Ransomware Datenrettung

Fachbegriffe aus der IT Forensik - A...Z

Haben Sie es auch öfters mit Fachbegriffen zu tun, die Sie nicht so recht einordnen können? Dann lesen Sie hier mal weiter ...

 

Hier werden häufig genutzte Fachbegriffe der IT Forensik vorgestellt und ggf. auf Unterseiten weiter ins Detail erläutert:

 

Fachbegriffe aus der IT Forensik - A...

Anlagebetrug

Unter Kapitalanlagebetrug detailiert erläutert, hier zu Anlagebetrug weiter lesen.

 

Anonymisierungsdienst

  • Wer unerkannt im Internet surfen will, macht die eigene IP-Adresse für den Zielserver unsichtbar.
  • Wird auch als Verschleierungsmaßnahme in der Antiforensik verwendet

 

Antiforensik

  • Schlüsselbegriffe: Anti-Forensik, anti-forensics, counter forensics, Behinderung IT-forensischer Maßnahmen
  • Ziel ist es Sicherheitsbehörden zu erschweren den täter zu ermitteln.
  • Wird auch als Angriffsart eingesetzt, um IT-forensische Beweissicherung, Beweisgewinnung oder Auswertung zu verhindern.
  • Ein Angreifer vermeidet, verschleiert, verändert oder zerstört seine Datenspuren
  • In manchen fällen beabsichtigen Angreifer ein anderes Land als Quelle des Angriffs erscheinen zu lassen.
  • Beispiele:
    • Manipulation im Kernels des Betriebssystems,
    • Angriffe auf IT-forensische Werkzeuge,
    • Steganographie,
    • Verschlüsselung,
    • Anonymisierungsdienste,
    • Vermeidung digitaler Spuren

 

Asset relocation

Darunter versteht man die Verschiebung von Vermögenswerten auf Dritte oder ausserhalb des Zugriffs des geschädigten Unternehmens


 

Aufspüren versteckter Vermögenswerte

  • Alternative Bezeichnung: Asset Tracing
  • versteckte Vermögenswerte finden, in die ein Täter seine Beute investiert hat (z.B. Bankkonten, bar-bezahlte Autos, Ferienwohnungen im Ausland)
  • Mögliche Massnahmen:
    • Nachforschungen vor Ort und in amtlichen Archiven (z.B. Grundbuch, ausländische KFZ Zulassung).
    • Durchsuchung von Firmenunterlagen (eDiscovery) kann helfen verdeckte Treuhandverhältnisse oder ins Ausland verlagerte Gelder
  • Ermittlungsprinzip: Identifizieren wie und wo das Geld geflossen ist, sowie die Zusammenhänge seines bisherigen Verhaltens und Gewohnheiten erkennen.

 

Außentäter

  • Ein von außen angreifender Täter.
  • Der Täter gehört nicht zum direkten Umfeld des Unternehmens (Mitarbeiter oder Dienstleister).
  • Meistens werden die IT-Systeme des Unternehmens über das Internet oder eingeschläute Hintertüren (Trojaner, Werbegeschenke, ...) angegriffen.

Beispiel: Hacker, Erpresser, Wirtschaftsspionage

 

Auslagerungsdatei

  • Eine Auslagerungsdatei ist ein digitales Beweisstück, das Inhalte des Hauptspeichers enthält.Aus Platzgründen lagert Ihr Betriebssystem Informationen in eine Datei im Dateisystem aus.

Beispiel:  bei Windows ist dies die "pagefile.sys"

 

Ausspähen von Daten

  • Handlung: Abfangen von Daten
  • Nach § 202a-c StGB ist das Ausspähen von Daten strafbar, wenn der Täter die Daten Dritter unberechtigt erlangt
  • Handlungsweisen dieser Computerkriminalität: ausspähen, abfangen oder entsprechende Handlungen vorbereiten
  • Beispiel:
    • Man in the Middle-Angriff
    • Abfangen von E-Mails und Kennwörtern
    • Ausspähung zum Zwecke der Wirtschaftsspionage

 

 

 

Fachbegriffe aus der IT Forensik - B...

 

Hier finden Sie Begriffe erklärt, von Betriebsforensik bis hin ...

