VERANSTALTUNGEN

DAHO.AM
24.07.18 - 24.07.18
In München

2. Jahrestagung Cyber Security Berlin
11.09.18 - 12.09.18
In Berlin

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

Digital Marketing 4Heroes Conference
16.10.18 - 16.10.18
In Wien und München

FußspurenDurch die Zunahme von Ereignisfällen in Unternehmen werden immer häufiger interne Ermittlungen erforderlich und nehmen dabei immer größere Ausmaße an. 

Zumindest trifft dies auf die zu untersuchenden Datenmengen zu. So ist es kaum mehr händelbar, dass sich eine Person allein mit der Untersuchung und Auswertung von Daten befasst, sondern mehrere Personen damit betraut werden müssen. Neueste Technologien können hier zum Einsatz kommen, die große Datenmengen verarbeiten, darstellen und verteilen können. Das verteilte Arbeiten an Dokumenten ist in größeren Unternehmen durchaus etabliert, gleiches muss sich für den Fachbereich der IT-Forensik etablieren mit Kollaborations-Forensik.

Separates Netzwerksegment für die Forensik

Der Ansatz der hierbei verfolgt wird, ist denkbar einfach: Daten aus einer forensischen Maßnahme oder mehreren Maßnahmen werden auf einem zentralen Storage vorgehalten, die gesondert abgesichert und physikalisch vom Netz getrennt erreichbar sind. Forensiker, Ermittler und Analysten haben hierbei gleichsam den Zugriff auf die Daten eines Falles und können diese auswerten und/oder analysieren. Je nachdem, um was für eine Ermittlung es sich handelt, kann hier ein Rechte-Management greifen, welches unterschiedlichen Ermittlern und/oder Analysten unterschiedliche Zugriffe auf die Daten innerhalb eines Falles gewährt.

Beispielsweise können IT-Forensiker den Zugriff auf den Case bekommen, um Daten auf den Server mit dem Storage zu laden und diese entsprechend auch zuordnen. Analysten hingegen können lediglich Daten betrachten, um diese entsprechend auszuwerten. Ermöglicht wird Kollaboration-Forensik durch den Einsatz modernster Technologien und leistungsstarker Server. Empfehlenswert ist es, ein separates Netzwerksegment aufzubauen, auf dem nur die dafür fest konfigurierten Forensik-Workstations Zugriff haben. Dieses Forensik-Netzwerk hat keine Anbindung an das Internet und bietet somit alle Anforderungen an die digitale Forensik. Die Forensik-Workstation benötigen dabei nicht mehr so viel Rechenleistung wie herkömmlich, sondern lediglich einen Browser. Zwei Lösungen die hervorstechen und mit denen wir am häufigsten arbeiten, können direkt im Browser angesprochen werden und nach dem Login als Forensiker oder Ermittler kann man direkt mit der Arbeit beginnen, da ein Ladeprozess lokal nicht mehr erfolgen muss.

Beispiele für Kollaboration-Forensik sind „AccessData“ mit seinem „Forensic Lab Summation“ und „Cellebrite“ mit dem „UFED Analytics Enterprise“. Ersteres hat seinen Schwerpunkt auf den Bereich der herkömmlichen Forensik gelegt und verbindet zugleich auch die Einhaltung rechtlicher Aspekte bei der forensischen Auswertung und Analyse von Daten. Die zweite Lösung spezialisierte sich auf die Auswertung und Analyse von Daten aus mobilen Endgeräten.

Übersicht über elektronische Asservate

Die Vorteile solcher Lösungen liegen auf der Hand, angefangen von der Unabhängigkeit bestehender Infrastrukturen und Plattformen bis hin zur deutlich besseren Skalierbarkeit und Analysemöglichkeiten für mehrere IT-Forensiker, Ermittler und/oder Analysten. Ein weiterer Vorteil von Kollaboration-Forensik-Lösungen ist das Datenmanagement, welches es dem Forensiker erlaubt, unterschiedliche Datenquellen heran ziehen zu können, um diese in einem Case vereint bereit stellen zu können. Das können z.B. im AccessData Forensic Lab Festplatten, USB-Sticks, logische Abbilder von Datenbanken oder auch SD-Karten sein. Dabei können unterschiedliche elektronische Asservate einem Beschuldigten zugeordnet werden und man behält die Übersicht. Bei der Plattform UFED Analytics Enterprise der Firma Cellebrite können z.B. Smartphones als forensische Abbilder gemeinsam mit SIM-Karten, Cloud-Daten und SD-Karten ebenfalls eines Beschuldigten im Storage zusammengeführt und den Ermittlern bereitgestellt werden. Dies kann über einen direkten Zugang geschehen, oder in Form eines Berichts.

Marko RoggeMarko Rogge kam aus dem Umfeld der Computer-Hacker in die Security Branche und war dort viele Jahre als Berater tätig. Ab 2006 wechselte er in Ermittlungstätigkeiten und arbeitete dort im technischen Bereich für zahlreiche namenhafte Konzerne. Teile seiner Ausbildung erlangte er in Israel (Tel Aviv, Petach Tikwa) sowie von ehemaligen geheimdienstlichen Mitarbeitern und anderen Ermittlern. Marko Rogge ist seit Anfang 2016 "Leiter Forensik & Investigations Lab" bei der Phalanx-IT GmbH in Heilbronn, ist zudem EnCase Certified Forensiker, Certified Cellebrite mobile Forensik Trainer & Certified Cellebrite UFED Ultimate Forensiker. Er arbeitet erfolgreich seit vielen Jahren für diverse Strafverfolgungs- und Ermittlungsbehörden im technischen Ermittlungsbereich und trainierte auch fachspezifisch im Bereich mobile Forensik Mitarbeiter von Geheimdiensten, Strafverfolgungs- und Ermittlungsbehörden, aber auch Zoll und Steuerfahndungseinheiten.
 

GRID LIST
Tb W190 H80 Crop Int E6b1eed76833e40b6dff0a1070b0694f

Cyber-Kriminelle nutzen Fake-App für Malware

Im vergangenen Monat haben Cyber-Kriminelle mithilfe einer gefälschten App des…
Tb W190 H80 Crop Int Db461ec563234e57f2cba9109df3ec5f

Kryptowährungen im Überblick

Seit 2010 ist der Vormarsch der sogenannten Kryptowährungen nicht mehr aufzuhalten. Dabei…
Ransomware Lösegeld

Ransomware: Warnung vor Lösegeldzahlung

Cyberkriminelle „kidnappen“ Daten und Computer von Organisationen und Einzelpersonen. Der…
Tb W190 H80 Crop Int C47c64413dabc5f83c8af1202d07c3d8

Vernetzung bedeutet höhere Gefährdung für KRITIS-Betreiber

Digitalisierung und die zunehmende Vernetzung aller Versorgungsbereiche stellen den…
Urlaub

Cyber-Security-Checkliste: Tipps für den Sommerurlaub

Der Sommer steht vor der Tür und mit ihm werden für viele die Urlaubspläne konkret. Dabei…
High Voltage Sign

Cyberattacken auf kritische Infrastrukturen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt aus aktuellem Anlass…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security