Transformation World
19.10.17 - 20.10.17
In Heidelberg

PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

10. gfo-Jahreskongress
25.10.17 - 26.10.17
In Düsseldorf

Google Analytics Summit 2017
09.11.17 - 09.11.17
In Hamburg

FußspurenDurch die Zunahme von Ereignisfällen in Unternehmen werden immer häufiger interne Ermittlungen erforderlich und nehmen dabei immer größere Ausmaße an. 

Zumindest trifft dies auf die zu untersuchenden Datenmengen zu. So ist es kaum mehr händelbar, dass sich eine Person allein mit der Untersuchung und Auswertung von Daten befasst, sondern mehrere Personen damit betraut werden müssen. Neueste Technologien können hier zum Einsatz kommen, die große Datenmengen verarbeiten, darstellen und verteilen können. Das verteilte Arbeiten an Dokumenten ist in größeren Unternehmen durchaus etabliert, gleiches muss sich für den Fachbereich der IT-Forensik etablieren mit Kollaborations-Forensik.

Separates Netzwerksegment für die Forensik

Der Ansatz der hierbei verfolgt wird, ist denkbar einfach: Daten aus einer forensischen Maßnahme oder mehreren Maßnahmen werden auf einem zentralen Storage vorgehalten, die gesondert abgesichert und physikalisch vom Netz getrennt erreichbar sind. Forensiker, Ermittler und Analysten haben hierbei gleichsam den Zugriff auf die Daten eines Falles und können diese auswerten und/oder analysieren. Je nachdem, um was für eine Ermittlung es sich handelt, kann hier ein Rechte-Management greifen, welches unterschiedlichen Ermittlern und/oder Analysten unterschiedliche Zugriffe auf die Daten innerhalb eines Falles gewährt.

Beispielsweise können IT-Forensiker den Zugriff auf den Case bekommen, um Daten auf den Server mit dem Storage zu laden und diese entsprechend auch zuordnen. Analysten hingegen können lediglich Daten betrachten, um diese entsprechend auszuwerten. Ermöglicht wird Kollaboration-Forensik durch den Einsatz modernster Technologien und leistungsstarker Server. Empfehlenswert ist es, ein separates Netzwerksegment aufzubauen, auf dem nur die dafür fest konfigurierten Forensik-Workstations Zugriff haben. Dieses Forensik-Netzwerk hat keine Anbindung an das Internet und bietet somit alle Anforderungen an die digitale Forensik. Die Forensik-Workstation benötigen dabei nicht mehr so viel Rechenleistung wie herkömmlich, sondern lediglich einen Browser. Zwei Lösungen die hervorstechen und mit denen wir am häufigsten arbeiten, können direkt im Browser angesprochen werden und nach dem Login als Forensiker oder Ermittler kann man direkt mit der Arbeit beginnen, da ein Ladeprozess lokal nicht mehr erfolgen muss.

Beispiele für Kollaboration-Forensik sind „AccessData“ mit seinem „Forensic Lab Summation“ und „Cellebrite“ mit dem „UFED Analytics Enterprise“. Ersteres hat seinen Schwerpunkt auf den Bereich der herkömmlichen Forensik gelegt und verbindet zugleich auch die Einhaltung rechtlicher Aspekte bei der forensischen Auswertung und Analyse von Daten. Die zweite Lösung spezialisierte sich auf die Auswertung und Analyse von Daten aus mobilen Endgeräten.

Übersicht über elektronische Asservate

Die Vorteile solcher Lösungen liegen auf der Hand, angefangen von der Unabhängigkeit bestehender Infrastrukturen und Plattformen bis hin zur deutlich besseren Skalierbarkeit und Analysemöglichkeiten für mehrere IT-Forensiker, Ermittler und/oder Analysten. Ein weiterer Vorteil von Kollaboration-Forensik-Lösungen ist das Datenmanagement, welches es dem Forensiker erlaubt, unterschiedliche Datenquellen heran ziehen zu können, um diese in einem Case vereint bereit stellen zu können. Das können z.B. im AccessData Forensic Lab Festplatten, USB-Sticks, logische Abbilder von Datenbanken oder auch SD-Karten sein. Dabei können unterschiedliche elektronische Asservate einem Beschuldigten zugeordnet werden und man behält die Übersicht. Bei der Plattform UFED Analytics Enterprise der Firma Cellebrite können z.B. Smartphones als forensische Abbilder gemeinsam mit SIM-Karten, Cloud-Daten und SD-Karten ebenfalls eines Beschuldigten im Storage zusammengeführt und den Ermittlern bereitgestellt werden. Dies kann über einen direkten Zugang geschehen, oder in Form eines Berichts.

Marko RoggeMarko Rogge kam aus dem Umfeld der Computer-Hacker in die Security Branche und war dort viele Jahre als Berater tätig. Ab 2006 wechselte er in Ermittlungstätigkeiten und arbeitete dort im technischen Bereich für zahlreiche namenhafte Konzerne. Teile seiner Ausbildung erlangte er in Israel (Tel Aviv, Petach Tikwa) sowie von ehemaligen geheimdienstlichen Mitarbeitern und anderen Ermittlern. Marko Rogge ist seit Anfang 2016 "Leiter Forensik & Investigations Lab" bei der Phalanx-IT GmbH in Heilbronn, ist zudem EnCase Certified Forensiker, Certified Cellebrite mobile Forensik Trainer & Certified Cellebrite UFED Ultimate Forensiker. Er arbeitet erfolgreich seit vielen Jahren für diverse Strafverfolgungs- und Ermittlungsbehörden im technischen Ermittlungsbereich und trainierte auch fachspezifisch im Bereich mobile Forensik Mitarbeiter von Geheimdiensten, Strafverfolgungs- und Ermittlungsbehörden, aber auch Zoll und Steuerfahndungseinheiten.
 

GRID LIST
Tb W190 H80 Crop Int 9fdb6e3de368c7c543cba1f46ef268c0

Sicherheit im Netz: Bleiben wir wachsam | Kommentar

Zahlreiche Cyberattacken zeigen uns, dass ein Zwischenfall katastrophale Folgen haben…
DDoS Bomben

Secondhand DDoS-Angriffe: Worauf Service Provider achten sollten

Immer mehr Unternehmen weltweit verlassen sich auf gehostete kritische Infrastrukturen…
Crime Scene

Wie kann ein Angriff auf IT-Systeme nachgewiesen werden?

Die Forschungsgruppen der Frankfurt UAS und der Hochschule Darmstadt entwickeln Methoden…
Bluetooth

Bluetooth-Schwachstelle Blueborne

Hersteller und Nutzer von Bluetooth-fähigen Geräten weltweit waren in Aufruhr, als…
Jürgen Jakob

Anti-Malware & E-Mail Security nach wie vor unverzichtbar | Statement

Im digitalen Zeitalter sind die Sicherheitsbedrohungen für IT-Systeme zahlreich und…
Smart House

Smarte Geräte: Schadprogramme und Defizite bei Privatsphäre

Ob smarte Lautsprecher, smarte Armbanduhren, Überwachungskameras oder das komplette Smart…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet