Einführung in die Computer-Forensik


Bachelorarbeit, 2008

59 Seiten, Note: 1,8


Leseprobe

Inhaltsverzeichnis

1 Einleitung

2 Angriffsverlauf
2.1 Angriffsarten
2.1.1 Malware
2.1.2 Spoofing
2.1.3 Denial of Service
2.1.4 Man-in-the-Middle
2.1.5 Cross-Site Scripting

3 Incident Response
3.1 Intrusion Detection-Systeme
3.2 Intrusion Prevention-Systeme
3.3 Penetrationstests
3.4 Eindämmung des Vorfalls

4 Computer-Forensik
4.1 Ermittlungsziele
4.2 Ermittlungsschritte
4.3 Sichern, Analysieren, Präsentieren
4.4 Sicherstellen der betroffenen Hardware
4.5 Erkenntnisse sammeln
4.6 Fehlerquellen
4.7 Datensicherung
4.7.1 Sicherung flüchtiger Daten
4.7.2 Forensisches Duplikat
4.8 Strukturierung des Materials
4.9 Anti-Forensik

5 Post-mortem-Analyse
5.1 File Slack
5.2 MAC-Time
5.3 Alternate Data Stream
5.4 Auslagerungsdateien
5.5 Versteckte Dateien
5.6 Systemprotokolle
5.7 Netzwerkanalyse

6 Gelöschte Daten
6.1 Speichern von Daten
6.2 Daten löschen
6.3 Daten wiederherstellen

7 Fazit und Ausblick

8 Literaturverzeichnis

Abbildungsverzeichnis

Abbildung 1: Motivation von Angreifern bei Internetstraftaten (hierInternetzugangskennungenherausfinden)

Abbildung 2: ARP-Spoofing

Abbildung 3: Man-in-the-Middle-Angriff

Abbildung 4: Cross-Site Scripting

Abbildung 5: Netzwerkbasiertes IDS

Abbildung 6: Hostbasiertes IDS

Abbildung 7: Klassifikation von Penetrationstests

Abbildung 8: Ablaufplan einer forensischen Ermittlung

Abbildung 9: Sicherungsreihenfolge

Abbildung 10: Dateieigenschaften

Abbildung 11: File Slack eines Clusters

Abbildung 12: Ordneroptionen eines Windows System

Abbildung 13: E-Mail Header Outlook Express

Abbildung 14: Security Log eines Windows Systems

Abbildung 15: Persistenz gelöschter Dateninhalte

Tabellenverzeichnis

Tabelle 1: Änderungen der Zeitstempel

1 Einleitung

Der Begriff Forensik ist allgemein bekannt. In vielen Krimis im Fernsehen oder in Büchern wird mit diesem Begriff das Analysieren und Rekonstruieren krimineller Handlungen bezeichnet. Doch wie lässt sich der Begriff der Computer-Forensik hier einbinden? Mit Computer-Forensik ist nicht, wie man zuerst vermuten könnte, die EDV-Unterstützung im Rahmen einer Autopsie von ungeklärten Todesfällen oder die am Computer rekonstruierte Simulation eines Tathergangs in 3D gemeint. Im übertragenen Sinne stellt die Computer-Forensik die Autopsie von IT-Systemen im Zuge von kriminellen Handlungen am bzw. mit dem Computer dar. Noch allgemeiner formuliert, ist damit die Untersuchung verdächtiger Vorfälle im Zusammenhang mit IT-Systemen gemeint.

Ein Großteil aller Dokumente wird heutzutage nur noch elektronisch gespeichert und nicht mehr ausgedruckt. Dies spart vor allem Platz und Papier. Die Daten werden am Computer bearbeitet, weitergeleitet und abgelegt bzw. auf Servern archiviert. Besonders Angriffe auf IT-Systeme sind daher immer lohnenswerter geworden. Der Verlust oder die Manipulation dieser Daten durch Systemeinbrüche oder Malware kann besonders für Unternehmen äußert kritisch werden. Die Computer-Forensik gewinnt in diesem Zusammenhang in zunehmendem Maße an Bedeutung und ist ein wichtiges Bindeglied zwischen betroffenen Firmen und der Justiz.

Damit die Ergebnisse einer Ermittlung im weiteren Verlauf für juristische Schritte gegen den Täter verwendet werden können, ist, ein genauer Untersuchungsablauf einzuhalten. Dieser besteht vor allem aus dem Sichern der digitalen Spuren, welche als Beweise sowohl be- als auch entlastend sein können, dem Analysieren dieser, sowie einer abschließenden Zusammenfassung bzw. Präsentation der Ermittlungsergebnisse. Grundlage einer jeden Ermittlung ist eine lückenlose und präzise Dokumentation der einzelnen Arbeitsschritte um diese Dritten gegenüber verteidigen zu können.

Einer forensischen Ermittlung liegen bestimmte Fragestellungen zu Grunde, die wichtig sind, um die vorliegende Situation richtig einschätzen zu können. Zu welchem Personenkreis gehören die möglichen Täter? Welche Interessen verfolgen sie und welche Auswirkungen kann dies auf die Systeme oder die Unternehmung haben? Welche Art der Bedrohung liegt vor? Auch ist es wichtig zu ermitteln, wie sie überhaupt in das betroffene System gelangen konnten. Geschonneck [2008s, S.11] definiert den Begriff der Bedrohung als potentiellen Auslöser eines schadhaften Ereignisses in Bezug auf die IT-Systeme oder gar die ganze Unternehmung. Diese Definition wird auch für die vorliegende Arbeit übernommen.

Sicherheitsverantwortliche von IT-Systemen stehen vor der schwierigen Aufgabe, Bedrohungen zu erkennen und deren Eintrittswahrscheinlichkeiten abzuschätzen. Dies ist besonders in Hinblick auf die Einschätzung des eintretenden Schadens im Falle eines Angriffs und den Notfallplan wichtig. Die Eintrittswahrscheinlichkeiten können mit Hilfe der folgenden Punkte eingeteilt werden.

- der Häufigkeit der Bedrohung (Wahrscheinlichkeit des Auftretens anhand von Erfahrungen oder Statistiken),
- der Motivation und den vorausgesetzten Fähigkeiten und Ressourcen eines potentiellen Angreifers,
- der Attraktivität und Verwundbarkeit der IT-Systems bzw. seiner Komponenten, wie sie von potentiellen Angreifern wahrgenommen wird,
- dem Wert, den die IT-Systeme und die darin gespeicherten bzw. verarbeiteten Informationen für die eigene Organisation oder aber für den Angreifer haben, und
- der Positionierung des Unternehmens oder der Organisation in der Öffentlichkeit bzw. innerhalb der politischen Landschaft (z. B. Polizei, Bund und Parteien).

