lehrerbibliothek.deDatenschutzerklärung
Computer-Forensik Computerstraftaten erkennen, ermitteln, aufklären
Computer-Forensik
Computerstraftaten erkennen, ermitteln, aufklären




Alexander Geschonneck

dpunkt.verlag
EAN: 9783898647748 (ISBN: 3-89864-774-9)
374 Seiten, paperback, 16 x 24cm, September, 2011

EUR 42,90
alle Angaben ohne Gewähr

Umschlagtext
entspricht Verlagsinfo
Rezension
Das System ist gehackt, eine Fremder hat Zugriff auf wichtige Daten bekommen, vielleicht wurden Daten manipuliert oder gelöscht ... Da ist meist schnelles Handeln gefragt, um den Schaden in Grenzen zu halten. Und wenn die Sicherheitslücken geschlossen sind, dann will man natürlich schnell herausbekommen, wie das passieren konnte, wer der Übeltäter gewesen ist ...
Die Folge eines solchen schnellen und deshalb oft auch unsystematischen Handelns ist, dass dadurch die Spuren, die der Angreifer im System hinterlassen hat, vernichtet werden, oder für eine spätere juristische Auseinandersetzung nicht mehr verwendet werden können.
Insofern ist es gut, wenn man sich - unabhängig von einem konkreten Angriff - schon im Vorfeld damit auseinandersetzt, wie man nicht nur ein Sicherheitsleck schließt, sondern wie man auch mit den Folgen eines Angriffs so umgeht, dass man den Täter zu Rechenschaft ziehen kann.
Dieses Thema, die "Computer-Forensik" wird vom Autor in allen Aspekten besprochen. Dabei ist dies ein Werk für den Fachmann, - in der Schule für den Systemadministrator, mit dem entsprechendem Knowhow - nicht für den Lerner. Der jedoch erhält in diesem Buch sowohl Hintergrundwissen wie konkrete Handlungsanweisungen und eine Einführung in die entsprechenden Tools. Wer für ein Computersystem Verantwortung trägt, wird nach der Lektüre auch auf den "Fall der Fälle" gut vorbereitet sein und entsprechend reagieren können.
VPfueller, Lehrerbibliothek.de
Verlagsinfo
Computer-Forensik
Computerstraftaten erkennen, ermitteln, aufklären

Unternehmen und Behörden schützen ihre IT-Systeme mit umfangreichen Sicherheitsmaßnahmen. Trotzdem werden diese Systeme immer wieder für kriminelle Zwecke missbraucht bzw. von böswilligen Hackern angegriffen.
Nach solchen Vorfällen will man erfahren, wie es dazu kam, wie folgenreich der Einbruch ist, wer der Übeltäter war und wie man ihn zur Verantwortung ziehen kann. Dafür bedient man sich der Computer-Forensik. Ähnlich der klassischen Strafverfolgung stehen auch für den Computer-Forensiker folgende Informationen im Vordergrund: Wer, Was, Wo, Wann, Womit, Wie und Weshalb.
Dieses Buch gibt einen Überblick darüber, wie man bei der computerforensischen Arbeit vorgeht - sowohl im »Fall der Fälle« als auch bei den Vorbereitungen auf mögliche Angriffe bzw. Computerstraftaten. Ausführlich und anhand zahlreicher Beispiele wird gezeigt, welche Werkzeuge und Methoden zur Verfügung stehen und wie man sie effizient einsetzt. Der Leser lernt dadurch praxisnah,
• wo man nach Beweisspuren suchen sollte,
• wie man sie erkennen kann,
• wie sie zu bewerten sind,
• wie sie gerichtsverwendbar gesichert werden.

Ein eigenes Kapitel befasst sich mit der Rolle des privaten Ermittlers, beschreibt die Zusammenarbeit mit den Ermittlungsbehörden und erläutert die Möglichkeiten der zivil- und strafrechtlichen Verfolgung in Deutschland.
In der 5. Auflage wurden aktuelle Fragestellungen hinzugenommen. So finden sich im Buch nun alle mit Windows 7 eingeführten computerforensischen Neuerungen ebenso wie die Analyse von Hauptspeicherinhalten. Alle statistischen Argumentationshilfen wurden an die aktuelle Bedrohungslage angepasst. Außerdem wurde der Tool-Bereich komplett aktualisiert und erweitert.


