Fachbegriffe aus der IT Forensik - A...Z
Haben Sie es auch öfters mit Fachbegriffen zu tun, die Sie nicht so recht einordnen können? Dann lesen Sie hier mal weiter ...
Hier werden häufig genutzte Fachbegriffe der IT Forensik vorgestellt und ggf. auf Unterseiten weiter ins Detail erläutert:
Fachbegriffe aus der IT Forensik - A...
Anlagebetrug
Unter Kapitalanlagebetrug detailiert erläutert, hier zu Anlagebetrug weiter lesen.
Anonymisierungsdienst
- Wer unerkannt im Internet surfen will, macht die eigene IP-Adresse für den Zielserver unsichtbar.
- Wird auch als Verschleierungsmaßnahme in der Antiforensik verwendet
Antiforensik
- Schlüsselbegriffe: Anti-Forensik, anti-forensics, counter forensics, Behinderung IT-forensischer Maßnahmen
- Ziel ist es Sicherheitsbehörden zu erschweren den täter zu ermitteln.
- Wird auch als Angriffsart eingesetzt, um IT-forensische Beweissicherung, Beweisgewinnung oder Auswertung zu verhindern.
- Ein Angreifer vermeidet, verschleiert, verändert oder zerstört seine Datenspuren
- In manchen fällen beabsichtigen Angreifer ein anderes Land als Quelle des Angriffs erscheinen zu lassen.
- Beispiele:
- Manipulation im Kernels des Betriebssystems,
- Angriffe auf IT-forensische Werkzeuge,
- Steganographie,
- Verschlüsselung,
- Anonymisierungsdienste,
- Vermeidung digitaler Spuren
Asset relocation
Darunter versteht man die Verschiebung von Vermögenswerten auf Dritte oder ausserhalb des Zugriffs des geschädigten Unternehmens
Aufspüren versteckter Vermögenswerte
- Alternative Bezeichnung: Asset Tracing
- versteckte Vermögenswerte finden, in die ein Täter seine Beute investiert hat (z.B. Bankkonten, bar-bezahlte Autos, Ferienwohnungen im Ausland)
- Mögliche Massnahmen:
- Nachforschungen vor Ort und in amtlichen Archiven (z.B. Grundbuch, ausländische KFZ Zulassung).
- Durchsuchung von Firmenunterlagen (eDiscovery) kann helfen verdeckte Treuhandverhältnisse oder ins Ausland verlagerte Gelder
- Ermittlungsprinzip: Identifizieren wie und wo das Geld geflossen ist, sowie die Zusammenhänge seines bisherigen Verhaltens und Gewohnheiten erkennen.
Außentäter
- Ein von außen angreifender Täter.
- Der Täter gehört nicht zum direkten Umfeld des Unternehmens (Mitarbeiter oder Dienstleister).
- Meistens werden die IT-Systeme des Unternehmens über das Internet oder eingeschläute Hintertüren (Trojaner, Werbegeschenke, ...) angegriffen.
Beispiel: Hacker, Erpresser, Wirtschaftsspionage
Auslagerungsdatei
- Eine Auslagerungsdatei ist ein digitales Beweisstück, das Inhalte des Hauptspeichers enthält.Aus Platzgründen lagert Ihr Betriebssystem Informationen in eine Datei im Dateisystem aus.
Beispiel: bei Windows ist dies die "pagefile.sys"
Ausspähen von Daten
- Handlung: Abfangen von Daten
- Nach § 202a-c StGB ist das Ausspähen von Daten strafbar, wenn der Täter die Daten Dritter unberechtigt erlangt
- Handlungsweisen dieser Computerkriminalität: ausspähen, abfangen oder entsprechende Handlungen vorbereiten
- Beispiel:
- Man in the Middle-Angriff
- Abfangen von E-Mails und Kennwörtern
- Ausspähung zum Zwecke der Wirtschaftsspionage
Fachbegriffe aus der IT Forensik - B...
Hier finden Sie Begriffe erklärt, von Betriebsforensik bis hin ...
