Zertifizierungslehrgang IT-Forensik CERT-Spezialist: IuK Forensik, Incident-Response & IT-Recht (ITFOREN)

Kursbeschreibung Kurstermine
 

Zielgruppe

In diesem 4-Tagesworkshop für Sicherheitsverantwortliche und CERT-Mitarbeiter wird dargelegt, wie strafbare Handlungen im Bereich der Computer- & Telko-Kriminalität nachgewiesen und aufgeklärt werden können. Der Fokus liegt dabei auf den Themen Incident-Response, Fraud-Management und den Möglichkeiten von IuK-Forensischen Analysen.

Voraussetzungen

Die Teilnehmer sollten über detaillierte Kenntnisse in den Bereichen Netzwerktechnologien und Betriebssysteme (Fokus Microsoft Windows) verfügen.

Kursziele

Neben der Vermittlung von theoretischem Grundlagen-Wissen (z.B. IuK-Forensik Methodologie, Gerichtverwertbarkeit / Einbeziehung der Behörden etc.) wird das Seminar v.a. durch viele Beispiele aus der Praxis und Hands-On-Übungen (z.B. Einführung in ein Forensik-Toolkit unter Windows) aufgelockert.

Ein Forensik-Contest (Analyse eines anonymisierten echten Falls) fasst die Seminarinhalte zusammen und bildet somit die Basis für die Prüfung.

Das Seminar wird abgerundet von einer rechtlichen Betrachtung der IT-Forensik. Dem Teilnehmer wird vermittelt, welche rechtlichen Anforderungen an die Beweisführung in den verschiedenen Rechtsgebieten zu stellen sind und wo Verwertungsverbote drohen können. Anhand der rechtlichen Anforderungen wird mit den Teilnehmern eine Methodik für strukturelle Untersuchungen erarbeitet. Der Teilnehmer erhält Handlungsempfehlungen für den Umgang mit Ermittlungsbehörden sowohl für die Rechtsverfolgung als auch für die Rechtsverteidigung.

Nach Abschluss des Seminars werden die Teilnehmer in der Lage sein, Beweise im Bereich der IuK-Forensik "gerichtsfest" zu sichern, zu protokollieren und teilweise auch selbst auszuwerten.

Jeder Teilnehmer erhält eine kursbegleitende Workshop-Unterlage (verwendete PowerPoints, Beispielformulare, zusätzliche Informationen und Dokumente). Viele Praxisbeispiele runden den umfangreichen Seminarinhalt ab.

Kursinhalt

Tag 1: Theoretische Grundlagen für IT-Forensik

  • Einleitung und Beispiele aus der Praxis
  • Verschiedene Arten von IT-Forensik
    • Live Response Analyse
    • Post Mortem Analyse
    • E-Discovery
    • Logfileauswertung
    • Analyse eines Phishing Angriffs
    • Honeypots
    • Malware Analyse
    • Mobile Geräte
  • CERT - Unternehmensinterne IT-Forensiker
    • Mögliche/übliche Aufgaben
    • Klassische Prozesse
    • Vorabreiten die im Ernstfall helfen
    • Equipment
    • Reportvorlagen
    • Regelmäßiges Reporting
    • Erkennung von Incidents
  • Vorgehensweise bei forensischen Analysen
    • Aufnahme der IST Situation
    • Definition der Zielsetzung bzw. zu klärenden Fragen
    • Auswahl geeigneter Beweisobjekte
    • Beweissicherung
    • Durchführung der forensischen Analyse
    • Dokumentation der Ergebnisse und Erstellung eines Berichts
  • Mögliche Beweisobjekte
    • Festplatten von Servern und Clients
    • Virtuelle Maschinen
    • Embedded Devices (Smartphones)
    • PST Files (Exchange Export)
    • Datei Export aus Netzlaufwerken
    • Backups
    • Logdateien
    • SIEM System
    • CloudSpeicher
    • Korrelierte Beweisobjekte
  • KnowHow Bausteine
    • Überblick über die Ordnerstruktur von Windows
    • Überblick über die Struktur der Windows Registry
    • Überblick über die Ordnerstruktur von Linux
    • Einführung in die RAM Analyse
    • Einführung in Datenspeicher & Dateisysteme
  • Wie funktionieren Festplatten
  • Spezialfall SSD
  • USB Sticks
  • Master File Table
  • SlackSpace
  • FreeSpace
  • Alternate Data Streams
  • Gelöschte Dateien
    • Einführung in die Analyse von Logfiles
  • Windows Eventlogs
  • Generelles Syslog
  • W3C Logs
  • Firewall Logs
  • AV Logs
  • Weitere Logs
    • Wiederherstellung gelöschter Files
    • Durchsuchen des Inhalts von Beweisobjekten
    • Analyse der Internetnutzung
  • Browser History
  • Cookies
  • Browser Cache
  • Bookmarks
  • DNS Cache
    • Analyse von Dokumenten
  • Versionierung von Dokumenten
  • Metainformationen

