IT-Forensik (ITF)

• IT Sicherheitsbeauftragte
• EDV Revisoren
• Mitglieder von Incident Response Teams
• Teilnehmer des Security- / Hacking-Curriculums

• Grundkenntnisse Microsoft Windows
• Grundkenntnisse Dateisysteme (Verzeichnisse, Dateien)
• Kenntnisse der Kommandozeile (“DOS-Ebene”) sind hilfreich
• Kenntnisse aus dem Security- / Hacking-Curriculum sind hilfreich

Computer haben sich als Helfer und Werkzeuge im Alltag etabliert: Wir vertrauen den Geräten sensible Informationen an und verlassen uns darauf, dass diese jederzeit wieder abrufbar sind. Leider werden Computer auch zunehmend mißbraucht: „Console-Cowboys“ dringen in fremde Server ein, oder interne Mitarbeiter versuchen sich einen Wissensvorsprung zu verschaffen. Der Kurs zeigt

• mit welchen Incident Response Techniken ein Unternehmen richtig auf Computer-Mißbrauch reagiert,
• wie mögliche Beweismittel identifiziert und sachgerecht transportiert werden,
• mit welchen Mechanismen Microsoft Windows Betriebssysteme Ereignisse und Benutzer-Aktivitäten protokollieren,
• wann welche Programme auf einem Computer ausgeführt wurden,
• wann welche Dateien bearbeitet wurden,
• wie gelöschte Dateien rekonstruiert werden

Der Kurs ist produktneutral und behandelt Arbeitstechniken, Prozesse, Datenstrukturen und Sachverhalte. Die vermittelten Kursinhalte können mit beliebigen kommerziellen und nicht-kommerziellen Forensik-Programmen umgesetzt werden. Der Kurs enthält zahlreiche praktische Übungen.

• Incident Response Prozess als Grundlage für IT Forensik
• Verhalten am Tatort
• Ablauf einer forensischen Untersuchung
• Aufbau und Funktionsweise von Festplatten
• Partitionen
• Übersicht über Dateisysteme
• Analyse von Windows Computern
• Datenstrukturen des FAT Dateisystems
• Übersicht über das Dateisystem NTFS
• Protokolldaten in der Registry
• Auswertung von Netzwerk-Verkehr
• Smartphones und PDAs
• Marktübesicht komerzielle Forensik-Software
• Verwertung gewonnener Erkenntnisse