Betriebssystemforensik
- Auswertung der Besonderheiten einzelner Betriebssysteme
- Beispiele: Windows-Forensik, Mac-Forensik, Unix-Forensik, iOS-Forensik, Android Forensik
Beweissicherung
- Die IT forensische Beweissicherung dient dazu digitale Beweise für die Untersuchung sicherzustellen. Dabei müssen Forensiker auch an Beweise denken, die unmittelbar im Umfeld des betroffenen Systems liegen. Dazu gehören auch Papierunterlagen, Notizettel oder andere Objekte.
- Gerne wird auch die Beweissicherung als Imaging bezeichnet.
Bildforensik
- Dies ist die IT-forensische Untersuchung von Bildern und stellt eine Bildverarbeitung dar.
Bitlocker
- Verfahren zur Verschlüsselung von Daten auf einem Windows Betriebssystem
- Beispiele: Wiederherstellungsschlüssel (Recovery Key)
Block eines Dateisystems
- Dies wird gerne als Cluster im Dateisystem bezeichnet.
- Es ist die kleineste Einheit, die eine Festplatte löschen kann.
Browser-Hijacking
- Hier nutzt ein Angreifer Sicherheitslücken eines Webbrowsers aus.
- Ziel ist es dessen Einstellungen ohne Zustimmung des Nutzers nachteilig zu verändern.
- Beispiele:
- Eintragen eines Zwangsproxies,
- Ersetzen der Standard-Suchmaschine
- Aufruf bestimmter Webseiten, um
- Schadcode zu installieren
- durch erzwungene Aufrufe Werbeeinnahmen für den Angreifer zu erzielen
- Installation eines Keyloggers
Browserforensik
- Forensische Untersuchung von Attaken auf Browsern und deren sicherheitsrelevanten Besonderheiten
- Beispiele:
- Firefox-Forensik,
- Edge-Forensik (Spartan),
- Internet Explorer-Forensik,
- Chrome-Forensik,
- Opera-Forensik,
- Browserverlaufsforensik,
- Browserformularforensik,
- Cookie-Forensik
Browserverlaufsforensik
- Englische Bezeichnung: browser history forensics
- Analyse der Nutzung eines Webbrowsers durch einen Nutzer im zeitlichen Verlauf befasst (Nutzungsverlauf, Besuchsverlauf). Siehe
"places.sqlite"
Brute-Force-Angriff
- Methode um Sicherheitsmechanismen eines Systems durch intensive Anmeldeversuche zu überwinden
- In einigen Fällen kann man durch die Exhaustionsmethode zwar das Passwort nicht erkennen jedoch das System dazu bringen auch ohne Zugangsdaten ins System zu gelangen.
- Angriffsart eines Täters, der in Unternehmen oder systeme unerlaubt eindringen will.
- Diese Methode des Passwort-Cracking erlaubt auch Forensiker digitale Beweise auch gegen den Willen von Straftätern sicher zu stellen.
- Methodik: Tausende unbekannter Passwörter (systematisch) werden automatischert durchprobiert, um ein passendes Kennwort zu finden.
- Einsatzgebiet: Zugang zu smartphones, Handy, Computer, Server oder andere zugangsgeschützte Systeme.
- Beispiele:
- PIN Brute force for Android,
- iPhone Brutforce PIN and Pattern decoding
- TrueCrypt-Bruteforcing
- Windows Server Domain Controller Admin Hacking
- ssh-Bruteforcing
Fachbegriffe aus der IT Forensik - C...
Chat-Forensik
Untersuchung von Datenspuren zur Kommunikation in Chats:
- Teilnehmer eines Chats, genutzte Chaträume (chat rooms),
- ausgetauschte Nachrichten und Daten (z.B. Fotos) (in Chaträumen oder in privater Unterhaltung ausgetauscht)
- zeitlicher Verlauf.
Beispiele: ICQ-Forensik, Messenger-Forensik, Forensik von Chat-Servern und -Clients, Chat-Kontaktdaten, Chat-Teilnehmer, Chat-Log (Chat-Mitschnitt), Chat-Cache, Chat-Datenbank
Chrome-Forensik
Untersuchung der Veränderungen an dem Google chrome Webbrowser.
Clickjacking
Ein Angreifer manipuliert eine Webseite durch Überlagerung so, daß ein Besucher eine Tastatureingabe für eine Anmeldung macht. Tatsächlich wird mit Benutzerrechten eine andere Aktion ausgeführt als die angezeigte (vorgegaukelte) Handlung. Die Überlagerung kann z.B. mit transparenten Objekten erfolgen. So kann ein Hacker erreichen, dass der Nutzer beliebige Aktionen ausführt.
