Workshop und Schulungen

[Gerichtsverwertbare] IT-Forensik

Zielgruppe

In diesem 4-Tagesworkshop für Strafverfolgungsbehörden, Sicherheitsverantwortliche und CERT-Mitarbeiter wird dargelegt, wie strafbare Handlungen im Bereich der Computer- & Telko-Kriminalität nachgewiesen und aufgeklärt werden können. Der Fokus liegt dabei auf den Themen Incident-Response, Fraud-Management und den Möglichkeiten von umfassenen gerichtsverwertbaren IuK-Forensischen Analysen.


Voraussetzungen

Die Teilnehmer sollten über detaillierte Kenntnisse in den Bereichen Netzwerktechnologien und Betriebssysteme (Fokus Microsoft Windows) verfügen.
Hinweis: Zur Erlangung von Grundlagen wird ein Schulungsseminar angeboten, um notwendige Kenntnisse zu Netzwerktechnologien sowie Betriebssystemen (Apple & Windows) angeboten. Bei Fragen nehmen Sie einfach Kontakt mit uns auf.



Kursziele

Neben der Vermittlung von theoretischem Grundlagen-Wissen (z.B. IuK-Forensik Methodologie, Gerichtverwertbarkeit / Einbeziehung der Behörden etc.) wird das Seminar v.a. durch viele Beispiele aus der Praxis und Hands-On übungen (z.B. Einführung in ein Forensik-Toolkit) aufgelockert. Ein Forensik-Contest (Analyse eines anonymisierten echten Falls) fasst die Seminarinhalte zusammen und bildet somit die Basis für die Prüfung.

Das Seminar wird abgerundet von einer rechtlichen Betrachtung der IT-Forensik. Dem Teilnehmer wird vermittelt, welche rechtlichen Anforderungen an die Beweisführung in den verschiedenen Rechtsgebieten zu stellen sind und wo Verwertungsverbote drohen können. Anhand der rechtlichen Anforderungen wird mit den Teilnehmern eine Methodik für strukturelle Untersuchungen erarbeitet. Der Teilnehmer erhält Handlungsempfehlungen für den Umgang mit Ermittlungsbehörden und umgekehrt sowohl für die Rechtsverfolgung als auch für die Rechtsverteidigung.

Nach Abschluss des Seminars werden die Teilnehmer in der Lage sein, Beweise im Bereich der IuK-Forensik "gerichtsfest" zu sichern, zu protokollieren und teilweise auch selbst auszuwerten.

Jeder Teilnehmer erhält eine kursbegleitende Schulungsunterlage (verwendete Folien, Beispielformulare, zusätzliche Informationen und Dokumente). Viele Praxisbeispiele runden den umfangreichen Seminarinhalt ab.



Schulungsinhalt

 

1. Tag

Theoretische Grundlagen für IT-Forensik

  • Einleitung und Beispiele aus der Praxis
  • Verschiedene Arten von IT-Forensik
    1. - Live Response Analyse
      - Post Mortem Analyse
      - E-Discovery
      - SIEM/Logfileauswertung
      - Analyse eines Phishing Angriffs
      - Honeypots
      - Malware Analyse
      - EMail Header
      - Mobile Geräte
  • CERT - Unternehmensinterne IT Forensiker
    1. - Mögliche/übliche Aufgaben
      - Klassische Prozesse
      - Vorabreiten die im Ernstfall helfen
      - Equipment
      - Reportvorlagen
      - Regelmä├čiges Reporting
      - Erkennung von Incidents
  • Vorgehensweise bei forensischen Analysen
    1. - Aufnahme der IST Situation
      - Definition der Zielsetzung bzw. zu klärenden Fragen
      - Auswahl geeigneter Beweisobjekte
      - Beweissicherung
      - Durchführung der forensischen Analyse
      - Dokumentation der Ergebnisse und Erstellung eines Berichts
  • Mögliche Beweisobjekte
    1. - Festplatten von Servern und Clients
      - Virtuelle Maschinen
      - Embedded Devices (Smartphones)
      - PST Files (Exchange Export)
      - Dokumente und EMail
      - Datei Export aus Netzlaufwerken
      - Backups
      - Logdateien
      - SIEM System
      - CloudSpeicher
      - Korrelierte Beweisobjekte
  • KnowHow Bausteine
    1. - überblick über die Ordnerstruktur von Windows
      - überblick über die Struktur der Windows Registry
      - überblick über die Ordnerstruktur von Linux
      - Einführung in die RAM Analyse
      - Einführung in Datenspeicher und Dateisysteme
  • Wie funktionieren Festplatten
  • Spezialfall SSD
  • EMAIL und IP
  • USB Sticks
  • Master File Table
  • SlackSpace
  • FreeSpace
  • Alternate Data Streams
  • Gelöschte Dateien
  • Einführung in die Analyse von Logfiles
  • Windows Eventlogs
  • Generelles Syslog
  • W3C Logs
  • Firewall Logs
  • AV Logs
  • Weitere Logs
    1. - Wiederherstellung gelöschter Files
      - Durchsuchen des Inhalts von Beweisobjekten
      - Analyse der Internetnutzung
      - Providerdaten
  • Browser History
  • Cookies
  • Browser Cache
  • Bookmarks
  • DNS CacheAnalyse
    1. -Analyse von Dokumenten
  • Versionierung von Dokumenten
  • Metainformationen