 

Betriebssystemforensik

  • Auswertung der Besonderheiten einzelner Betriebssysteme
  • Beispiele: Windows-Forensik, Mac-Forensik, Unix-Forensik, iOS-Forensik, Android Forensik

 

Beweissicherung

  • Die IT forensische Beweissicherung dient dazu digitale Beweise für die Untersuchung sicherzustellen. Dabei müssen Forensiker auch an Beweise denken, die unmittelbar im Umfeld des betroffenen Systems liegen. Dazu gehören auch Papierunterlagen, Notizettel oder andere Objekte.
  • Gerne wird auch die Beweissicherung als Imaging bezeichnet.

 

Bildforensik

  • Dies ist die IT-forensische Untersuchung von Bildern und stellt eine Bildverarbeitung dar.

 

Bitlocker

  • Verfahren zur Verschlüsselung von Daten auf einem Windows Betriebssystem
  • Beispiele: Wiederherstellungsschlüssel (Recovery Key)

 

Block eines Dateisystems

  • Dies wird gerne als Cluster im Dateisystem bezeichnet.
  • Es ist die kleineste Einheit, die eine Festplatte löschen kann.

 

Browser-Hijacking

  • Hier nutzt ein Angreifer Sicherheitslücken eines Webbrowsers aus.
  • Ziel ist es dessen Einstellungen ohne Zustimmung des Nutzers nachteilig zu verändern.
  • Beispiele:
    • Eintragen eines Zwangsproxies,
    • Ersetzen der Standard-Suchmaschine
    • Aufruf bestimmter Webseiten, um
      • Schadcode zu installieren
      • durch erzwungene Aufrufe Werbeeinnahmen für den Angreifer zu erzielen
      • Installation eines Keyloggers

 

Browserforensik

  • Forensische Untersuchung von Attaken auf Browsern und deren sicherheitsrelevanten Besonderheiten
  • Beispiele:
    • Firefox-Forensik,
    • Edge-Forensik (Spartan),
    • Internet Explorer-Forensik,
    • Chrome-Forensik,
    • Opera-Forensik,
    • Browserverlaufsforensik,
    • Browserformularforensik,
    • Cookie-Forensik

       

Browserverlaufsforensik

  • Englische Bezeichnung: browser history forensics
  • Analyse der Nutzung eines Webbrowsers durch einen Nutzer im zeitlichen Verlauf befasst (Nutzungsverlauf, Besuchsverlauf). Siehe

    "places.sqlite"

 

 

Brute-Force-Angriff

  • Methode um Sicherheitsmechanismen eines Systems durch intensive Anmeldeversuche zu überwinden
  • In einigen Fällen kann man durch die Exhaustionsmethode zwar das Passwort nicht erkennen jedoch das System dazu bringen auch ohne Zugangsdaten ins System zu gelangen.
  • Angriffsart eines Täters, der in Unternehmen oder systeme unerlaubt eindringen will.
  • Diese Methode des Passwort-Cracking erlaubt auch Forensiker digitale Beweise auch gegen den Willen von Straftätern sicher zu stellen.
  • Methodik: Tausende unbekannter Passwörter (systematisch) werden automatischert durchprobiert, um ein passendes Kennwort zu finden.
  • Einsatzgebiet: Zugang zu smartphones, Handy, Computer, Server oder andere zugangsgeschützte Systeme.
  • Beispiele:
    • PIN Brute force for Android,
    • iPhone Brutforce PIN and Pattern decoding
    • TrueCrypt-Bruteforcing
    • Windows Server Domain Controller Admin Hacking
    • ssh-Bruteforcing

 

 

 

Fachbegriffe aus der IT Forensik - C...

 

Chat-Forensik

Untersuchung von Datenspuren zur Kommunikation in Chats:

  • Teilnehmer eines Chats, genutzte Chaträume (chat rooms),
  • ausgetauschte Nachrichten und Daten (z.B. Fotos) (in Chaträumen oder in privater Unterhaltung ausgetauscht)
  • zeitlicher Verlauf.

Beispiele: ICQ-Forensik, Messenger-Forensik, Forensik von Chat-Servern und -Clients, Chat-Kontaktdaten, Chat-Teilnehmer, Chat-Log (Chat-Mitschnitt), Chat-Cache, Chat-Datenbank

 

Chrome-Forensik

Untersuchung der Veränderungen an dem Google chrome Webbrowser.

