Geheimnisverrat, Bestechung, Compliance-Verstöße – Handlungen wie diese bereiten Unternehmen große Probleme. Ab wann sollte und ab wann müsste gegen die eigenen Mitarbeiter ermittelt werden? Und aufgrund welcher Rechtsgrundlage? Weiterlesen →
Im Unternehmensumfeld sind externe Verbindungen zu Servern üblich und werden vielfältig genutzt. In diesem Beispiel werden wir einmal näher darauf eingehen, wie solche mittels des Werkzeugkastens PuTTY bedienerfreundlich und komfortabel aufgebaut und wie unberechtigte Zugriffe clientseitig erkannt werden können. Dafür wird aufgezeigt, welche forensischen Artefakte am Beispiel der Registry ausgelesen werden können, um Aufschluss über entsprechende Sessions zu erhalten. Weiterlesen →
Homeoffice ist mit der COVID-19-Pandemie zur „neuen Normalität“ geworden. Wie Unternehmen insbesondere den technischen und organisatorischen Herausforderungen begegneten und wie sich die technologischen Bedürfnisse mit diesem Wechsel veränderten, wird in diesem Artikel erläutert. Weiterlesen →
Es lässt sich auf eine einfache Formel herunterbrechen: Mehr IT, mehr IT-Sicherheitsvorfälle. Und sind wir mal ehrlich, die Bereitschaft hieran etwas zu ändern, hält sich in Grenzen. Aber was könnte denn überhaupt getan werden, vorher, nachher oder währenddessen, um Schäden zu minimieren? Weiterlesen →
Windows Softwareupdates sind wichtig! Darüber lässt sich nicht streiten. Doch in einigen Situationen, wie bei einem Datendiebstahl, wird die Aufklärung des Vorfalls deutlich durch diese erschwert. Welche Problematiken einen IT-Forensiker bei der Analyse nach einem Softwareupdate erwarten werden in diesem Artikel beschrieben. Weiterlesen →
IT-forensische Anfragen zu vermuteten Straftaten dürften nur unter bestimmten Bedingungen in Deutschland bearbeitet werden – warum eigentlich? Und warum zeichnen US-amerikanische Filme ein anderes Bild? Weiterlesen →
Aktuell ist die Möglichkeit, Daten aus der Ferne zu sichern, so begehrt wie nie zuvor. Bei der Jagd nach Spuren ermöglicht das Tool Velociraptor, per remote Endgeräte zu überwachen und Daten zu extrahieren. Wir klären auf, was das Tool genau kann und für wen es geeignet ist. Weiterlesen →
Werden Zugriffsrechte missbraucht, um z.B. Dateien und Ordner anderer Kollegen einzusehen, ist dies oft schwer nachweisbar. Mit Hilfe der UsrClass.dat Datei eines Benutzers können dessen Zugriffe auf Ordner nachvollzogen und zeitlich eingeordnet werden. Dieser Artikel ist Teil unserer Reihe Daten verraten. Weiterlesen →
Herauszufinden welche Benutzerkonten auf einem System vorhanden sind, kann für eine IT-forensische Analyse von größter Bedeutung sein. Um Informationen über Benutzerkonten zu erhalten, kann der SAM-Hive der Windows Registry ausgelesen werden. Dieser Artikel ist Teil unserer Reihe „Daten verraten“. Weiterlesen →
Windows Systeme speichern Netzwerkverbindungen mittels derer Geodaten bestimmt werden können. Dies kann hilfreich sein, wenn sich beispielsweise ein PC nachweislich in der Nähe eines Tatortes befunden hat. Wir verraten wie dies funktioniert. Dieser Artikel ist Teil unserer Reihe „Daten verraten“. Weiterlesen →
Das Nutzen unsicherer Netzwerke kann einen Compliance-Verstoß darstellen und das firmeninterne Netzwerk gefährden. IT-Forensiker können alle jemals verbundenen Netzwerke eines Windows-Systems identifizieren. Dieser Artikel ist Teil unserer Reihe „Daten verraten“. Weiterlesen →
