Schulung zu IT-Forensik

An gemeinsamen Fällen lernen

Training macht den Meister!

DigiTrace ist seit Gründung anerkannter Anbieter für Fortbildungen und Informationsveranstaltungen zu IT-Forensik (Computerforensik) in Verbindung mit IT-Sicherheit, sowohl präventiv als auch reaktiv, für Unternehmen und Behörden. Wir führen regelmäßig Schulungen zu Grundlagen, Methoden, Artefakten, Anwendungen und Werkzeugen in der IT-Forensik durch.

Zielgruppe sind neben IT-Forensikern je nach Schulung alle Personen, deren professionelle Rolle einen Bezug zu IT-Forensik aufweist, z.B. IT-Compliance-Beauftragte, Revisoren, Datenschützer, Rechtsanwälte oder Mitarbeiter von IT-Abteilungen.

Im Fokus unserer Workshops und Schulungen stehen Lernerfolg durch eigene Praxisarbeit aller Teilnehmer im Wechsel mit verständlich präsentierten Theorieeinheiten. Einen Schwerpunkt nehmen meist Praxisprobleme ein, sowie Strategien und Techniken, um bestmöglich auf diese reagieren zu können.

Unsere Referenten sind langjährig fachlich in der IT-Forensik und didaktisch erfahren und reichern die Veranstaltungen durch Beispiele aus eigener Berufspraxis an.

Schulungen können bei Ihnen, in einem Tagungshotel, bei Ihnen oder in Zusammenarbeit mit einem Schulungsanbieter stattfinden.

Auf Wunsch passen wir die Inhalte individuell für Ihren Bedarf an. Auch die Dauer können wir auf Ihre Vorkenntnisse hin ausrichten. Nachfolgend ist der typische Schulungsumfang angegeben. Ausführliche Beschreibungen erhalten Sie auf Anfrage.

  • Forensik von IPv6-Netzwerken (2 Tage)
  • Live-Forensik (1-2 Tage)
  • Forensic Readiness: So machen Sie Ihr Unternehmen fit für IT-Forensik und eDiscovery (1 Tag oder als halbtägige Intervention)
  • Forensik von Windows-Betriebssystemen (2-3 Tage) (behandelt Win 8, Win 7; Win 10 im Aufbau)
  • Auswertung typischer Windows-Anwendungsartefakte (2-3 Tage)
  • IT-forensische Auswertung der Windows-Registry (3-5 Tage)
  • Einführung in SQL und Datenbankforensik (Schwerpunkt ESEDB, SQLite) (2 Tage)
  • Perl und Skripting für IT-Forensiker (2 Tage)
  • Zeitstempel interpretieren und Zeitleisten anwenden (1-2 Tage)
  • Einführung in eDiscovery: E-Mail-Verarbeitung und Dokument-Bewertung (1 Tag)
  • IT-forensische Untersuchungen mit der Software X-Ways Forensics (2 Tage)

Wir haben auch weitere spannende Schulungsthemen im Angebot oder in Vorbereitung (z.B. Mobilfunkforensik, Cloudforensik, Mac-Forensik). Bitte fragen Sie bei uns nach, sollten Sie etwas vermissen.

Virtualisierung mit tacNET

Zu unseren regelmäßig durchgeführten Trainings in IT-Forensik zählen "Forensik von IPv6-Netzwerken" und "Live-Forensik". Bei Bedarf verwenden wir eine auf tacNET basierende, leistungsfähige Virtualisierungsumgebung. Diese nutzt libvirt und kvm und ermöglicht, Schulungsteilnehmern jeweils eigene Test-Netzwerke zu Verfügung zu stellen, damit diese sich untereinander nicht beeinflussen können.

Forensik von IPv6-Netzwerken

Dieses zweitägige Training richtet sich an IT-Forensiker, die einen Einstieg in die Welt der IPv6-Netzwerke erhalten möchten. Nach einer kurzen Wiederholung allgemeiner Netzwerkgrundlagen und IPv4-Techniken beschäftigten wir uns ausführlich mit den Neuerungen und Grundlagen in IPv6. Theorie und Praxis wechseln sich in diesen Phasen in motivierendem Wechsel ab, so dass immer der Praxisbezug im Fokus bleibt. Anschließend werden weitergehende Konzepte vorgestellt, die über IPv6-Grundlagen hinausgehen und dem IT-Forensiker eher vom Konzept her geläufig sein müssen. Den Schwerpunkt der Schulung bildet dann die gemeinsame Auseinandersetzung mit allen IT-forensischen Aspekten in IPv6-Netzwerken, denen IT-Forensiker üblicherweise oder in besonderen Fällen begegnen. Zu IPv6-Forensik haben wir vor einiger Zeit den Fachartikel "Spurensuche - Was sich durch IPv6 für IT-Forensiker ändert" veröffentlicht.