 

Clickjacking

Ein Angreifer manipuliert eine Webseite durch Überlagerung so, daß ein Besucher eine Tastatureingabe für eine Anmeldung macht. Tatsächlich wird mit Benutzerrechten eine andere Aktion ausgeführt als die angezeigte (vorgegaukelte) Handlung. Die Überlagerung kann z.B. mit transparenten Objekten erfolgen. So kann ein Hacker erreichen, dass der Nutzer beliebige Aktionen ausführt.

Beispiele: Bestellung kostenpflichtiger Abonnements, Tätigen von Überweisungen, Herabsetzen der Sicherheitseinstellungen des IT-Gerätes, Übermittlung persönlicher Informationen wie etwa Anmeldedaten an den Angreifer

 

Cloud-Forensik

Dieser Bereich der IT Forensik untersucht Daten in Online-Speicher Cloud Systemen. Hier werden Besonderheiten von Cloud-Speichern bzw. der Speicherung von Daten online berücksichtigt. Auf einem lokalen Datenträger befindet sich meist nur eine Verknüpfung, Verbindungsdaten oder ein Synchronisationsprogramm.

Beispiele: Dropbox-Forensik, iCloud-Forensik, Daten von Online-Speichern in lokalen Caches, Entschlüsselung von Online-Speicher einschließlich lokaler Backups, Spuren der Nutzung von Clouds auf lokalen Datenträgern, Synchronisierung von Daten auf IT-Geräten mit Hilfe von Online-Speicher, Zugriff auf Cloud-Speicher mit Token aus einem Backup auf dem lokalen Datenträger auch ohne Kennwort, rechtliche Besonderheiten des Zugriffs auf kennwortgeschützte Online-Speicher, die sich z.B. in anderen Jurisdiktionen befinden können

 

Cloud-Speicher

Der Cloud-speicher ist ein Datenspeicher im Cloud-Computing. Dieser speicher ist nicht lokal auf einem eingebauten Datenträger des eigenen Computers. Dies ist ein Dienst im Netzwerk (extern im Internet). Datenschutzkonforme Lösungen speichern die Daten im internen Rechenzentrum eines Unternehmens und wird gerne als "OwnCloud" bezeichnet.
Beispiele: Dropbox, Amazon Cloud Drive, AWS, iCloud, Microsoft 365

 

Cluster (Datenträger)

Ein Cluster ist eine Zuordnungseinheit des Datenträgers bzw ein Block eines Dateisystems. Die logische Zusammenfassung von Sektoren eines Datenträgers hat technischen Einfluss auf die Arbeitsweise des Datenträgers bzw. des Betriebssystems.

 

Computerbetrug

Diese form der Computerkriminalität nach Par. 263a StGB strafbar. Hier versucht ein Täter durch Manipulation eines Datenverarbeitungsvorgangs sich einen wirtschaftlichen Vorteil zu verschaffen.

Beispiel: Veranlassung von Überweisungen, Manipulation eines Geldautomaten

 

Computerkriminalität

Bei dieser Form der Kriminalität sind IT-Systeme (Computer, EDV, Informations- und Kommunikationstechnologie, Internet) wesentlich für die Tatausführung. Diese IT Systeme werden dazu ausgenutzt (Werkzeug, Tatmittel) oder man richtet einen Angriff gegen diese EVD (Ziel einer Tat). Das sind strafbare Handlungen bei der Computer in Verbindung mit der Straftat stehen.

Beispiele: Cybercrime, IT-Sabotage, Hacking, Ausspähen von Daten, Abfangen von Daten und zugehörige Vorbereitung, Computerbetrug, Fälschung beweiserheblicher Daten, Täuschung im Rechtsverkehr bei Datenverarbeitung, Datenveränderung, Computersabotage

 

Cookie

Ein Cookie ist Textdatei, die beim Besuch einer Internetseite erzeugt und auf dem Computer des Nutzers der Webseite zwischengespeichert wird. Beim erneuten Besuch der Webseite übermittelt der Webbrowser den zuvor empfangenen Cookie wieder zurück an den Webserver. Der Webserver kann diese Informationen dann auswerten. So können Werbeeinblendungen und Personalisierungen gesteuert werden. Dies dient auch zum Nutzertracking oder zur Erleichterung der Navigation.

Beispiele: Webbrowser-Cookies, Flash-Cookies (LSOs), cookies.sqlite (bei Firefox)

 

Cookie-Forensik

Teilgebiet der IT-Forensik und der Browserforensik sowie der Adobe-Flash-Player-Forensik, das sich mit den Besonderheiten von Webbrowser-Cookies bzw. Flash-Cookies befasst

 

 

 

Fachbegriffe aus der IT Forensik - D...