Tag 2: Theoretische Grundlagen für IT-Forensik & Praktische Übungen

  • Vorstellung einiger hilfreicher Tools
    • Access Data FTK Imager
    • IS-Fox Live Response Toolkit
    • Access Data Forensic Tool Kit
    • X-Ways Forensics
    • Get Data Back
    • Log2timeline
    • LogParser
    • Volatility
    • Cuckoo Box
    • Splunk
    • SIFT Workstation
    • Hardware Duplizierer
  • Planspiel: Planung und Start von forensischen Analysen
    • Erläuterung von Beispielfällen
    • Planung der Vorgehensweise
    • Ermittlung der benötigten Beweisstücke
    • Ermittlung welche weiteren Informationen benötigt werden
    • Formulierung klarer Fragestellungen
  • Exkurs: Advanced Persistent Threats (APT)
    • Einführung in APT
    • Erkennung von APT
    • Analyse von APT
    • Ansätze zur Remediation

Tag 3: Praktische Übungen -Einführung in ausgewählte Analysemethoden

  • Lösung verschiedenener kleiner Fälle/Aufgaben mit
    • Konkreter Fragestellung
    • Passenden Beweisobjekten
    • Aufbereitung der Ergebnisse
  • Beispiele für mögliche Fälle/Aufgaben
    • Forensisches Image von USB Stick erstellen
    • Live Response erstellen und auswerten
    • Volltextsuche in einem Image
    • Rekonstruktion von Ereignissen zum Zeitpunkt x durch Logfileanalyse
    • Auswertung einer Windows Registry
    • Analyse eines Phishing Angriffs
    • Basis Malware Analyse
    • Analyse eines Benutzerprofils
    • Analyse eines iPhones
    • Prüfungsvorbereitung & 1. Teil-Prüfung (Optional)

Tag 4: Rechtsfragen in der IT-Forensik

  • Aufgaben und Exponierung des IT-Verantwortlichen
  • Organisationsverpflichtung: Beweissicherungskonzept
  • Gerichtliche Beweisführung
    • Zivilrecht
    • Strafrecht
    • Arbeitsrecht
    • Folgerungen für die IT-Forensic
  • Rechtliche Aspekte der digitalen Beweissicherung
  • Methodik struktureller Untersuchungen
    • Externe Angriffe
    • Interne Angriffe
    • Internationale Komponente
    • Datenschutz
  • Umgang mit Behörden
    • Strafanzeige
    • Akteneinsicht
    • Durchsuchungen
    • Beschlagnahmungen
    • Prüfungsvorbereitung & 2. Teil-Prüfung (Optional)
Classroom Training

Dauer 4 Tage

Preis (exkl. MwSt.)
  • Deutschland: 2.850,- €
Termine und Buchen
 
Kurstermine

Derzeit gibt es keine Trainingstermine für diesen Kurs. Termin anfragen