[Geschonneck 2008a, S.11-12]

Die jeweiligen Bedrohungen können verschiedenen Ursprungs sein. Zum einen können sie durch die Umwelt (Feuer, Überschwemmung, Erdbeben, Stromausfall etc.) gegeben sein und zum anderen durch den Menschen, beabsichtigt oder unbeabsichtigt. Der Personenkreis bei der Bedrohung durch den Menschen lässt sich in Innen- und Außentäter aufteilen, also Täter mit und ohne Betriebszugehörigkeit.

Um das Risiko einer Bedrohung ermitteln zu können sind also die beiden Parameter Schadenshöhe und Eintrittswahrscheinlichkeit ausschlaggebend [vgl. Draber 2008, S.11]. Durch die zunehmende Vernetzung von Computersystemen ist das Risiko eines Angriffs auf das eigene System erheblich gestiegen und somit existieren heutzutage sehr viele mögliche Ziele. Nicht zuletzt durch die Nutzung des Internets und der Tatsache, dass viele Systeme mit dem gleichen Betriebssystem betrieben werden (bekannte Sicherheitslücken im Betriebssystem können somit auf sehr vielen IT-Systemen ausgenutzt werden), führt dazu, dass Angriffe leichter durchgeführt werden können [vgl.Geschonneck 2008a, S.12‑13].

Die Motivationen, die einen Angreifer dazu treiben, sich unerlaubten Zugang zu verschiedenen IT-Systemen zu verschaffen, sind vielfältig. Vielen Angreifern geht es darum, mit ihrem Können vor Gleichgesinnten zu prahlen. Durch besonders schwierige Angriffe, oder aber das Umgestalten oder gar Blockieren einer Webseite, erlangen sie in bestimmten Kreisen Lob und Anerkennung und das Gefühl zu einer Gruppe zu gehören. Eine andere Gruppe von Angreifer will mit ihren Systemeinbrüchen jedoch auf bestehende Sicherheitslücken aufmerksam machen und eher keinen Schaden anrichten [vgl.Geschonneck 2008a, S.17]. Wie Abb.1 zeigt, sind aber vor allem wirtschaftliche Interessen für viele eine große Motivation, Angriffe auf bestimmte Systeme zu starten. So kann sich beispielsweise ein Unternehmen einen wirtschaftlichen Vorteil verschaffen, indem es Konkurrenten abhört oder wichtige Informationen, wie Baupläne neuer Entwicklungen (PKW, Maschinen etc.) oder Forschungsergebnisse (Pharmazie etc.), entwendet und für eigene Zwecke einsetzt. Auch nutzen Geheimdienste solche Angriffe, um an Informationen zu gelangen.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Motivation von Angreifern bei Internetstraftaten (hierInternetzugangskennungenherausfinden)

[Geschonneck 2006a, S.18]

Die folgende Liste soll helfen, die verschiedenen Angriffsmotivationen voneinander abzugrenzen. Die von Kroll Ontrack [2008, S.7] vorgenommene Erläuterung beschränkt sich hierbei jedoch auf Straftaten bei denen vor allem ein wirtschaftliches Interesse im Vordergrund steht. Die in Abb. 1 gezeigte Einteilung von Geschonneck bezieht hingegen alle Gruppen von Angreifern mit ein.

- Hacking | Eindringen in Computer(netze) zum Zweck der Spionage, Sabotage, Fälschung oder anderen Angriffen durch Zugangsentschlüsselung und Passworterschleichung
- Computerspionage | Ausforschung von Patenten, Forschung und Entwicklung, Buchhaltung, Vertrieb- und Kundendaten durch Hacking, Kopien oder unrechtmäßige Aneignung von Datenträgern
- Computersabotage | Meist logische, mitunter aber auch physische Schädigung von Datenträgern, Computern und Netzwerken durch Viren, Würmer und Trojaner, aber auch Angriffe aus dem Web, beispielsweise Blockade durch Überflutung der Netzanbindung per DoS (Denial of Services)
- Datenfälschung | Änderung von Abrechnungsdaten, Konten und Bilanzen durch externes Hacking oder interne Manipulationen oder Verschleierungen
- Produktpiraterie | Software- und Datendiebstahl, durch Vertrieb von Programmkopien (Raubkopie) oder unberechtigten Zugriff auf kostenpflichtige, gespeicherte Informationen

[Kroll Ontrack 2008, S.7]

Die von Kroll Ontrack [2008, S.7] verwendeten Definitionen für Hacking und Computerspionage sind nicht sehr eindeutig, da sie gegenseitig aufeinander verweisen. Eindeutiger wäre hier im Falle von Hacking eine Beschränkung auf das unrechtmäßige Eindringen in Computer(netze) durch Zugangsentschlüsselung und Passworterschleichung. Demnach ist dann die Computerspionage das Ausforschen von Patenten, Forschung und Entwicklung, Buchhaltung, Vertrieb- und Kundendaten im Anschluss an das unrechtmäßige Eindringen in Computer(netze).

Als praktisches Beispiel für einen Computerangriff mit wirtschaftlichem Interesse sei hier der Fall der Firma Enercon aus Aurich genannt. In den 90er Jahren gelang es einem amerikanischen Konkurrenzunternehmen geheime Daten des ostfriesischen Windkraftanlagenherstellers auszuspionieren. Durch das Mitlesen der internen Geschäftskommunikation konnten detaillierte Informationen zum aktuellen Entwicklungsprozess einer neuartigen Windkraftanlage gewonnen werden. Enercon erlitt daraufhin Umsatzeinbußen in dreistelliger Millionenhöhe, da das amerikanische Unternehmen die Windkraftanlage als erste auf den Markt brachte. Obendrein wurde Enercon von der amerikanischen Firma wegen Verletzung des Patentrechts verklagt, da diese nun behauptete Enercon hätte die Ideen bei ihnen abgeguckt [vgl. Schröm 1999, S.1].

Die häufigsten strafbaren Handlungen im Zusammenhang mit IT-Systemen, sind neben der oben beschriebener Wirtschafts- und Industriespionage sowie Urheber- und Markenrechtsfälle auch Sabotage, Betrug und das Veröffentlichen sensibler Daten. Eine forensische Ermittlung befasst sich jedoch nicht nur mit Systemeinbrüchen, sondern auch mit Straftaten, wie Erpressung oder sozialschädigenden Handlungen wie Mobbing am Arbeitsplatz, die von einem Computer ausgeführt wurden.