 

Dateicontainer

Häufig spricht man von einem Container.  Diese Behälter werden für Daten verwendet und beinhalten andere Daten (Ordner, Dateien, ...). Beispiele:

  • Packprogramme (RAR Pakete, 7zip, Zip-Container),
  • Verschlüsselte Container (TrueCrypt-Container)
  • E-Mail-Container (PST, OST, ESEDB, Lotus Notes .nsf)
  • Office XML-Dokument (.docx, .xlsx)
  • selbst entpackendes Archiv (zip self-inflatable archive)

 

Dateisystem

Das Dateisystem wird auch als Volume bezeichnet bzw. als Volume Einheit bezeichnet. Das Deisystem organisiert für das Betriebssystem die Eigenschaften und Inhalte von Dateien sowie den Zugriff auf diese Dateien. Hier spricht man auch von: NTFS-Forensik, FAT32-Forensik, exFAT-Forensik, ext4-Forensik, HFS+-Forensik

 

Dateisystemforensik

Hier befasst sich die IT-Forensik mit den Besonderheiten von Dateisystemen. Beispiele:

  • Ordner, Papierkorb,
  • Lost+Found, inodes,
  • Alternate Data Stream (ADS),
  • Gelöschte Dateien, Dateisystemjournal,
  • verschiedene Zeitstempel zu Dateien, Größe von Dateien,
  • Dateisystem-Schlupfspeicher,
  • Arten von Dateisystem (z.B. Swap)

 

Dateizuordnungstabelle

Die Dateizuordnungstabelle bzw. Dateikatalog wird als File Allocation Table (FAT) bezeichnet. Es ist ein wichtiger Bestandteil des Dateisystems, denn es ist ein tabellarisches "Inhaltsverzeichnis" eines Datenträgers. In diesen Verzeichnis sind alle Angaben zu Dateiteilen auf einem Dateisystem aufgeführt. Beispiele: FAT, FAT16, FAT32, exFAT, NTFS

 

Datenausspähung

Bei der Datenausspähung ist das Ausspähen von Daten (z.b. Passwörter, Usernamen, Bankdaten, PIn, TAN, ...) gemeint.

 

Datenbank

Spezielle Datei mit formal explizit strukturierten Daten. Bei SQL-Datenbanken existieren Tabellen, Zugriffsrechte, Benutzer, Transaktionsdaten und andere wichtige Informationen. Forensische tätigkeiten werden hier auch mit folgenden Begriffen in Verbindung gebracht: MSSQL-Forensik, SQLite-Forensik, ESEDB-Forensik, Oracle-Forensik, Postgres-Forensik

 

Datenbankforensik

Hier befasst sich die IT-Forensik mit den Besonderheiten von Datenbanken. Hier müssen in einem Forensikfall eventuell folgende Tätgikeiten durchgeführt werden:

  • Interpretation der Bedeutung von Feldern in Anwendungs-Datenbanken,
  • SQL-Abfragen,
  • gelöschte Einträge in Datenbanken,
  • Carving in Datenbanken

 

Datenexfiltration

Hier geht es um die Exfiltration (vertraulicher Daten). Diese Angriffsart dient dazu vertrauliche Daten aus einem Unternehmen herauszuschleusen. Dadurch können Mitbewerber Einblick in Internas erhalten und sich so einen Wettbewerbsvorteil verschaffen. Meist abgefischte Dokumente und Informationen sind: Kundenstämme, Kalkulationen, Preislisten, Konstruktionspläne, Lieferantendaten.

 

Datenträgerforensik

Hier untersucht die IT-Forensik den Inhalt von Datenträgern und berücksichtig dabei deren Besonderheiten. Damit verbundene Tätigkeiten:

  • Festplattenforensik,
  • SSD-Forensik,
  • Magnetbandforensik,
  • Speicherkartenforensik,
  • Sicherungsmedien-Forensik,
  • RAM-Baustein-Forensik,
  • CD-/DVD-Forensik

 

Datenverschleierung

Hier versucht ein Angreifer Datenspuren so zu verändern, dass sie anders erscheinen als sie tatsächlich sind. Diese Angriffsart der Antiforensik hat das Ziel Verwirrung zu erzeugen und die Rückverfolgbarkeit zu erschweren oder gar unmöglich zu machen. Beispiele solcher Handlungen:

  • Nutzung von Anonymisierungsdiensten,
  • Angriff von IT-Systemen Dritter aus oder unter Nutzung von Zugangsdaten Dritter,
  • Unterschieben von Datenspuren (Falschbelastung);
  • Umbenennung von Dateien;
  • Verstecken von Dateien in anderen;
  • Steganographie (in File Methoden)

 

 

Digitale Forensik

Die IT-Forensik wird auch als Digitalforensik bzw. Digitale Forensik bezeichnet.

