IT-Forensik

Unter IT-Forensik (auch Computerforensik genannt) versteht man die Analyse und Aufklärung von Sicherheitsvorfällen oder unklaren Sachverhalten, die im Zusammenhang mit Informationstechnologien stehen. Typische Bespiele sind hierbei Hacker-Angriffe auf kritische IT-Systeme oder ein Datenabfluss durch Innentäter. Forensische Analysen sind nicht nur bei konkreten Sicherheitsvorfällen sinnvoll, sondern können auch bei allgemeineren Verdachtsfällen für Aufklärung sorgen.

Für viele Unternehmen ist es nicht wirtschaftlich, Wissen und Personal im Bereich der IT-Forensik intern aufzubauen und vorzuhalten. Andere Unternehmen besitzen zwar ein entsprechendes Team, verfügen aber im Ernstfall nicht über genügend Ressourcen oder über die für den jeweiligen Vorfall notwendigen spezifische Kenntnisse. Unser Unternehmen unterstützt Sie bei konkreten Sicherheitsvorfällen wie auch bei Verdachtsfällen innerhalb aller notwendigen Aktivitäten:

Aufdeckung und Aufklärung

Unser Team sichert für Sie mögliche Tatorte, Tatwerkzeuge und Beweise. Durch die genaue Erfassung aller für einen Vorfall relevanten Daten und Rahmenbedingungen ergibt sich ein vollständiges Bild der Vorgänge und möglicher Beteiligter an einem Sicherheitsvorfall. Durch den Einsatz entsprechender Hard- und Software ist es möglich, den aktuellen Zustand von IT-Systemen vollständig und ohne Veränderungen zu sichern, um die entsprechende Systemumgebung danach einer detaillierten Analyse zuzuführen. Besonderes Augenmerk richten wir dabei auch auf einen raschen Abschluss der Beweissicherungsmaßnahmen, damit Sie mit den betroffenen Systemen möglichst schnell wieder in den Produktivbetrieb zurückkehren können. Auch während illegale oder nicht autorisierte Vorgänge noch im Gange sind, besteht die Möglichkeit, mit entsprechenden Analysewerkzeugen eine Beweissicherung durchzuführen und die Vorgänge aufzuklären. In solchen Fällen stehen wir Ihnen auch beratend bei der Eindämmung und Kontrolle von Vorfällen zur Seite, etwa durch technische Ad-Hoc-Maßnahmen oder durch die Kommunikation mit Strafverfolgungsbehörden.

Analyse

Nach der Beweissicherung erfolgt eine den Zielen des Auftrags entsprechende Analyse.

Diese kann beispielsweise forensische Analysen in folgenden Bereichen umfassen:
  • Datenträger und Systemabbilder    
  • Aufgezeichneter Netzwerkverkehr (detaillierte Beschreibung siehe Netzwerkdatenanalyse)
  • Logdateien
  • Nutzdaten wie Dokumente, E-Mails oder Mediadateien

Durch die genaue Analyse der gesicherten Beweismittel kann ein Sicherheitsvorfall detailliert nachvollzogen werden. Was ist passiert? Wie waren die zeitlichen Abläufe? Wer sind die möglichen Beteiligten? Welche Systeme und Daten sind betroffen (Informationsabfluss, Informationsmanipulation etc.)?

Dokumentation

Alle während des Forensik-Einsatzes gewonnenen Informationen werden durch unser Team detailliert dokumentiert und bewertet. Bei Bedarf erfolgt eine auf die jeweilige Zielgruppe zugeschnittene Präsentation der Ergebnisse. Ist das Hinzuziehen von Strafverfolgungs- und Justizbehörden gewünscht, arbeiten wir mit diesen bei der Aufklärung des Vorfalls zusammen und transferieren unsere Erkenntnisse.

Strategischer und prozessgestützter umgang mit sicherheitsvorfällen

Über den akuten Sicherheitsvorfall hinaus berät Sie SCHUTZWERK auch hinsichtlich entsprechender strategischer Aspekte sowie beim Aufbau eines Incident Response Managements.