Ziel der forensischen Analyse ist es, die verwendeten Methoden des Täters zu erkennen, sowie die Schwachstelle des IT-Systems aufzudecken, den entstandenen Schaden einzuschätzen und nach Möglichkeit den Täter zu identifizieren. Die hierbei eingesetzten Verfahren und Werkzeuge der Ermittler werden im weiteren Verlauf dieser Arbeit aufgezeigt und erläutert. Auch wird ein Überblick über die Möglichkeiten der Abwehr von Systemeinbrüchen gegeben. Die Schwierigkeiten, denen sich forensische Teams im Zusammenhang mit der Analyse der betroffenen Systeme und der Arbeitsumgebung gegenüber sehen, sind zahlreich. Kapitel 4 erläutert, wie diese Hindernisse aussehen und wie mit ihnen umgegangen werden kann. Um Beweise sammeln zu können, müssen sich Forensiker auf digitale Spurensuche begeben. Im Verlauf von Kapitel 5 wird verdeutlicht, um was für Spuren es sich dabei handelt und wo diese zu finden sind. Abschließend befasst sich diese Arbeit mit dem sicheren Löschen von Daten und dem Wiederherstellen von gelöschten Daten zur Verschleierung der Identität bzw. der verwendeten Methode des Täters.

Kapitel 7 fasst schließlich die vorliegende Arbeit zusammen und spiegelt die aktuelle Situation wieder. Außerdem wird hier ein Ausblick auf die zukünftige Entwicklung auf diesem Gebiet gegeben.

2 Angriffsverlauf

Für Ermittler und Systemadministratoren ist es hilfreich, wenn sie die mögliche Vorgehensweise eines Angreifers kennen. Sie können dann abschätzen, welcher Angriff ausgeführt wird, ob und welche Folgeangriffe als nächstes gestartet werden können und welches Ziel der Angreifer verfolgt. Auch zum Auffinden von Tatspuren sind diese Voraussagen hilfreich. Im Folgenden werden die möglichen Schritte eines Angriffs aufgelistet und erläutert.

Bei einem typischen Angriffsverlauf wie ihn Geschonneck [2008a, S.30] beschreibt, beschafft sich der Angreifer zunächst Informationen über sein potentielles Ziel. Diesen Vorgang nennt man auch „Footprinting“. Entweder er ist ein Mitarbeiter oder ein externer Beschäftigter mit Zugriff auf die notwendigen Informationen, oder er beschafft sich die Daten über das Internet. Vielen Leuten ist gar nicht bewusst, wie viele Daten sich öffentlich zugänglich über das Internet abrufen lassen. Nahezu jede Firma betreibt eine eigene Webseite. Dazu ist es notwendig, sich eine entsprechende Domain zu sichern (Bsp.: uni-hildesheim.de). Diese Domains werden dann in WHOIS Datenbanken eingetragen [vgl.Draber2008, S.1, Folie 17a ff]. E-Mailadresse, Telefonnummer, Anschrift des Inhabers und die IP-Adresse des DNS Servers werden dort hinterlegt und sind für jedermann abrufbar. Des Weiteren können alle vom DNS Server zur Verfügung gestellten IP-Adressen abgefragt werden und in vielen Fällen mit Hilfe von Traceroute oder Ping abgeglichen werden. Anhand all dieser Informationen erhält der Angreifer ein genaues Bild der benutzten IP-Adressen seines Ziels [vgl.Geschonneck 2008a, S.30].

Die in der Phase der Informationsbeschaffung eingeholten Daten über das Zielsystem können nun mit Hilfe von verschiedenen Methoden dazu benutzt werden, offene Ports im Netzwerk aufzuspüren. Um diese zu finden wird ein Port- bzw. Protokollscan durchgeführt [vgl. Caloyannides 2004, S.185]. Hierzu kommen verschiedene Techniken zum Einsatz, welche sich im Einzelnen durch die zu Grunde liegenden Protokolle und Tarnmechanismen, die dafür sorgen, dass der Angreifer im Verborgenen operieren kann, unterscheiden. Da diese Übersicht lediglich dem grundsätzlichen Verständnis eines Angriffverlaufes dienen soll, werden die verschiedenen Protokolle und Mechanismen hier nicht weiter erläutert. Diese können in Lyon [o. D.] nachgelesen werden. Ist die Phase des Port- bzw. Protokollscans erfolgreich verlaufen, so kann nun die Liste der zuvor beschafften IP-Adressen um die Anzahl der offenen UDP- bzw. TCP-Ports erweitert werden [vgl. Geschonneck 2008a, S.30].

Als nächstes wird der Angreifer laut Geschonneck [2008a, S.31] versuchen, herauszufinden, welche Programme auf dem Zielsystem mit den offenen Ports betrieben werden. Hierbei ist vor allem das verwendete Betriebssystem von Interesse. Diesen Vorgang nennt man „Fingerprinting“. Die in einem Netzwerk übertragenen Datenpakete werden mit einem Header versehen. Diese Header unterscheiden sich zum Teil von Betriebssystem zu Betriebssystem und können nach einer genaueren Analyse auf das entsprechende System hinweisen. Es gibt zwei Möglichkeiten, um an diese Informationen zu gelangen. Entweder der Datenverkehr innerhalb des Netzwerkes wird beobachtet und analysiert (dies ist jedoch erst möglich, wenn der Angreifer bereits in das System eingedrungen ist), oder aber der Angreifer schickt selber Daten zum Zielhost und wertet daraufhin die Antworten aus. Ebenfalls von Interesse sind die aktuellen Versionen und das Patchlevel der verwendeten Applikationen. Diese lassen sich in vielen Fällen auf die gleiche Art und Weise herausfinden, da sie häufig breitwillig von den jeweiligen Programmen herausgegeben werden. Sind in bestimmten Programmen Sicherheitslücken bekannt, so können diese dann leicht ausgenutzt werden [vgl. Geschonneck 2008a, S.31].

Nachdem der Angreifer nun über die Applikationen des Zielsystems informiert ist, wird er im nächsten Schritt versuchen, sich Zugang zu diesem zu verschaffen. Ziel ist es hierbei, sich möglichst als Systemadministrator anzumelden. Dies geschieht beispielsweise durch das Ausnutzen von Schwachstellen in der „ Programmierung, Konfiguration oder Implementierung“ [Geschonneck 2008a, S.31] der jeweiligen Anwendung. Dieses Vorgehen wird als Penetration oder auch Exploiting bezeichnet.