Inhalte sind z.B.

  • IPv6-Adressierung, Struktur von IPv6-Paketen, IPv6 unterstützende Protokolle
    (z.B. Neighbour Discovery Protocol – NDP)
  • Informationssammlung in unbekannten IPv6-Netzwerken
  • IT-forensische Analyse IPv6-fähiger IT-Systeme

Live-Forensik

  • Grundlagen der Live-Forensik,
  • technische Hintergründe z.B. zu Hauptspeicherstrukturen,
  • typische Herausforderungen in der Praxis und
  • bewährte "Kniffe"

Der Workshop ist ganzheitlich und präsentiert neben theoretischen Inhalten im Schwerpunkt Lösungen sowie Wissen für die praktische Arbeit (z.B. Anfertigen und Untersuchen Hauptspeicherabbildern) und  bietet damit hohe Motivation und direkte Anwendung gelernten Wissens.

Inhalte sind z.B.

  • Technische Grundlagen etwa zu Hauptspeicherstrukturen
  • Strategien und Techniken zur Vorbereitung und Durchführung von Projekten mit Live-Forensik
  • Bewährte Werkzeuge wie Volatility
  • Techniken zur Anfertigung von Hauptspeicherabbildern
  • Wichtige Grundlagen zur korrekten und vollständigen Dokumentation durchgeführter Arbeiten
  • Wiederholung / Grundlagen zu IT-forensischen Auswertungsmöglichkeiten an laufenden IT-Systemen

Forensic Readiness: So machen Sie Ihr Unternehmen fit für IT-Forensik und eDiscovery

Organisationen können Fehler vermeiden und Geld sparen, wenn sie sich auf kommende Projekte in IT-Forensik und eDiscovery geeignet vorbereiten. Basierend auf unseren langjährigen Erfahrungen, die wir kürzlich im Fachartikel "Im Ernstfall bereit: Vorbereitungen für IT-forensische Untersuchungen" veröffentlicht haben, behandeln wir entlang eines Vorgehensmodelles präventive und reaktive Maßnahmen über den gesamten Lebenszyklus eines solchen Projektes hinweg. Diese betreffen nicht nur die IT-Abteilung, sondern auch Prozesse und die organisatorische Handlungsbereitschaft.

Forensik von Windows-Betriebssystemen

Dieser Kurs behandelt die IT-forensische Untersuchung und Interpretation von Spuren auf Windows-Betriebssystemen. Aktueller Inhalt sind typische Betriebssystem-Artefakte zu Windows 7 und Windows 8. Zu Windows 8 haben wir vor einiger Zeit selbst den Fachartikel "Windows 8-Forensik" publiziert. Windows 10 befindet sich im Aufbau. Einige Beispiele für solche Artefakte: Hauptspeicher, Dateisystem, Apps, Eventlogs, Windows-Registry, Bibliotheken, JumpLists, Prefetch, Bitlocker, Schattenkopien, Papierkorb, Windows Search, Familiensicherung, ...

Auswertung typischer Windows-Anwendungsartefakte

Neben den Betriebssystem-Artefakten müssen IT-Forensiker auch die auf Rechnern installierten Anwendungen untersuchen. In diesem Kurs geht es um unterschiedlichste Anwendungen, die vorinstalliert sind, von Nutzern installiert wurden oder die installationsfrei aufgerufen werden können. Dazu zählen beispielsweise: Webbrowser, Office, Mailer, P2P/Dateisharer, Downloader, Chat-Programme, FTP-Clients, Multimedia-Betrachter, Software-Firewalls und Virenschutzlösungen. Insgesamt wird auch die Methodik der statischen und dynamischen Analyse von Programmen behandelt, also der Eigenschaften und des Verhaltens von Software.

IT-forensische Auswertung der Windows-Registry

Aus der Windows-Registrierungsdatenbank lassen sich sehr wertvolle Informationen gewinnen. So ist es nicht verwunderlich, dass IT-Forensiker diese verstehen und auswerten. Hierzu haben wir vor einiger Zeit den Fachartikel "Spurensuche in der Windows-Registry" veröffentlicht. In diesem Kurs stellen wir wichtige Konzepte der Windows Registry vor und verwenden verschiedene Werkzeuge, z.B. RegRipper, um Erkenntnisse über Abläufe auf Windows-Systemen und Handlungen unter Nutzerprofilen zu gewinnen, die für IT-forensische Untersuchungen bedeutsam sind. Der Kurs kann am letzten Tag als Workshop gestaltet werden, in dem die Teilnehmer eigene Auswertungsmodule programmieren.

