilbronn, ist zudem EnCase Certified Forensiker, Certified Cellebrite mobile Forensik Trainer & Certified Cellebrite UFED Ultimate Forensiker. Er arbeitet erfolgreich seit vielen Jahren für diverse Strafverfolgungs- und Ermittlungsbehörden im technischen Ermittlungsbereich und trainierte auch fachspezifisch im Bereich mobile Forensik Mitarbeiter von Geheimdiensten, Strafverfolgungs- und Ermittlungsbehörden, aber auch Zoll und Steuerfahndungseinheiten.
 

GRID LIST
Tb W190 H80 Crop Int 3d92b16f38ec40420417ec6e95879516

Versteckte Malware lauert häufig im Verborgenen

Der erschienene Verizon Data Breach Investigations Report 2018 offenbart das Ausmaß der…
Gérard Bauer

Vermeintlich russische Cyberattacken auf westliche IT-Infrastrukturen

Am Montag erklärten das US-Heimatschutzministerium, das FBI und das britische National…
Paul Parker

Cybersecurity im Gesundheitswesen

Nach Ansicht von Paul Parker, Cheftechnologe des Geschäftsbereichs für Regierungsbehörden…
Tb W190 H80 Crop Int 0a77a97abba355a6171f9e666819821a

Minecraft: Spieler sind von Schadsoftware in modifizierten „Skins“ bedroht

Eine Datenanalyse der vergangenen 30 Tage von Avast ergab, dass nahezu 50.000…
Tb W190 H80 Crop Int Cb37aa6c2115131c19c11ce3765ccfaf

Linux-Update mit Spectre- und Meltdown-Absicherung

Linux-Version 4.16 ist freigegeben. Neben einer optimierten Akkulaufzeit überzeugt die…
Kryptomining

Kryptomining – des einen Gewinn, des anderen Verlust

Kryptowährungen sind derzeit in aller Munde. Doch während sich das sogenannte Schürfen,…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security