Möchte der Angreifer sicherstellen, dass er auch in Zukunft Zugang zum Zielsystem hat, so muss er sich eine Hintertür (engl. backdoor) schaffen, denn er kann sich nicht darauf verlassen, dass die von ihm ausgenutzte Sicherheitslücke unbemerkt bleibt. Dazu richtet er entweder zusätzliche Administratoraccounts oder nicht sichtbare Serverprozesse ein [vgl. Geschonneck 2008a, S.32].

Ist es einem Angreifer gelungen in ein System einzudringen, so wird ihm daran gelegen sein, seine Spuren zu verwischen, damit er nicht aufgespürt werden kann. Dazu ist es notwendig, die Daten seines Einbruchs aus den Log Files zu löschen und alle Dateien, die er verwendet hat zu beseitigen oder zumindest gut zu verstecken [vgl.Honeynet2000]. Kapitel 5 und die darauf folgenden Unterabschnitte geben einen Überblick darüber, welche Möglichkeiten zum Verstecken es gibt. Anschließend wird in Abschnitt 6.2 erläutert, warum Daten mit dem einfachen Löschbefehl noch lange nicht vom jeweiligen System entfernt werden.

2.1 Angriffsarten

Die folgenden Abschnitte geben Aufschluss darüber, was der Angreifer mit dem Zugang zu einem Computer(netzwerk) erreichen kann bzw. auf welche Art er diesen überhaupt erlangt. Dieses Wissen ist in Bezug auf die Arbeit von Computer-Forensikern wichtig, um die Folgen eines Systemeinbruchs abzuschätzen und den Eindringling möglicherweise zurückverfolgen zu können. Wie in Kapitel 1 beschrieben, gibt es Angreifer mit ganz unterschiedlichen Absichten. Um das jeweilige Ziel zu erreichen, benutzen die Angreifer verschiedene Methoden. Einige sehr verbreitete Angriffsarten werden im Folgenden aufgelistet und erläutert.

2.1.1 Malware

Malware steht für „malicious Software“ und bezeichnet die Gesamtheit aller unerwünschten Programme, welche schädlich sind und sich meist selbst verbreiten. Je nach Dateiformat wird Malware in die Kategorien Trojanische Pferde, Viren und Würmer unterteilt [vgl. Kleimann 2004a]. Verbreitet werden diese Programme mittels E-Mail, Instant Messenger und über Webseiten die Programme mit schädlichem Inhalt zum Download bereitstellen (die kann auch unwissentlich geschehen).

Viren sind schadhafte Programme, die andere Programme im System befallen können. Ein Virus nistet sich in die Befehlskette eines Anwendungsprogramms ein und wird beim Starten des ursprünglichen Programms ausgeführt. Er läuft entweder gleichzeitig im Hintergrund oder ersetzt das ganze Programm. Verbreitet werden sie durch Weitergabe der befallenen Dateien z. B. über Peer-to-Peer Verbindungen. Da der Befall nicht immer sichtbar ist, erfolgt die Weitergabe nicht unbedingt bewusst bzw. vorsätzlich. Die Auswirkungen, die ein Virus auf das System haben kann, sind vielfältig. Es können Dateien verändert oder gelöscht werden, erhöhte Belegung der Speicher- und Festplattenkapazität durch die Aktivitäten des Virenprogramms können auftreten und die Manipulation der Registry von Windowssystemen ist möglich [vgl. Kleimann 2004b].

Würmer kopieren und verbreiten sich, sofern sie erst einmal gestartet wurden, selbständig. Sie nisten sich jedoch nicht wie Viren in andere Programme ein. Würmer verbreiten sich z. B. mittels Versenden befallener E-Mails selbständig innerhalb eines Netzwerkes oder dem Internet von Rechner zu Rechner [vgl. Kleimann 2004b]. Dazu versenden sie sich selbst an Kontakte des Adressbuches eines Mailprogramms. Führt der Empfänger die angehängte Datei aus (z. B. aus Unwissenheit) so wird der Wurm von neuem aktiviert. Würmer können allein durch das selbständige Verbreiten hohe Schäden anrichten. So kann ein Mailserver oder Router der zusätzlichen Last der Mailflut eines Wurms mitunter nicht gewachsen sein. Auch auf den befallenen Rechnern verbrauchen Würmer Systemressourcen und schwächen so die Leistung des Systems.

Trojanische Pferde werden meist abgekürzt Trojaner genannt. Ein Trojaner ist ein Programm, das vorgibt, ein anderes, nützliches Programm zu sein. Meist läuft die schädliche Wirkung unbemerkt im Hintergrund ab und wird vom Anwender nicht oder nicht gleich bemerkt. Trojaner können Teile des Systems oder aber sogar das ganze System zerstören. Viele Angreifer benutzen zudem Backdoor-Trojaner um von Außen auf das befallene System zuzugreifen und nahezu alle Funktionen ausführen zu können [vgl. Kleimann 2004b]. Trojanische Pferde können sich nicht selbständig verbreiten. Sie werden daher oft als harmlose Software getarnt, um so von den Anwendern arglos selbst verbreitet zu werden.

2.1.2 Spoofing

Spoofing, zu Deutsch „Manipulation/Verschleierung“, ist ein Prinzip zum Umgehen von Authentifizierungs- und Indentifikationsverfahren, welche auf vertrauenswürdigen Adressen und Hostnamen beruhen. „Unter Spoofing versteht man unterschiedliche Täuschungsversuche im Internet bei gleichzeitiger Verschleierung und Manipulation der eigenen Identität“ [Siebert 2008]. Häufig benutzten Arten sind: IP-Spoofing, ARP-Spoofing, DNS-Spoofing und Mail-Spoofing.

Beim ARP-Spoofing geht es dem Angreifer darum, die im Address Resolution Protocol hinterlegte Zuordnung von IP-Adresse zu MAC-Adresse zu manipulieren. Diese Zuordnung wird in der Sicherungsschicht des ISO/OSI Referenzmodells vorgenommen [vgl. BSIb o. D.]. Durch neue, falsche Zuordnungen, wird der Angreifer dann vom Zielsystem als vertrauenswürdig angesehen und die entsprechenden Pakete, die an die ursprünglich richtige MAC-Adresse gesendet werden sollten, werden an die MAC-Adresse des Angreifers geleitet [vgl. Ruetten/Stutzke 2005, S.2]. Abb. 2 zeigt, wie die ursprünglich zwischen Arbeitsstation A und dem Server stattfindende Kommunikation über Arbeitsstation B umgeleitet wird. Die nebenstehenden Tabellen im Bild zeigen, wie die Zuordnungen von IP- zu MAC-Adresse von Station B manipuliert wurden. Station B gibt sich gegenüber dem Server als Station A aus und gegenüber Station A als Server.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: ARP-Spoofing

[Ruetten/Stutzke 2005, S.1]

In der Vermittlungsschicht des ISO/OSI Referenzmodells lässt sich das IP-Spoofing anwenden. Durch IP-Spoofing täuscht der Angreifer eine falsche IP-Adresse vor um mittels seiner Absenderadresse authentifiziert zu werden. Er kann mit der gefälschten IP-Adresse Pakete versenden, jedoch nicht empfangen [vgl. BSIb o. D.].