Stimmen zu den Vorauflagen:
»...das Standardwerk zur Computer-Forensik...« c't

»Eine Pflichtlektüre für IT-Verantwortliche, Geschäftsführer und Administratoren.« pcwelt.de

»... uneingeschränkt empfehlenswert - nicht nur zur Aufklärung von Sicherheitsvorfällen, sondern auch zur effektiven Vor- und Nachbearbeitung.« DuD, Datenschutz und Datensicherheit

Zielgruppe:
Sicherheitsbeauftragte
Systemadministratoren
Revisoren
Sicherheitsberater
Ermittler
Gutachter

Autor / Autorin:
Alexander Geschonneck leitet als Partner bei der KPMG AG Wirtschaftsprüfungsgesellschaft den Bereich Forensic Technology. Sein Tätigkeitsschwerpunkt ist die Sicherstellung und Analyse von digitalen Beweismitteln im Rahmen der Korruptions- und Betrugsbekämpfung sowie der Aufklärung von ITSicherheitsvorfällen.
Davor war er leitender Sicherheitsberater und Partner bei der HiSolutions AG in Berlin sowie Senior
Manager bei der Ernst & Young AG, wo er den Bereich Forensic Technology & Discovery Services leitete.
Seit 1993 ist er branchenübergreifend im strategischen und operativen IT-Sicherheitsumfeld tätig. Alexander Geschonneck ist Mitautor der IT-Grundschutzkataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Seit 2002 ist er vom BSI lizenzierter IT-Grundschutzauditor sowie ISO27001-Auditor auf Basis von IT-Grundschutz. Er studierte in Berlin Wirtschaftsinformatik mit Themenschwerpunkt Informationssicherheit. Auf seiner privaten Homepage finden sich weitere Veröffentlichungen zu Themen der Computer-Forensik und allgemeinen IT-Sicherheit. Alexander Geschonneck ist Certified Fraud Examiner und Certified Information Systems Auditor.

Rezensionen:
"Eine Pflichtlektüre für IT-Verantwortliche, Geschäftsführer und Administratoren. ....Das Buch liest sich trotz längerer theoretischer und juristischer Passagen durchwegs spannend.... Wer in Unternehmen oder Behörden in irgendeiner Weise mit IT-Sicherheit und mit dem Funktionieren der IT-Infrastruktur befasst ist oder unternehmerische Verantwortung trägt, sollte dieses Buch lesen."
(www.pcwelt.de, 09.12.2008)

"...das Standardwerk zur Computer-Forensik..." (c't 2008, Heft 20)

"Durch sämtliche Kapitel des Buchs zieht sich eine sehr ausgewogene Mischung aus technischen Details und den ebenso wichtigen organisatorischen Rahmenbedingungen. Dabei ist der Schreibstil bewusst kurzweilig gewählt. Dieses Buch hat (zumal in deutscher Sprache) das Potenzial zum Standardwerk: man merkt schnell, dass der Autor aus eigener Erfahrung berichtet; es ist daher uneingeschränkt empfehlenswert - nicht nur zur Aufklärung von Sicherheitsvorfällen, sondern auch zur effektiven Vor- und Nachbereitung."
(Stefan Kelm in: DuD - Datenschutz und Datensicherheit, 1/2005)

"Für die Mitarbeiter von Polizei und Justiz, die sich - gelegentlich oder spezialisiert - mit der Verfolgung der IuK-Kriminalität befassen, wird Computer-Forensik von Geschonneck unentbehrlich sein."
(Oberstaatsanwalt Jens Gruhl in: Die Justiz, Dezember 2004)

