IT-Forensik für Einsteiger und Aufsteiger - Seminar / Kurs von Cyber Akademie GmbH

Grundlagen und Möglichkeiten verstehen, Fehler vermeiden und Untersuchungen steuern

Inhalte

Grundlagen-Modul

Die IT-Forensik stellt Daten aus IT-Systemen als Beweise nachvollziehbar sicher und beurteilt diese im Hinblick auf vereinbarte Untersuchungsfragen. Anwendungen sind z.B. die Aufklärung von Wirtschaftskriminalität oder nicht regelkonformer Handlungen sowie von IT-Sicherheitsvorfällen. In diesem zweitägigen Seminar vermitteln erfahrene IT-Forensiker Grundlagen der IT-Forensik (Computerforensik) an Teilnehmer, die bisher damit professionell nicht befasst waren, deren berufliche Rolle künftig aber ein solides Grundverständnis erfordert. Dabei werden Konzepte und Beispiele mit dem Schwerpunkt „Sicherung und inhaltliche Auswertung von Datenträgern“ vorgestellt. Ausgewählte Handlungsschritte werden mit typischen Werkzeugen vorgeführt. Es finden jedoch keine Teilnehmerübungen statt. Diese Aufteilung bietet den Vorteil, dass in zwei Tagen die wesentlichen Grundlagen, wichtige Faktoren für erfolgreiche Projekte in der IT-Forensik und viel Erfahrungswissen vermittelt werden können. Wer später eher solche Projekte steuern, leiten oder beaufsichtigen wird, kann bereits aus den ersten beiden Tagen relevantes Wissen gewinnen.

 

Optionales Zusatz-Modul (zusätzlicher Praxistag)

Teilnehmer, die operativ und techniknah Projekte in der IT-Forensik selbst durchführen möchten, können ein zusätzliches Praxismodul belegen. Dieses kann auf Anfrage an einem dritten Schulungstag durchgeführt werden. In diesem Zusatzmodul erlernen die Teilnehmer das Wissen des Basismoduls mit eigenen Grundlagenübungen praktisch umzusetzen. Es handelt sich um einen offenen Kurs mit jeweils maximal 12 Teilnehmern.     Mitarbeiter in Unternehmen oder bei Behörden, die beruflich im Rahmen von Untersuchungen (künftig) regelmäßig Erkenntnisse aus der IT-Forensik benötigen oder bereitstellen sollen und hierfür ein solides Grundverständnis erwerben wollen, etwa weil sie ihre berufliche Rolle erweitern. Typischerweise haben diese einen Hintergrund in:

  • Compliance, Internal Audit, Datenschutz, Recht oder in einer Stabsstelle/Führungskräfte
  • IT, IT- bzw. Informationssicherheit, Konzernsicherheit
  • Sachbearbeitende Ermittlung.

 

Themenüberblick Tag 1, 09:00 bis 17:00 Uhr: 

Einführung

  • Grundprinzipien und Herausforderungen in der IT-Forensik
  • Möglichkeiten und Begrenzungen der IT-forensischen Erkenntnis
  • Ziele einer IT-forensischen Untersuchung und Zielkonflikte
  • Grundsätze der IT-forensischen Arbeitsweise
  • Rechtliche Beschränkungen und Voraussetzungen
  • Praxisbeispiele

 

Nachvollziehen des Sachverhaltes und zielgerichtete Identifikation, Auswahl und Priorisierung fallrelevanter Datenquellen (verschiedene Geräte, Anwendungen und Umgebungen): Untersuchungsplan

Operative IT-forensische Sicherung von Datenquellen

  • Arten: blockweise physisch, „halbphysisch“, logisch
  • Nutzung von Writeblockern
  • Besonderheiten bei defekten Datenträgern und bei SSDs

 

Besonderheiten der Sicherung ausgewählter Quellen spezifisch nach Quellenart (z.B. Festplatte eines Laptop-Clients, Mailbox von einem Mailserver und Backups, bis hin zu Hauptspeicherinhalten)

Verifikation gesicherter Daten

 

Themenüberblick Tag 2: 