Das DNS-Spoofing funktioniert ähnlich dem ARP-Spoofing. Hier versucht der Angreifer sich Zugang zum Domain Name System Server zu verschaffen, um die dort hinterlegte Zuordnung von IP-Adresse zu Hostname (und umgekehrt) zu manipulieren [vgl.BSI2007a]. Dies hat zur Folge, dass künftig alle Anfragen für die Adressauflösung eines Hosts auf die gefälschte IP-Adresse verweisen. Konkret bedeutet dies, dass beispielsweise bei Eingabe einer URL in einen Browser zukünftig nicht mehr die ursprüngliche Seite angezeigt würde, sondern eine andere, auf dem Rechner des Angreifers hinterlegte Seite.

Mit Mail-Spoofing wird das Versenden von E-Mails mit gefälschter Absenderadresse bezeichnet. Ein Angreifer kann sich so beispielsweise als jemand ausgeben, der er nicht ist und so durch Korrespondenz mit Kunden oder Mitarbeitern an wichtige Informationen gelangen (er kann diese beispielsweise ausfragen), oder Spam-Mails verschicken [vgl. BSIc o. D.].

2.1.3 Denial of Service

Die zuvor beschriebenen Angriffsmethoden zur Verschleierung der Identität lassen sich unter anderem dazu benutzen, einen Denial of Servcie-Angriff (DoS-Angriff) auszuführen. Bei einem DoS-Angriff geht es darum, Systeme lahm zu legen oder gar zum Absturz zu bringen. DoS-Attacken werden auch häufig als Ablenkmanöver benutzt. Sind die zuständigen IT-Spezialisten mit einem solchen Angriff beschäftigt, so wird ein zweiter Angriff zur selben Zeit unter Umständen gar nicht bemerkt. Bei einem DoS-Angriff wird der zuständige Server mit einer hohen Anzahl von Anfragen überhäuft, welche er nicht gleichzeitig abarbeiten kann. Um dies zu erreichen gibt es verschiedene Methoden, welche im Folgenden beschrieben werden [vgl.BSIa o. D.].

Um einen Angriff noch wirksamer zu machen, werden in vielen Fällen von mehreren Rechnern gleichzeitig Angriffe gestartet. Dieses Verfahren wird Distributed Denial of Service-Angriff genannt (DDoS). Hierfür werden beispielsweise im Vorfeld hunderte von Rechnern von Viren oder Würmern befallen, um dann selbst zum Angreifer zu werden.

Eine Möglichkeit für einen DoS-Angriff ist das SYN-Flooding. Es nutzt das Handshakeverfahren zum Verbindungsaufbau innerhalb von TCP Netzwerken aus. Dieses Verfahren funktioniert nach folgendem Prinzip: Ein Benutzer schickt zu erst von seinem Rechner aus ein Datenpaket (SYN-Paket) an den Server. Der Server antwortet mit einem SYN-ACK-Paket und der Rechner bestätigt den Verbindungsaufbau wiederum mit einem ACK-Paket (SYN = synchronize; ACK = acknoledgement). Im Falle eines SYN-Flooding Angriffs enthält das SYN-Paket eine gefälschte Absenderadresse, unter der der Server den Rechner nicht erreichen kann. Die Anfrage kann in diesem Fall nicht mit einem SYN-ACK-Paket beantworten werden. Der Server versucht jedoch noch eine Zeitlang den Angriffsrechner zu erreichen und hält für diesen Zweck Ressourcen zur Beendigung des Verbindungsversuches frei. [vgl. BSIa o. D.; Cole et al, S.192]. Wird eine große Anzahl solcher Anfragen gleichzeitig an einen Server gestellt, so können diese die gesamte Verbindungskapazität blockieren, der Server ist überlastet und steht für andere Systeme nicht mehr zur Verfügung.

Eine weitere Angriffsmethode ist das Ping-Flooding. In jedem Netzwerk gibt es die Möglichkeit, über Echo-ICMP-Pakete (Internet Control Message Protocol) zu überprüfen, ob andere Rechner im Netz erreichbar sind. Das mit Hilfe eines Pings abgesendete Paket wird vom angesprochenen Rechner beantwortet (daher die Bezeichnung Echo). Wird der Zielrechner mit einer hohen Zahl von Pings überflutet, so führt dies einerseits zu einer hohen Auslastung der Verbindungskapazität des Netzes und andererseits zu einer Überlastung des Zielrechners, da er nicht mehr alle Anfragen gleichzeitig beantworten kann [vgl. BSIa o. D.].

Eine sehr einfache Art Mailsysteme zu überlasten ist das Mailbombing. Es wird entweder eine enorme Anzahl an E-Mails, oder aber eine einzige große verschickt. Ist der zuständige Mail-Server dieser Datenflut nicht gewachsen, so wird er langsamer oder stürzt ab [vgl. BSIa o. D.].

2.1.4 Man-in-the-Middle

Durch das zuvor beschriebene DNS- bzw. ARP-Spoofing lassen sich auch so genannte Man-in-the-Middle-Angriffe ausführen. Das Ziel des Angreifers ist es, sich zwischen zwei Kommunikationspartner zu schalten, er befindet sich also „in der Mitte“. Um dies unbemerkt zu realisieren, muss er sich gegenüber dem Empfänger als Sender und gegenüber dem Sender als Empfänger ausgeben. Die Kommunikation der beiden Stationen wird dann über den Angreifer in der Mitte geleitet (siehe Abb. 3). Die so empfangenen Datenpakte können ausgelesen und vor dem Weiterleiten manipuliert werden [vgl.BSI2007b].

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3: Man-in-the-Middle-Angriff

[Secureworks o. D.]

