cirosec – Incident Handling & Forensik

Die Untersuchung möglicher Fälle von Computerkriminalität im eigenen Unternehmen stellt die meisten Organisationen vor Probleme, denn sowohl die technischen als auch die organisatorischen und rechtlichen Rahmenbedingungen sind alles andere als trivial.

Egal, ob es sich um externe Angriffe oder um Innentäter handelt, in vielen Fällen wird den Verantwortlichen nach kurzer Zeit klar, dass sie selbst vieles falsch gemacht haben, wichtige Spuren bei der Untersuchung vernichtet wurden oder dass aufgrund von Fehlern im Ablauf eine rechtliche Verwertung gefundener Spuren nicht mehr möglich ist.

Auch die bisher üblichen technischen Methoden in der IT-Forensik tragen zu den Problemen bei. Sie haben sich bisher vor allem darauf konzentriert, mit der so genannten Dead-Analyse die Festplatten der betroffenen PCs oder Server zu duplizieren und diese nach Spuren zu durchsuchen. Die zunehmende Verbreitung von Festplattenverschlüsselung aber auch moderne Angriffsmethoden, die keinerlei Spuren auf Festplatten hinterlassen, sprechen gegen dieses Vorgehen.

Wir bieten Ihnen daher nicht nur die Dead-Analyse, sondern auch den sehr neuen Bereich der Live-Analyse an. Bei der Live-Analyse geht es um die Sammlung und Analyse flüchtiger Daten aus dem Hauptspeicher, ohne dass wichtige Systeme außer Betrieb genommen werden müssen. Dabei stehen die Erkennung von Malware (Würmer, Trojaner, etc.), von Code-Injection-Angriffen, von Kernel Rootkits und die Extrahierung von Daten direkt aus dem Speicher (Bilder, Dokumente, etc) im Vordergrund.

Unser Training zur IT-Forensik finden Sie hier.