"Alexander Geschonnek, ..., liefert in seinem Buch "Computer-Forensik" einen praktisch nutzbaren Leitfaden, was bei Systemeinbrüchen zu tun ist. ... Selbst wenn man nicht vorhat, auf Kriminellenjagd zu gehen, liefert das Buch interessante Einblicke in das Gebiet der Computerforensik. Der praktische Teil liefert genug Informationen, um als Anreiz für die Vertiefung zu dienen."
(IT-Administrator, Dezember 2004)
Inhaltsverzeichnis
Einleitung 1
Wer sollte dieses Buch lesen? 2
Was lernt man in diesem Buch? 4
Was lernt man in diesem Buch nicht? 4
Wie liest man dieses Buch? 5
Was ist neu in der 5. Auflage? 8
1 Bedrohungssituation 11
1.1 Bedrohung und Wahrscheinlichkeit 11
1.2 Risikoverteilung 12
1.3 Motivation der Täter 16
1.4 Innentäter vs. Außentäter 21
1.5 Bestätigung durch die Statistik? 24
1.6 Computerkriminalität 25
2 Ablauf von Angriffen 33
2.1 Typischer Angriffsverlauf 33
2.2 Beispiel eines Angriffs 36
3 Incident Response als Grundlage der Computer-Forensik 45
3.1 Der Incident-Response-Prozess 45
3.2 Organisatorische Vorbereitungen 46
3.3 Zusammensetzung des Response-Teams 47
3.4 Incident Detection: Systemanomalien entdecken 49
3.5 Incident Detection: Ein Vorfall wird gemeldet 54
3.6 Sicherheitsvorfall oder Betriebsstörung? 57
3.7 Wahl der Response-Strategie 60
3.8 Reporting und Manöverkritik 61
4 Einführung in die Computer-Forensik 65
4.1 Ziele einer Ermittlung 65
4.2 Anforderungen an den Ermittlungsprozess 66
4.3 Phasen der Ermittlung 67
4.4 Das S-A-P-Modell 68
4.5 Welche Erkenntnisse kann man gewinnen? 70
4.6 Wie geht man korrekt mit Beweismitteln um? 77
4.7 Flüchtige Daten sichern: Sofort speichern 88
4.8 Speichermedien sichern: Forensische Duplikation 91
4.9 Was sollte alles sichergestellt werden? 94
4.10 Erste Schritte an einem System für die Sicherstellung 96
4.11 Untersuchungsergebnisse zusammenführen 97
4.12 Häufige Fehler 99
4.13 Anti-Forensik 101
5 Einführung in die Post-mortem-Analyse 105
5.1 Was kann alles analysiert werden? 105
5.2 Analyse des File Slack 107
5.3 Timeline-Analysen 111
5.4 NTFS-Streams 117
5.5 NTFS TxF 118
5.6 NTFS-Volumen-Schattenkopien 120
5.7 Windows-Registry 124
5.8 Windows UserAssist Keys 128
5.9 Windows Prefetch-Dateien 129
5.10 Auslagerungsdateien 132
5.11 Versteckte Dateien 133
5.12 Dateien oder Fragmente wiederherstellen 137
5.13 Unbekannte Binärdateien analysieren 138
5.14 Systemprotokolle 151
5.15 Analyse von Netzwerkmitschnitten 153
6 Forensik- und Incident-Response-Toolkits im Überblick 155
6.1 Grundsätzliches zum Tooleinsatz 155
6.2 Sichere Untersuchungsumgebung 157
6.3 F.I.R.E. 159
6.4 Knoppix Security Tools Distribution 163
6.5 Helix 164
6.6 ForensiX-CD 169
6.7 C.A.I.N.E. und WinTaylor 171
6.8 DEFT und DEFT-Extra 174
6.9 EnCase 175
6.10 dd 180
6.11 Forensic Acquisition Utilities 184
6.12 AccessData Forensic Toolkit 185
6.13 The Coroner’s Toolkit und TCTUtils 189
6.14 The Sleuth Kit 190
6.15 Autopsy Forensic Browser 195
6.16 Eigene Toolkits für Unix und Windows erstellen 199
7 Forensische Analyse im Detail 205
7.1 Forensische Analyse unter Unix 205
7.2 Forensische Analyse unter Windows 236
7.3 Forensische Analyse von mobilen Geräten 279
7.4 Forensische Analyse von Routern 295
8 Empfehlungen für den Schadensfall 299
8.1 Logbuch 299
9 Backtracing 307
9.1 IP-Adressen überprüfen 307
9.2 Spoof Detection 310
9.3 Routen validieren 313
9.4 Nslookup 317
9.5 Whois 318
9.6 E-Mail-Header 320
viii Inhaltsverzeichnis
10 Einbeziehung der Behörden 323
10.1 Organisatorische Vorarbeit 323
10.2 Strafrechtliches Vorgehen 325
10.3 Zivilrechtliches Vorgehen 328
10.4 Darstellung in der Öffentlichkeit 330
10.5 Die Beweissituation bei der privaten Ermittlung 331
10.6 Fazit 335
Anhang 337
A Tool-Überblick 339
B C.A.I.N.E.-Tools 347
C DEFT-Tools 355
Literaturempfehlungen 359
Index 361