  • Physischer und logischer Aufbau von Datenträgern (Festplatte vs. SSD)
  • Partitionen und wichtige Konzepte zu Dateisystemen, insbesondere IT-forensisch relevante Eigenschaften von Dateisystemen, am Beispiel von NTFS
  • Wiederherstellung gelöschter Daten, soweit technisch möglich
  • Konzepte und Vorgehen bei verschlüsselten Datenträgern
  • Analyse einzelner Dateien (Identifikation mittels Stichwortsuche, Metadaten und Eigenschaften, Hashing und Hashsets)
  • Analyse ausgewählter Windows-Betriebssystem-Artefakte(z.B. Systeminformationen, Windows Registry, Logfiles, Nutzeraktivitäten)
  • Analyse ausgewählter Anwendungs-Artefakte (z.B. Webbrowser, E-Mail, Chats, lokale Spuren zu Clouddiensten)
  • Einführung in die Analyse ausgewählter Hauptspeicherinhalte
  • Einführung in die Analyse ausgewählter Inhalte eines Smartphones

 

Tag 3 (optionales Zusatz-Modul-Praxis):

Sicherung

  • Logische Sicherung von Dateien, insbesondere Vollständigkeitsprüfung und geeignete Dokumentation, Verwendung von Containerformaten für logische Datensicherungen
  • Physische Sicherung (IT-forensisches Imaging) von einem USB-Datenträger und von einer Festplatte am Hardware-Schreibschutz
  • Beweismittelkette: Sicherstellung der Integrität mittels Hashing und Verifikation
  • Datenrettung von einem Datenträger mit Lesefehlern
  • Besonderheiten bei verschlüsselten Datenträgern, z.B. Verschlüsselungsstatus bei Bitlocker feststellen, Entschlüsselungsschlüssel auslesen
  • Live-Sicherung wichtiger Daten im Rahmen von Incident Response, geeignete Sicherungsreihenfolge
  • Physische Sicherung von Hauptspeicherinhalten
  • Sicherung von Inhalten eines Smartphones (logisch, Dateisystem, physisch, auch Rooting/Jailbreak)

 

Aufbereitung

  • mounten, Überprüfung eines gesicherten Images auf Lesbarkeit und Nämlichkeit
  • Entschlüsselung eines verschlüsselten Images (mit bekannten Zugangsdaten)
  • Typische Vorverarbeitungsschritte, insbesondere Wiederherstellung von nicht mehr im Dateisystem eingetragenen Dateien (Informationen aus früheren Informationen aus dem Dateisystem, aus Schattenkopien und mittels Carving), Aufbereitung von Metadaten
  • Formatwandlung sowie Filterung auf relevante Daten
  • Indexierung von „losen“ Dateien (inklusive E-Mail) mit einem eDiscovery-Werkzeug

 

Auswertung

  • Intellektuelle Sichtung eines gesicherten Datenträgerimages eines Windows-Systems
  • Analyse der Partitionierung und des Dateisystems, Dateizuordnungstabelle (MFT)
  • Gelöschte Dateien im Papierkorb und in Schattenkopien
  • Analyse existierender Dateien und ihrer Metadaten (Zeitstempel, Einträge in den Dateien)
  • Parallele Stichwort-Suche über ein Datenträgerimage
  • Beispielhafte Analyse von Windows Registry-Hives
  • Analyse von Logfiles am Beispiel von Windows-Eventlogs
  • Datenbankforensik: Einträge in SQLite-Datenbanken am Beispiel eines Browser-Verlaufs; Sichtung einer ESEDB
  • Grundlagen des intellektuellen Reviews von „losen“ Dateien mit einem eDiscovery-Werkzeug
  • Beispielhaft Einführung in die Auswertung eines Hauptspeicherimages auf erste Auffälligkeiten

 

Artefakt-übergreifendes Fallbeispiel: Verdacht auf Datenexfiltration:

  • Analyse z.B. auf Auffälligkeiten bezüglich relevanter Daten im Dateisystem, auf Dateitransfers mit Fernwartungsprogrammen, auf an auffällige Adressen weitergeleitete E-Mails mit fallrelevanten Anhängen, auf angeschlossene USB-Datenträger, auf Hinweise auf jemals auf externen Laufwerken vorhandenen Dateien, etc.