2.1.5 Cross-Site Scripting

Eine weitere Angriffsmethode ist das Cross-Site Scripting, kurz XSS. Es bezeichnet das Ausnutzen von Sicherheitslücken in Web-Applikationen mit Hilfe derer ein Angreifer Zugriff auf bestimmte Daten erhält. XSS beinhaltet vier Kernpunkte:

1. einen Angreifer mit einem manipulierten Hyperlink
2. eine Web-Applikation, welche dynamische Seiten ausliefert
3. einen Webclient mit aktiviertem JavaScript
4. einen Cookie mit Benutzerdaten

Ausschlaggebend für die Durchführbarkeit ist hierbei erst einmal eine Web-Applikation, die Seiten aus empfangenen Benutzereingaben generiert. Dies sind typischerweise Webshops, Webmailer, Portale und das Onlinebanking. Die übertragenen Variablen der Benutzereingabe werden in die URL übertragen und an den jeweiligen Server geschickt. Dies ist bei HTTP mit GET-Methoden ein durchaus übliches Verfahren. Der Server startet daraufhin ein Skript, welches die empfangenen Variablen einliest und generiert daraus eine neue Seite. Diese wird an den Webbrowser gesendet. Die Benutzereingaben werden dabei an den Browser zurückgesendet [vgl. Bachfeld 2003, S.1].

Werden die Eingaben der Web-Applikation nicht ausreichend gefiltert, so kann anstelle der Benutzereingaben ein JavaScript an den Server übertragen werden. Dieser verpackt das Script in ein HTML-Dokument und schick es an den Browser zurück. JavaScript wird oft nur für vertrauenswürdige oder benutzerdefinierte Webserver zugelassen. Viele Browser fragen dazu explizit nach, ob ein bestimmtes Skript ausgeführt werden darf. Der Angreifer muss den Browser also dazu bringen, sein Skript zuzulassen. Dazu benutzt er einen Server mit XSS-Schwäche, von dem er ausgeht, dass das Opfer diesen für vertrauenswürdig hält (z. B. den Server einer Bank). Abb. 4 zeigt, was passiert, wenn der Benutzer auf den Link der manipulierten Web-Applikation klickt. Er wird er auf die Seite des Angreifers geleitet und das Skript wird ohne Rückfragen im Browser ausgeführt. Das Skript sieht für den Benutzer aus, als käme es von der Ursprungsseite. Die Cookies des Benutzers werden nicht mehr an den Server, sondern an den Angreifer übertragen [vgl. Bachfeld 2003, S.2].

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 4: Cross-Site Scripting

[Bachfeld 2003, S.2]

Der Angreifer kann die empfangenen Cookies auslesen, manipulieren oder löschen. Diese Cookies enthalten eine entsprechende Session-ID oder die Authentifizierungsdaten. Mit Hilfe der Session-ID kann der Angreifer ohne den Namen oder das Passwort des Benutzers zu kennen eine gültige Verbindung zu einem Server aufbauen. Diesen Vorgang nennt man Session-Hijacking. Die ID ist jedoch immer nur so lange gültig, bis der Benutzer sich abmeldet. Der Angreifer hat also nur ein beschränktes Zeitfenster für seinen Angriff [vgl. Bachfeld 2003, S.2].

Um XSS Angriffen vorzubeugen, sollte der verwendete Browser immer auf dem aktuellen Patchlevel sein. Zusätzlich sollten die Programmierer der Web-Applikation darauf achten, dass die Eingaben sorgfältig gefiltert werden [vgl. Bachfeld 2003, S.3].

3 Incident Response

Ist es innerhalb eines Systems zu einem Sicherheitsvorfall gekommen, so ist es unbedingt notwendig, strukturiert und geplant darauf zu reagieren. Dieser Vorgang wird in der Computer-Forensik als Incident Response (Incident = Vorfall, Störung; Response = Reaktion, Stellungnahme) bezeichnet [DFN-CERST 2008, S.1].

Es muss geklärt werden, ob es sich bei dem Vorfall „nur“ um eine Störung im System handelt, oder, ob tatsächlich ein Einbruch stattgefunden hat. Liegt eine Straftat vor, so muss schnellstmöglich abgeschätzt werden, welcher Schaden verursacht wurde und welcher eventuell noch entstehen kann. Dazu ist es wichtig, die Vorgehensweise (wie in Kap.2 beschrieben) des Angreifers nachvollziehen zu können, um auszuloten, welche Schwachstellen er ausgenutzt hat und was möglicherweise noch sein Ziel sein könnte (vgl. Abschnitt 2.1 ff). Um später gegebenenfalls juristische Schritte einzuleiten, muss bereits in der frühen Phase der Ermittlung sorgfältig mit den Beweisen umgegangen werden (siehe Abschnitt4.2;Schritt2).

Die folgenden Schritte stellen exemplarisch eine Anleitung zur Vorgehensweise dar, um zu klären, ob der Verdacht auf einen Zugriff tatsächlich zutrifft [vgl.DFN‑CERT2008a].

Um eine schnelle und reibungslose Behandlung von Systemeinbrüchen gewährleisten zu können, sollten bereits vor einem Sicherheitsvorfall bestimmte Schritte geplant werden. Jeder, der Zugriff auf ein IT-System hat, sollte ein Bewusstsein dafür entwickeln, dass vor allem fahrlässiges Handeln oft zu Schwachstellen führen kann. Die auf dem System laufenden Anwenderprogramme, sowie das Betriebssystem, sollten stets auf dem neuesten Stand sein und Sicherheitspatches sollten direkt nach Erscheinen eingespielt werden. Dies sorgt dafür, dass Sicherheitslücken schnellstmöglich geschlossen werden [vgl.Geschonneck 2008a, S.43]. Liegt eine ausführliche Dokumentation der Systeme vor, so kann dies helfen, Fehler schnell nachvollziehen und beheben zu können. Eine Liste mit den zuständigen Ansprechpartnern oder der Ermittlungsbehörde ist wichtig, damit möglichst zeitnah reagiert werden kann [vgl. DFN-CERT 2008a, S.1].

Um überhaupt zu bemerken, dass sich ein Angreifer unbefugten Zugang zu einem System verschafft hat, müssen die Hinweise hierauf richtig gedeutet werden. Nicht selten sind Systemeinbrüche nur anhand weniger und vor allem unauffälliger Anomalien zu erkennen [vgl. Geschonneck 2008a, S.45]. Je größer der Abstand zwischen dem Angriff und dem Entdecken des Angriffs ist, desto mehr Zeit hat der Angreifer, Schaden auf dem System anzurichten. Die folgenden Abschnitte zeigen auf, welche Anzeichen den Verdacht auf einen Angriff erhärten.