Beispiele: Bestellung kostenpflichtiger Abonnements, Tätigen von Überweisungen, Herabsetzen der Sicherheitseinstellungen des IT-Gerätes, Übermittlung persönlicher Informationen wie etwa Anmeldedaten an den Angreifer
Cloud-Forensik
Dieser Bereich der IT Forensik untersucht Daten in Online-Speicher Cloud Systemen. Hier werden Besonderheiten von Cloud-Speichern bzw. der Speicherung von Daten online berücksichtigt. Auf einem lokalen Datenträger befindet sich meist nur eine Verknüpfung, Verbindungsdaten oder ein Synchronisationsprogramm.
Beispiele: Dropbox-Forensik, iCloud-Forensik, Daten von Online-Speichern in lokalen Caches, Entschlüsselung von Online-Speicher einschließlich lokaler Backups, Spuren der Nutzung von Clouds auf lokalen Datenträgern, Synchronisierung von Daten auf IT-Geräten mit Hilfe von Online-Speicher, Zugriff auf Cloud-Speicher mit Token aus einem Backup auf dem lokalen Datenträger auch ohne Kennwort, rechtliche Besonderheiten des Zugriffs auf kennwortgeschützte Online-Speicher, die sich z.B. in anderen Jurisdiktionen befinden können
Cloud-Speicher
Der Cloud-speicher ist ein Datenspeicher im Cloud-Computing. Dieser speicher ist nicht lokal auf einem eingebauten Datenträger des eigenen Computers. Dies ist ein Dienst im Netzwerk (extern im Internet). Datenschutzkonforme Lösungen speichern die Daten im internen Rechenzentrum eines Unternehmens und wird gerne als "OwnCloud" bezeichnet.
Beispiele: Dropbox, Amazon Cloud Drive, AWS, iCloud, Microsoft 365
Cluster (Datenträger)
Ein Cluster ist eine Zuordnungseinheit des Datenträgers bzw ein Block eines Dateisystems. Die logische Zusammenfassung von Sektoren eines Datenträgers hat technischen Einfluss auf die Arbeitsweise des Datenträgers bzw. des Betriebssystems.
Computerbetrug
Diese form der Computerkriminalität nach Par. 263a StGB strafbar. Hier versucht ein Täter durch Manipulation eines Datenverarbeitungsvorgangs sich einen wirtschaftlichen Vorteil zu verschaffen.
Beispiel: Veranlassung von Überweisungen, Manipulation eines Geldautomaten
Computerkriminalität
Bei dieser Form der Kriminalität sind IT-Systeme (Computer, EDV, Informations- und Kommunikationstechnologie, Internet) wesentlich für die Tatausführung. Diese IT Systeme werden dazu ausgenutzt (Werkzeug, Tatmittel) oder man richtet einen Angriff gegen diese EVD (Ziel einer Tat). Das sind strafbare Handlungen bei der Computer in Verbindung mit der Straftat stehen.
Beispiele: Cybercrime, IT-Sabotage, Hacking, Ausspähen von Daten, Abfangen von Daten und zugehörige Vorbereitung, Computerbetrug, Fälschung beweiserheblicher Daten, Täuschung im Rechtsverkehr bei Datenverarbeitung, Datenveränderung, Computersabotage
Cookie
Ein Cookie ist Textdatei, die beim Besuch einer Internetseite erzeugt und auf dem Computer des Nutzers der Webseite zwischengespeichert wird. Beim erneuten Besuch der Webseite übermittelt der Webbrowser den zuvor empfangenen Cookie wieder zurück an den Webserver. Der Webserver kann diese Informationen dann auswerten. So können Werbeeinblendungen und Personalisierungen gesteuert werden. Dies dient auch zum Nutzertracking oder zur Erleichterung der Navigation.
Beispiele: Webbrowser-Cookies, Flash-Cookies (LSOs), cookies.sqlite (bei Firefox)
Cookie-Forensik
Teilgebiet der IT-Forensik und der Browserforensik sowie der Adobe-Flash-Player-Forensik, das sich mit den Besonderheiten von Webbrowser-Cookies bzw. Flash-Cookies befasst
Fachbegriffe aus der IT Forensik - D...