 

Lernziele

Nach erfolgreicher Teilnahme sollen Teilnehmer:

  • einen Überblick über Konzepte, technische Grundlagen, Methoden und typische Werkzeuge der IT-Forensik gewonnen haben
  • wichtige Möglichkeiten, Herausforderungen und auch Beschränkungen kennen, mittels IT-forensischer Untersuchungen Erkenntnisse zu Untersuchungsfragen zu gewinnen
  • wissen, wie IT-forensische Untersuchungen ablaufen und wie man dabei typische Fehler vermeidet
  • auf IT-forensische Untersuchungen im Ernstfall besser handlungsbereit gerüstet sein
  • in einfacheren Fällen (bzw. abhängig von der Erfahrung und Situation) ausgewählte erste Schritte selbst durchführen sowie die geeigneten Handlungen veranlassen und überwachen und effizient mit hauptberuflichen IT-Forensikern zusammenarbeiten können.

 

Nach erfolgreicher Teilnahme des optionalen dritten Schulungstages sollen Teilnehmer:

  • einen Datenträger selbst IT-forensisch sichern und die Sicherung geeignet dokumentieren können
  • ein vertieftes handlungspraktisches Verständnis davon haben, welche Möglichkeiten IT-forensische Untersuchungen für ausgewählte Artefakte und Erkenntnisziele bieten und wie diese ablaufen. Dies ermöglicht, IT-forensische Untersuchungen besser zu steuern und Ergebnisse zu beurteilen, und ist Ausgangsbasis für einen Aufbaukurs.

Gegenstand ist ausdrücklich nicht, die Teilnehmer in die Lage zu versetzen, eigenständig komplexe IT-forensische Untersuchungen, die schnell technisch und vom Prozessablauf sehr anspruchsvoll werden können, durchführen zu können.

 

Zielgruppen

Mitarbeiter in Unternehmen oder bei Behörden, die beruflich im Rahmen von Untersuchungen (künftig) regelmäßig Erkenntnisse aus der IT-Forensik benötigen oder bereitstellen sollen und hierfür ein solides Grundverständnis erwerben wollen, etwa weil sie ihre berufliche Rolle erweitern. Typischerweise haben diese einen Hintergrund in:

  • Compliance, Internal Audit, Datenschutz, Recht oder in einer Stabsstelle/Führungskräfte
  • IT, IT- bzw. Informationssicherheit, Konzernsicherheit
  • Sachbearbeitende Ermittlung.

 

Der Kurs eignet sich für Einsteiger, wobei grundlegende IT-Kenntnisse vorausgesetzt werden.

Termine und Orte

Datum Uhrzeit Dauer Preis
Bonn, DE
05.11.2019 - 07.11.2019 09:00 - 17:00 Uhr 8 h Jetzt buchen ›

SG-Seminar-Nr.: 5239561

Anbieter-Seminar-Nr.: https://www.cyber-akademie.de/suche.jsp?suche=Einsteiger

Termine

  • 05.11.2019 - 07.11.2019

    Bonn, DE

Preise inkl. MwSt. Es können Gebühren anfallen. Für eine exakte Preisauskunft wählen Sie bitte einen Termin aus.

Jetzt buchen ›
Seminar merken ›

Sie buchen immer automatisch den besten Preis für jeden Termin. Semigator berücksichtigt

  • Frühbucher-Preise
  • Last-Minute-Preise
  • Gruppenkonditionen

und verfügt über Sonderkonditionen mit einigen Anbietern.

Der Anbieter ist für den Inhalt verantwortlich.

Über Semigator mehr erfahren

  • Anbietervergleich von über 1.500 Seminaranbietern
  • Vollständige Veranstaltungsinformationen
  • Schnellbuchung
  • Persönlicher Service
Datum Uhrzeit Dauer Preis
Bonn, DE
05.11.2019 - 07.11.2019 09:00 - 17:00 Uhr 8 h Jetzt buchen ›