Autor: Adrian Klick-Strehl

Adrian Klick-Strehl ist Consultant für IT-Forensik und IT-Sicherheit und studiert berufsbegleitend Informatik an der FernUniversität in Hagen. Zuvor war er langjährig im öffentlichen Dienst tätig, u.a. beim LKA Hamburg im Bereich Netzwerkforensik. Seine Faszination für Informatik und Technik kann er als Berater weiter ausleben und vertiefen.

Alle Artikel von Adrian Klick-Strehl

Microsoft Office Cloud: IT-Sicherheit ist ein Lizenzproblem

2. März 2020| Noch kein Kommentar | von Adrian Klick-Strehl

Eine Migration in die Microsoft Office Cloud spart administrativen Aufwand und hat viele weitere Vorteile, die Microsoft nicht müde wird weitlaufend kund zu tun. Ein Cloud-Betrieb bringt jedoch neue Risiken sowie eine notwendige neue Planung der IT-Sicherheit mit sich, welche ich im Folgend kurz anreißen möchte.

Weiterlesen →

Aus unserer Praxis: Häufige IT-Forensik-Fälle 2019

3. Februar 2020| Noch kein Kommentar | von Adrian Klick-Strehl

Im Jahr 2019 sind wieder zahlreiche Sicherheitslücken und IT-Bedrohungen in den Medien diskutiert worden. Dass diese nicht bloß von theoretischer Natur sind, können wir aus unserer Berufspraxis bestätigen. Ein paar Szenarien, die das letzte Jahr bei uns häufig vorgekommen sind, möchte ich im Folgenden kurz vorstellen. Weiterlesen →

Daten verraten: Detaillierte Informationen zu Ordnerzugriffen

20. September 2019| Noch kein Kommentar | von Adrian Klick-Strehl

Werden Zugriffsrechte missbraucht, um z.B. Dateien und Ordner anderer Kollegen einzusehen, ist dies oft schwer nachweisbar. Mit Hilfe der UsrClass.dat Datei eines Benutzers können dessen Zugriffe auf Ordner nachvollzogen und zeitlich eingeordnet werden. Dieser Artikel ist Teil unserer Reihe Daten verraten. Weiterlesen →

Daten verraten: Dienste und Aufgaben auswerten

2. August 2019| 2 Kommentare | von Adrian Klick-Strehl

Das Windows Betriebssystem verwendet Dienste, um permanente Funktionen für den Betrieb bereitzustellen. Regelmäßige Aufgaben können über die Aufgabenplanung initiiert werden. Schadsoftware nutzt solche Funktionalitäten, um sich damit dauerhaft im System festzusetzten. Dieser Artikel ist Teil unserer Reihe „Daten verraten“. Weiterlesen →

Daten verraten: USB-Laufwerksnutzung am System

26. Juli 2019| 1 Kommentar | von Adrian Klick-Strehl

Windows speichert alle angeschlossenen USB-Geräte in der Registry. Mit diesen Spuren lässt sich die Nutzung von USB-Sticks oder anderen externen Datenträgern nachvollziehen, um z.B. einen Datenabfluss aufzuklären. Dieser Artikel ist Teil unserer Reihe „Daten verraten“. Weiterlesen →

Daten verraten: Wurden USB-Geräte vom Benutzer verwendet?

21. Juni 2019| Noch kein Kommentar | von Adrian Klick-Strehl

Ein Datendiebstahl wird häufig mittels externer Speichermedien durchgeführt. Eine IT-forensische Untersuchung kann solche Vorfälle aufklären, da analysiert werden kann, ob und welche USB-Geräte angeschlossen wurden. Ein Blick in die NTUSER.DAT gibt Aufschluss darüber, welche Geräte vom Benutzer verwendet wurden. Dieser Artikel ist Teil unserer Reihe „Daten verraten“. Weiterlesen →

Daten verraten: Welche Dateien wurden geöffnet?

14. Juni 2019| 7 Kommentare | von Adrian Klick-Strehl

Liegt ein Arbeitszeitbetrug vor, gilt es nachzuweisen, dass ein Benutzer sich mit betriebsfremden Themen, wie z.B. einem Bewerbungsschreiben beschäftigt hat. Die NTUSER.DAT als Teil der Windows Registry protokolliert verschiedene Aktionen eines Benutzers und lässt sich gut für eine IT-forensische Analyse heranziehen. Sie verrät welche Daten, z.B. Dokumente oder Multimediadateien, geöffnet wurden und gibt Hinweise darauf, ob sich diese auf einem externen Laufwerk befanden. Dieser Artikel ist Teil unserer Reihe „Daten verraten“. Weiterlesen →

DNS over HTTPS: Eine Kernkomponente des Internets bekommt ein Update

31. Mai 2019| 1 Kommentar | von Adrian Klick-Strehl

Die Kommunikation im Internet läuft in der Regel namensbasiert. Keiner möchte sich eine Reihe von IP-Adressen merken, um seine Lieblingsseiten zu besuchen. Dabei ist die Namensauflösung im aktuellen Domain Name System (DNS) leicht mitzulesen und zu manipulieren. Dies soll sich nun mit DNS over HTTPS (DOH) ändern. Weiterlesen →

Lessons Learned: Was nach einem IT-Angriff zu tun ist

5. April 2019| 1 Kommentar | von Adrian Klick-Strehl

Nach einem erfolgreichen Angriff auf die IT-Infrastruktur steht die Wiederaufnahme des regulären IT-Betriebs an erster Stelle. Wird der genaue Tathergang nicht aufgeklärt, kann der Normalbetrieb jedoch nur von kurzer Dauer sein. Erarbeiten Sie deshalb ihre „Lessons Learned“. Weiterlesen →

Automatisierte Analyse von Schadsoftware

20. Februar 2019| Noch kein Kommentar | von Adrian Klick-Strehl

Bei einem Befall von Schadsoftware stellt sich oft die Frage, was der Ursprung für die Infektion war. Die Analyse von verdächtigen Dateien und Programmen sollte nur in einer gesicherten Umgebung durchgeführt werden. Eine Möglichkeit in kurzer Zeit Dateien auf Schadcode zu überprüfen ist die Cuckoo Sandbox. Weiterlesen →