 

Dual Use Software

Software die zwei unterschiedlichen Zwecken dienen kann, wird als "dual use" bezeichnet. Systeme die einem Dual Use eingestuft werden, können für zivile oder militärische Zwecke verwendet werden. Der Export solcher Systeme ist üblicherweise restriktiv geregelt und erfordert häufig eine Exportgenehmigung.

Im IT Sicherheitsbereich bezeichnet man gerne Software als Dual Use Software, wenn sie sowohl legitim zur Überprüfung und Erhöhung der IT-Sicherheit als auch zu Straftaten verwendet werden kann. Was der Robustheit von IT-Systemen gut tut, kann aber ein Hacker für unzulässige Angriffe gegen IT-Systeme einsetzen. Nach Par. 202c StGB, Satz 2 ("Hacker-Paragraph") idst der Mißbrauch solcher Software strafbar.

Beispiel: Hacker programmieren Software zum ausnützen von IT-Sicherheitslücken und bieten diese zum Kauf an (siehe Darknet Hackerforen)

 

DVD-Forensik

Teilgebiet der IT-Forensik und (siehe) Datenträgerforensik, das sich mit den Besonderheiten von Daten auf DVDs befasst.

 

 

 

 

Fachbegriffe aus der IT Forensik - E...

 

Edge-Forensik

Diese IT Forensik wird auch als Spartan-Forensik bezeichnet, da diese Webbrowser Forensik sich mit den Besonderheiten des Webbrowser Edge (Spartan) befasst.

 

Edge-Webbrowser

Der Spartan-Webbrowser ist eine Software von Microsoft namens Edge (Projekt Codename: Spartan). Es dient zum Aufruf von Webseiten. Dieser Webbrowser soll den Internet Explorer ersetzen.

 

Exhaustionsmethode

Die Exhaustationsmethode ist eine Form des Brute Force Angriffs und soll das Zielsystem durch Überforderung gefügig machen.

 

 

 

 

Fachbegriffe aus der IT Forensik - F...

 

Fälschung beweiserheblicher Daten

Diese Form der digitalen Urkundenfälschung ist nach Par. 269 StGB strafbar. Hier versucht ein Täter "zur Täuschung im Rechtsverkehr beweiserhebliche Daten so zu speichern oder verändern, daß bei ihrer Wahrnehmung eine unechte oder verfälschte Urkunde vorliegt." Mit Hilfe solcher verfälscher Daten können weitere Straftaten durchgeführt oder gar erst ermöglicht werden. Beispiel: Manipulation bzw. Fälschung von Zeitstempeln zu Dateien

 

Festplattenforensik

Hier beschäftigit sich die Datenträgerforensik mit den Besonderheiten von Festplatten. Beispiele: Festplatten-Firmware, Host Protected Area (HPA), Device Configuration Overlay (DCO), mechanische oder elektronische Beschädigung von Festplatten, physische Datenrettung

 

Firefox-Forensik

Hier untersucht die IT-Forensik bzw. Webbrowser-Forensik Informationen unter Berücksichtigung der Besonderheiten des Webbrowsers Firefox. Beispiel: SQLite-Forensik der Firefox-Datenbanken

 

Forensic Data Mining

IT-forensische Methode zur Analyse von formal expliziten Massendaten. Hier geht es um relevante datenbank-ähnliche Daten. Hier werden in großen Datenmengen nach Auffälligkeiten gesucht. Beispiele: Red Flag-Analysen, Bilanzfälschung, Manipulation von Abrechnungen und Logfiles.

 

Forensic Imaging

Hier erstellt der IT-Forensik Experte forensische bitidentische Abbilder von Datenträgern (Englisch: Image).

 

Forensische Videoanalyse

Die Videoforensik (Englischer Fachbegriff: Forensic Video Analysis, FVA) berücksichtigt die Besonderheiten der IT-Forensik von Videodaten. Beispiel: Analyse von Überwachungsvideos (CCTVs)