Dateicontainer
Häufig spricht man von einem Container. Diese Behälter werden für Daten verwendet und beinhalten andere Daten (Ordner, Dateien, ...). Beispiele:
- Packprogramme (RAR Pakete, 7zip, Zip-Container),
- Verschlüsselte Container (TrueCrypt-Container)
- E-Mail-Container (PST, OST, ESEDB, Lotus Notes .nsf)
- Office XML-Dokument (.docx, .xlsx)
- selbst entpackendes Archiv (zip self-inflatable archive)
Dateisystem
Das Dateisystem wird auch als Volume bezeichnet bzw. als Volume Einheit bezeichnet. Das Deisystem organisiert für das Betriebssystem die Eigenschaften und Inhalte von Dateien sowie den Zugriff auf diese Dateien. Hier spricht man auch von: NTFS-Forensik, FAT32-Forensik, exFAT-Forensik, ext4-Forensik, HFS+-Forensik
Dateisystemforensik
Hier befasst sich die IT-Forensik mit den Besonderheiten von Dateisystemen. Beispiele:
- Ordner, Papierkorb,
- Lost+Found, inodes,
- Alternate Data Stream (ADS),
- Gelöschte Dateien, Dateisystemjournal,
- verschiedene Zeitstempel zu Dateien, Größe von Dateien,
- Dateisystem-Schlupfspeicher,
- Arten von Dateisystem (z.B. Swap)
Dateizuordnungstabelle
Die Dateizuordnungstabelle bzw. Dateikatalog wird als File Allocation Table (FAT) bezeichnet. Es ist ein wichtiger Bestandteil des Dateisystems, denn es ist ein tabellarisches "Inhaltsverzeichnis" eines Datenträgers. In diesen Verzeichnis sind alle Angaben zu Dateiteilen auf einem Dateisystem aufgeführt. Beispiele: FAT, FAT16, FAT32, exFAT, NTFS
Datenausspähung
Bei der Datenausspähung ist das Ausspähen von Daten (z.b. Passwörter, Usernamen, Bankdaten, PIn, TAN, ...) gemeint.
Datenbank
Spezielle Datei mit formal explizit strukturierten Daten. Bei SQL-Datenbanken existieren Tabellen, Zugriffsrechte, Benutzer, Transaktionsdaten und andere wichtige Informationen. Forensische tätigkeiten werden hier auch mit folgenden Begriffen in Verbindung gebracht: MSSQL-Forensik, SQLite-Forensik, ESEDB-Forensik, Oracle-Forensik, Postgres-Forensik
Datenbankforensik
Hier befasst sich die IT-Forensik mit den Besonderheiten von Datenbanken. Hier müssen in einem Forensikfall eventuell folgende Tätgikeiten durchgeführt werden:
- Interpretation der Bedeutung von Feldern in Anwendungs-Datenbanken,
- SQL-Abfragen,
- gelöschte Einträge in Datenbanken,
- Carving in Datenbanken
Datenexfiltration
Hier geht es um die Exfiltration (vertraulicher Daten). Diese Angriffsart dient dazu vertrauliche Daten aus einem Unternehmen herauszuschleusen. Dadurch können Mitbewerber Einblick in Internas erhalten und sich so einen Wettbewerbsvorteil verschaffen. Meist abgefischte Dokumente und Informationen sind: Kundenstämme, Kalkulationen, Preislisten, Konstruktionspläne, Lieferantendaten.
Datenträgerforensik
Hier untersucht die IT-Forensik den Inhalt von Datenträgern und berücksichtig dabei deren Besonderheiten. Damit verbundene Tätigkeiten:
- Festplattenforensik,
- SSD-Forensik,
- Magnetbandforensik,
- Speicherkartenforensik,
- Sicherungsmedien-Forensik,
- RAM-Baustein-Forensik,
- CD-/DVD-Forensik
Datenverschleierung
Hier versucht ein Angreifer Datenspuren so zu verändern, dass sie anders erscheinen als sie tatsächlich sind. Diese Angriffsart der Antiforensik hat das Ziel Verwirrung zu erzeugen und die Rückverfolgbarkeit zu erschweren oder gar unmöglich zu machen. Beispiele solcher Handlungen:
- Nutzung von Anonymisierungsdiensten,
- Angriff von IT-Systemen Dritter aus oder unter Nutzung von Zugangsdaten Dritter,
- Unterschieben von Datenspuren (Falschbelastung);
- Umbenennung von Dateien;
- Verstecken von Dateien in anderen;
- Steganographie (in File Methoden)
Digitale Forensik
Die IT-Forensik wird auch als Digitalforensik bzw. Digitale Forensik bezeichnet.