Die zuständigen Systemadministratoren sollten regelmäßig die aktuellen Log Files sichern und analysieren. Anzeichen für Anomalien können hier unerwartete Starts, Neustarts und/oder Abstürze von Diensten und ungewöhnliche Fehlermeldungen sein [vgl.DFN‑CERT 2008b]. Speziell bei Windows-Systemen sollte auf das nicht ordnungsgemäße Abschalten von Diensten, wie der Antivirenprogramme, geachtet werden.

In jedem Fall sollte dafür gesorgt werden, dass alle aktiven Benutzer, die angemeldet sind oder waren, protokolliert werden. Anhand dieser Daten lässt sich überprüfen, ob Anmeldungen von Benutzern zu ungewöhnlichen Zeitpunkten, wie beispielsweise mitten in der Nacht, stattgefunden haben. Gibt es Benutzer, die nicht in das System gehören, so sollte dem unbedingt nachgegangen werden [vgl. DFN-CERT 2008b, S.1]. Läuft das System unter Windows, können Benutzer unbefugt mit erweiterten Rechten versehen worden sein, oder aber der Gruppe der lokalen bzw. Domain Administratoren wurden unbekannte Mitglieder hinzugefügt [vgl. Geschonneck 2008a, S.47].

Ungewohnt hoher Netzwerkverkehr, sowohl eingehender, als auch ausgehender, könnte ein Zeichen für einen Angriff sein. Es könnten z. B. sensible Daten gestohlen werden [vgl.Schröm 1998, S.1] oder Pakete des Netzwerkverkehrs abgehört werden. Das erhöhte Transfervolumen kann jedoch auch von Prozessen verursacht werden, die normalerweise nicht laufen sollen. So kann ein angegriffenes System beispielsweise dazu verwendet werden, um Massenmails, so genannte Spam-Mails, zu versenden.

Werden die laufenden Prozesse protokolliert, so lässt sich nachvollziehen, ob Prozesse zu ungewöhnlichen Zeiten gestartet wurden, ob er mit einer falschen Benutzerkennung gestartet wurde und ob das System ungewöhnlich stark ausgelastet ist oder war. Vor allem bei Windows-Systemen kommt es häufiger vor, dass aktive Prozesse ähnlich der Systemdateien und/oder Serverprozessen benannt werden, um nicht gleich erkannt zu werden. Oft werden diese in ungewöhnlichen Pfaden versteckt [vgl.DFN‑CERT2008c].

Das unberechtigte Ändern der Konfiguration eines Systems deutet ebenfalls auf Unstimmigkeiten hin. Um sich auf dem Zielsystem freier bewegen zu können, versuchen die Angreifer oft die Konfiguration des Systems zu verändern und sich so mehr Rechte zu verschaffen. Es werden dann neue Regeln vergeben, die es ihnen unter anderem erlauben, die Firewall neu einzustellen oder gar ganz abzuschalten [vgl. CFN-CERT 2008c].

Das System sollte zudem regelmäßig nach unbekannten Dateien durchsucht werden. Vor allem Dateien mit besonderen Rechten, oder an ungewohnt abgelegter Stelle, können den Verdacht auf einen Einbruch erhärten [vgl. DFN-CERT 2008c]. Eventuell versteckte bzw. unsichtbare Dateien lassen sich mit der entsprechenden Einstellung auf dem jeweiligen System ebenfalls anzeigen.

3.1 Intrusion Detection-Systeme

Um die oben genannten Anzeichen nicht dauerhaft „per Hand“ überprüfen zu müssen, gibt es Frühwarnsysteme, welche Intrusion Detection-Systeme (Intrusion = Einbruch; Detection = entdecken/erkennen) genannt werden. Ein IDS kann Angriffe erkennen, bevor sie ihr Ziel erreicht haben und somit die Verfügbarkeit und Integrität von Systemen und Diensten erhöhen. Wurde ein Einbruch entdeckt, so kann das IDS diese Information automatisch an die verantwortlichen Personen weiterleiten [vgl. Cole et al 2007, S.434].

Es gibt verschiedene Ansätze, um die Anzeichen eines Angriffs aufzudecken. Man unterscheidet hierbei grundsätzlich zwischen hostbasierten und netzwerkbasierten Systemen. Hostbasierte Systeme überwachen die entsprechenden Rechner direkt, während netzwerkbasierte Systeme in der Regel Zugriff auf das gesamte Netzwerk haben. Diesen beiden Systemen wiederum liegen verschiedene Arten der Vorgehensweisen zugrunde. Sie arbeiten entweder signaturbasiert, oder aber anomaliebasiert.

Signaturbasierte IDS überprüfen die gesamte Kommunikation auf bestimmte, schädliche Bitmuster. Hierfür müssen sie speziell für jeden bekannten Angriff programmiert werden [vgl. Snell 2005, S.2]. Die bekannten Angriffsmuster werden in einer Datenbank abgelegt, welche laufend aktualisiert werden muss (vergleichbar mir einer Antivirensoftware). Diese Systeme sind sehr effizient und haben eine niedrige Fehlalarmrate [vgl. Cole et al 2007, S.435].

Ein anomaliebasiertes IDS erkennt Angriffe an unüblichem Verhalten des Benutzers. Bevor ein solches System zu Einsatz kommen kann, muss individuell ein Normalzustand des Systems ermittelt werden. Dieser Zustand wird anhand von Größen wie der Hauptspeicherauslastung, der CPU Leistung und der Bandbreitenauslastung des Netzwerkes im Normalbetrieb festgelegt [vgl. Cole et al 2007, S.435]. Das anomaliebasierte IDS vergleicht dann kontinuierlich die Ist- mit der Soll-Situation. Weichen Ist und Soll voneinander ab, so kann automatisiert Meldung erstattet werden. Durch außerplanmäßige, jedoch erwünschte Aktivitäten im sonst normalen Betrieb, kommt es zu einer hohen Fehlalarmrate bei anomaliebasierten Systemen, ein Normalzustand lässt sich oft nur schwer definieren. Der Vorteil solcher Systeme ist jedoch, dass sie auch bislang unbekannte Angriffsverläufe aufdecken können.