2. Tag

IT-Forensik und Praktische übungen

  • Vorstellung einiger hilfreicher Tools
    1. - Access Data FTK Imager
      - IS-Fox Live Response Toolkit
      - Access Data Forensic Tool Kit
      - X-Ways Forensics
      - Get Data Back
      - Log2timeline
      - LogParser
      - Volatility
      - Cuckoo Box
      - Splunk
      - SIFT Workstation
      - Hardware Duplizierer - CAINE
      - EnCase (Nur überblick)
      - Computer Online Forensic Evidence Extractor
      - EDB Viewer
      - Mail Viewer
      - MBOX Viewer
      - ChainBreaker
      - Dumpzilla from Busindre
      - Chrome Session Parser
      - IEPassView and OperaPassView
  • Planung und Start von forensischen Analysen
    1. - Erläuterung von Beispielfällen
      - Planung der Vorgehensweise
      - Ermittlung der benötigten Beweisstücke
      - Ermittlung welche weiteren Informationen benötigt werden
      - Formulierung klarer Fragestellungen
  • Advanced Persistent Threats (APT)
    1. - Einführung in APT
      - Erkennung von APT
      - Analyse von APT
      - Ansätze zur Remediation

 

3. Tag

Einführung in ausgewählte Analysemethoden

  • Lösung verschiedenener kleiner Fälle/Aufgaben mit
    1. - Konkreter Fragestellung
      - Passenden Beweisobjekten
      - Aufbereitung der Ergebnisse
  • Beispiele für mögliche Fälle/Aufgaben
    1. - Forensisches Image von USB Stick erstellen
      - Live Response erstellen und auswerten
      - Volltextsuche in einem Image
      - Rekonstruktion von Ereignissen zum Zeitpunkt x durch Logfileanalyse
      - Auswertung einer Windows Registry
      - Analyse eines Phishing Angriffs
      - Basis Malware Analyse
      - EMAil Header Analyse
      - Analyse eines Benutzerprofils
      - Analyse Apple HW (Grundlagen)
      - Analyse eines iPhones
      - Prüfungsvorbereitung und 1. Teil- Prüfung (Optional)

4. Tag

Rechtsfragen in der IT-Forensik

  • Aufgaben und Exponierung des ITVerantwortlichen
  • Organisationsverpflichtung: Beweissicherungskonzept
  • Gerichtliche Beweisführung
    1. - Zivilrecht
      - Strafrecht
      - Arbeitsrecht
      - Folgerungen für die IT-Forensic
  • Rechtliche Aspekte der digitalen Beweissicherung
  • Methodik struktureller Untersuchungen
    1. - Externe Angriffe
      - Interne Angriffe
      - Internationale Komponente
      - Datenschutz
  • Umgang mit Behörden und Dienstleistern
    1. - Strafanzeige
      - Akteneinsicht
      - Durchsuchungen
      - Beschlagnahmungen
  • Prüfungsvorbereitung und 2. Teil- Prüfung (Optional)
SHOP BIS 01.11. OFFLINE