Um eine effiziente IT-forensischen Analyse sicherzustellen, ist es wichtig zu wissen, wie ein System konfiguriert ist. Generell können Konfigurationsdaten wichtige Informationsquellen sein. In diesem Artikel erfahren Sie, wie die Betriebssystemkonfiguration und Programmkonfigurationsdaten ausgelesen werden können. Dieser Artikel ist Teil unserer Reihe „Daten verraten“. Weiterlesen →
Im Falle eines Malware- oder Ransomware-Befalls kann es hilfreich sein zu überprüfen, welche Programme von einem bestimmten System ausgeführt wurden. Dadurch kann zum Beispiel bestimmt werden, ob die Schadsoftware vom zu untersuchenden Rechner aus agiert. Hierfür kann die NTUSER.DAT eines Benutzers analysiert werden. Dieser Artikel ist Teil unserer Reihe „Daten verraten“. Weiterlesen →
Ob es sich um einen Hackerangriff, Datendiebstahl oder auch um rechtswidrige Downloads handelt, eines haben alle IT-Sicherheitsvorfälle gemeinsam: Versuchen Sie nicht eigene Untersuchungen anzustellen. Dieses Vorgehen kann im schlimmsten Fall zur vollständigen Vernichtung sämtlicher verwertbaren Spuren führen. Hier erfahren Sie, wie Sie im Ernstfall vorgehen und was Sie besser nicht tun sollten. Weiterlesen →
Im Mai 2016 starteten wir mit der Integration der Themen IT-Forensik und Incident Response. Es ist an der Zeit einmal Revue passieren zu lassen, was sich seitdem getan hat. Insbesondere bei der Verweildauer von Angreifern auf Zielsystemen wurden große Zeitspannen festgestellt. Weiterlesen →
Die Anzahl und die Vielfalt von Angriffen auf IT-Infrastrukturen nehmen weiterhin signifikant zu. Unternehmen müssen sich den damit einhergehenden Herausforderungen stellen. Cyber Threat Intelligence kann bei dieser Problematik helfen. Weiterlesen →
Die Analyse des Arbeitsspeichers ist die beste Methode, um schädliche Software und die jüngsten Aktivitäten von Benutzern und Angreifern auf einem System zu identifizieren. Im Arbeitsspeicher können Beweise gesichert werden, welche nirgendwo sonst gespeichert sind. Jedoch kann der Arbeitsspeicher nur forensisch gesichert und ausgewertet werden, wenn das System seit dem Vorfall nicht heruntergefahren wurde, da es sich um flüchtigen Speicher handelt. Daher: Stop Pulling the Plug. Weiterlesen →
Crypto-Miner sind auf dem Vormarsch. Die Schadsoftware verbreitet sich meist über verseuchte Internetseiten. Schlimmstenfalls genügt der Besuch einer solchen Seite und schon wird dem arglosen Benutzer Rechenleistung abgezweigt, um digitale Währungen zu generieren. Weiterlesen →
Sobald eine Ransomware (auch Verschlüsselungstrojaner genannt) Ihren Computer infiziert hat, werden bestimmte Informationen auf einzelnen Systemen oder sogar in einem gesamten Netzwerk verschlüsselt – zum Teil auch gelöscht. Dieser Artikel beschäftigt sich mit den Schutzmaßnahmen, um die Verbreitung und die damit verbundenen Folgen zu verhindern. Weiterlesen →
Das Smartphone ist ein zentraler Alltagsgegenstand auf dem große Datenmengen gespeichert werden und sogar ganze Arbeitsprozesse eines Unternehmens abgewickelt werden können. Da liegt es nahe, dass das Smartphone immer mehr in den Fokus gerät – als Ziel von digitalen Angriffen oder als Mittel zur Umsetzung digitaler Angriffe. Wir erläutern die mögliche Beteiligung eines Smartphones bei digitalen Vorfällen sowie die Vorgehensweise bei der Smartphone Forensik. Weiterlesen →