Netzwerkbasierte Systeme werden an zentralen Punkten im Netzwerk eingesetzt (siehe Abb.2). Dort sammeln sie bestimmte Informationen und leiten diese an eine Verwaltungskonsole weiter [vgl. Snell 2005, S.3]. Der Vorteil ist, dass sich die gesammelten Informationen verschlüsseln, oder über ein separates Netz übertragen lassen. Diese Informationen sind Hinweise auf schadhafte Pakete oder gefährdete Ports im Netzwerk, die sich in drei Klassen einteilen lassen [vgl. Cole et al 2007, S.436]. Die erste Klasse beinhaltet Pakete mit String-Signaturen, also auffällige Textmuster innerhalb des Paketes, welche auf einen Angriff schließen lassen. Des Weiteren wird nach Port-Signaturen gesucht. Hierbei werden Ports auf Verbindungsversuche überprüft, von denen bekannt ist, dass sie regelmäßig angegriffen werden. Als drittes werden die Header der Datenpakete im Netzwerk analysiert. Ist der Aufbau des Headers als gefährlich eingestuft oder unbekannt, so wird diese Information weitergegeben. Der Datenaustausch zwischen den einzelnen Punkten (in Abb.4 durch rote Punkte dargestellt) und der Konsole (IDS‑Managementstation) führt zu einer erhöhten Bandbreitenauslastung des Netzwerkes.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 5: Netzwerkbasiertes IDS

[BIS 2008]

Die in Abb.5 gezeigte Isolation von internem und dem externem Netz bewirkt eine zusätzliche Absicherung des Systems. Die hier abgebildete DMZ (= Demilitarized Zone) stellt einen separaten Zugriff auf öffentlich erreichbare Dienste wie beispielsweise E-Mails dar. Ein berechtigter Zugriff von Außen erfolgt hier nur auf die DMZ. Das interne Netz bleibt so vor unberechtigten Zugriffen geschützt.

Ein hostbasiertes IDS muss gegenüber netzwerkbasierten Systemen auf jedem Rechner, der überwacht werden soll, einzeln installiert werden (siehe Abb.6, blaue Punkte). Diesen überwacht er mit Hilfe der Log Files und der Auditingsysteme, welche Zugriffe auf sicherheitsrelevante Daten und Funktionen protokollieren. Zum einen gibt es so genannte Host Wrapper oder auch Personal Firewalls [vgl. Snell 2005, S.3], die die gesamten schadhaften Login- und Verbindungsversuche, sowie die Datenpakete, die den jeweiligen Rechner erreichen protokollieren. Zum anderen gibt es hostbasierte IDS, welche auf Agenten basieren. Diese sind so konfiguriert, dass sie sowohl Änderungen an Benutzerrechten wichtiger Systemdateien, als auch Zugriffsversuche auf diese erkennen. Hostbasierte IDS erkennen eine Vielzahl von Angriffen, müssen aber auf jedem Rechner einzeln gewartet werden.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 6: Hostbasiertes IDS

[BIS 2008]

3.2 Intrusion Prevention-Systeme

Ein Intrusion Prevention-System ist im Prinzip ein IDS mit erweiterten Funktionen. Neben dem Erkennen von Systemeinbrüchen und dem Benachrichtigen der zuständigen Personen kann ein IPS so konfiguriert werden, dass es im Alarmfall verschiedene Schutzmaßnahmen selber ausführt. Diese Maßnahmen können entweder das Unterbrechen oder das Verändern des Datenverkehrs sein. Da IPS beim Aufspüren von Angriffen genau so arbeiten wie IDS können diese ebenfalls host- oder netzwerkbasiert sein [vgl.Coleetal 2007, S.439].

3.3 Penetrationstests

Systeme sollten auf ihre Schwachstellen hin überprüft werden. Mit so genannten Penetrationstests wird ein Angriff simuliert. Damit lässt sich auch überprüfen, ob die IDS bzw. IPS ordnungsgemäß arbeiten. Diese Aufträge werden zumeist an unabhängige externe Firmen, die sich auf dieses Gebiet spezialisiert haben, vergeben. Die Ziele der Auftraggeber sind vor allem:

1. Erhöhung der Sicherheit der technischen Systeme
2. Identifikation von Schwachstellen
3. Bestätigung der IT-Sicherheit durch einen externen Dritten
4. Erhöhung der Sicherheit der organisatorischen und personellen Infrastruktur

[BSI 2003, S.10-11]

Das Ergebnis des Tests kann dann dazu genutzt werden, vorhandene Schwachstellen zu beseitigen und organisatorische Abläufe zu optimieren. Abb. 7 zeigt, welche Arten von Penetrationstests durchgeführt werden können. Die Entscheidung, wie getestet werden soll, liegt bei dem jeweiligen Auftraggeber.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 7: Klassifikation von Penetrationstests

[BSI 2003, S. 13]

Im ersten Schritt wird festgelegt auf welcher Informationsbasis der Test durchgeführt werden soll. Black-Box bedeutet in diesem Fall, dass der Angriff aus Sicht eines unbeteiligten Angreifers mit keinen Vorkenntnissen über das anzugreifende System gefahren wird. Bei der White-Box Variante wird von einem Mitarbeiter oder sonstigen Personen mit zumindest geringen Kenntnissen ausgegangen. Auch ist es wichtig zu klären, welche Systeme von welchem Punkt aus und mit welcher Intensität angegriffen werden sollen [vgl.BSI2003,S.13].

Ein Penetrationstest spiegelt allerdings immer nur die aktuelle Situation wider. Da ständig neue Sicherheitslücken in Anwendungsprogrammen und IT-Systemen entdeckt werden, kann nicht von einem dauerhaften Schutz für die Zukunft ausgegangen werden [vgl. BSI 2003, S.12].

[...]

Ende der Leseprobe aus 59 Seiten

Details

Titel
Einführung in die Computer-Forensik
Hochschule
Universität Hildesheim (Stiftung)  (Institut für Mathematik und Angewandte Informatik)
Note
1,8
Autor
Jahr
2008
Seiten
59
Katalognummer
V192597
ISBN (eBook)
9783656180555
ISBN (Buch)
9783656181200
Dateigröße
1118 KB
Sprache
Deutsch
Schlagworte
Forensik, Computer-Forensik, Computerkriminalität, Hacker, Hacken, Computerangriffe, Antiforensik, Viren, Trojaner, Malware, Hacking
Arbeit zitieren
Philine Brinkmann (Autor:in), 2008, Einführung in die Computer-Forensik, München, GRIN Verlag, https://www.grin.com/document/192597

Kommentare

  • Noch keine Kommentare.
Im eBook lesen
Titel: Einführung in die Computer-Forensik



Ihre Arbeit hochladen

Ihre Hausarbeit / Abschlussarbeit:

- Publikation als eBook und Buch
- Hohes Honorar auf die Verkäufe
- Für Sie komplett kostenlos – mit ISBN
- Es dauert nur 5 Minuten
- Jede Arbeit findet Leser

Kostenlos Autor werden