Dual Use Software
Software die zwei unterschiedlichen Zwecken dienen kann, wird als "dual use" bezeichnet. Systeme die einem Dual Use eingestuft werden, können für zivile oder militärische Zwecke verwendet werden. Der Export solcher Systeme ist üblicherweise restriktiv geregelt und erfordert häufig eine Exportgenehmigung.
Im IT Sicherheitsbereich bezeichnet man gerne Software als Dual Use Software, wenn sie sowohl legitim zur Überprüfung und Erhöhung der IT-Sicherheit als auch zu Straftaten verwendet werden kann. Was der Robustheit von IT-Systemen gut tut, kann aber ein Hacker für unzulässige Angriffe gegen IT-Systeme einsetzen. Nach Par. 202c StGB, Satz 2 ("Hacker-Paragraph") idst der Mißbrauch solcher Software strafbar.
Beispiel: Hacker programmieren Software zum ausnützen von IT-Sicherheitslücken und bieten diese zum Kauf an (siehe Darknet Hackerforen)
DVD-Forensik
Teilgebiet der IT-Forensik und (siehe) Datenträgerforensik, das sich mit den Besonderheiten von Daten auf DVDs befasst.
Fachbegriffe aus der IT Forensik - E...
Edge-Forensik
Diese IT Forensik wird auch als Spartan-Forensik bezeichnet, da diese Webbrowser Forensik sich mit den Besonderheiten des Webbrowser Edge (Spartan) befasst.
Edge-Webbrowser
Der Spartan-Webbrowser ist eine Software von Microsoft namens Edge (Projekt Codename: Spartan). Es dient zum Aufruf von Webseiten. Dieser Webbrowser soll den Internet Explorer ersetzen.
Exhaustionsmethode
Die Exhaustationsmethode ist eine Form des Brute Force Angriffs und soll das Zielsystem durch Überforderung gefügig machen.
Fachbegriffe aus der IT Forensik - F...
Fälschung beweiserheblicher Daten
Diese Form der digitalen Urkundenfälschung ist nach Par. 269 StGB strafbar. Hier versucht ein Täter "zur Täuschung im Rechtsverkehr beweiserhebliche Daten so zu speichern oder verändern, daß bei ihrer Wahrnehmung eine unechte oder verfälschte Urkunde vorliegt." Mit Hilfe solcher verfälscher Daten können weitere Straftaten durchgeführt oder gar erst ermöglicht werden. Beispiel: Manipulation bzw. Fälschung von Zeitstempeln zu Dateien
Festplattenforensik
Hier beschäftigit sich die Datenträgerforensik mit den Besonderheiten von Festplatten. Beispiele: Festplatten-Firmware, Host Protected Area (HPA), Device Configuration Overlay (DCO), mechanische oder elektronische Beschädigung von Festplatten, physische Datenrettung
Firefox-Forensik
Hier untersucht die IT-Forensik bzw. Webbrowser-Forensik Informationen unter Berücksichtigung der Besonderheiten des Webbrowsers Firefox. Beispiel: SQLite-Forensik der Firefox-Datenbanken
Forensic Data Mining
IT-forensische Methode zur Analyse von formal expliziten Massendaten. Hier geht es um relevante datenbank-ähnliche Daten. Hier werden in großen Datenmengen nach Auffälligkeiten gesucht. Beispiele: Red Flag-Analysen, Bilanzfälschung, Manipulation von Abrechnungen und Logfiles.
Forensic Imaging
Hier erstellt der IT-Forensik Experte forensische bitidentische Abbilder von Datenträgern (Englisch: Image).
Forensische Videoanalyse
Die Videoforensik (Englischer Fachbegriff: Forensic Video Analysis, FVA) berücksichtigt die Besonderheiten der IT-Forensik von Videodaten. Beispiel: Analyse von Überwachungsvideos (CCTVs)