Einführung in SQL und Datenbankforensik

Zahlreiche Programme und Apps nutzen Datenbanken, also formal explizit strukturierte Daten. Dieser Kurs geht allgemein auf die Datenbankforensik ein, beschränkt sich dann aber auf die beiden in der Praxis wichtigsten Datenbankformate ESEDB (z.B. Exchange, Windows Search) und SQLite (viele Webbrowser und Apps). Es werden Methoden und Werkzeuge vorgestellt, um diese Daten abzufragen und anwendungsspezifisch zu interpretieren. Für ESEDB wird libesedb verwendet, für SQLite kommen verschiedene SQL-Werkzeuge zum Einsatz. Wichtige SQL-Konzepte und Befehle werden vorgestellt, die für Auswertungen benötigt werden. Am Beispiel SQLite wird auch besprochen, welche Möglichkeiten es gibt, gelöschte Einträge wieder herzustellen.

Perl und Skripting für IT-Forensiker

Etliche Aufgaben bei IT-forensischen Tätigkeiten kehren immer wieder. IT-Forensiker können sich hierfür kleine Helfer programmieren, z.B. in Skriptsprachen wie Python oder Perl. Zudem sind einige IT-forensische Auswertungsumgebungen skriptbar. Dieser Kurs stellt etliche solcher eher kürzerer Programme vor und bringt die Grundlagen bei, selbst einfachere Lösungen zu programmieren. Zielgruppe sind IT-Forensiker, die selbst Erfahrung in der Auswertung haben, aber eher selten programmieren oder hierin kaum Vorkenntnisse haben.

Zeitstempel interpretieren und Zeitleisten anwenden

Häufig müssen IT-Forensik Zeitstempel von Dateien oder in Logfiles interpretieren und auf ihre Plausibilität überprüfen. Dazu müssen sie z.B. wissen, welche Zeitstempel es gibt, unter welchen Bedingungen welche Zeitstempel geschrieben werden, was Zeitzonen und time drift sind. Sie müssen auch verschiedene Zeitstempelformate und mögliche zeitliche Relationen zwischen Zeitstempeln verstehen. Bisweilen muss man als IT-Forensiker auch überprüfen, ob Zeitstempel zutreffen, korrigiert werden müssen oder gar absichtlich gefälscht sind. Nicht notwendig sind digitale Beweise verdorben, nur weil ein Anwender Zeitstempel verändert hat. Der Abgleich zwischen verschiedenen Schichten und auf externe Zeitgeber ermöglicht weitere Erkenntnisse.

Es ist zweckmäßig, IT-forensische Untersuchungen nicht nur Sachverhalt- und Artefakt-bezogen durchzuführen. Oftmals ist auch die Frage zu beantworten: was ist im zeitlichen Ablauf in einem bestimmten Zeitraum passiert. Hierzu eignen sich Zeitleisten.

Dieser Kurs behandelt Konzepte, Methoden und Werkzeuge zu Zeitstempel und Zeitleisten und ermöglicht so, Aussagen zu Zeitpunkten, Zeitverhältnissen und zeitlichen Abläufen zu treffen.

Einführung in eDiscovery: E-Mail-Verarbeitung und Dokument-Bewertung

In IT-forensischen Untersuchungen ist es oft erforderlich, E-Mails zu sichern, zu untersuchen, zu verarbeiten und aus einer große Anzahl von Daten relevante Dokumente und E-Mails zu identifizieren und auf Sachverhalte hin zu beurteilen.

So müssen bei der Sicherung von E-Mails aus Datenschutzgründen E-Mails zu Personen frühzeitig aus Containern herausgefiltert werden, die mehrere Personen betreffen. Es kann auch notwendig werden, Daten verschiedener Unternehmen nach zeitlichen oder inhaltlichen Kriterien zu trennen. Zudem ist bisweilen die Anforderung zu erfüllen, bestimmte E-Mails, typischerweise privater Natur oder Spam, vorab auszufiltern. E-Mail-Verarbeitung schließt häufig auch die Wandlung zwischen Formaten ein.

Im eDiscovery werden Datenbestände so aufbereitet, dass sie komfortabel nach Stichworten durchsucht und inhaltlich nach Sachverhalten beurteilt werden können.

Dieser Kurs kann wahlweise ausgerichtet werden auf Personen, die E-Mails technisch verarbeiten und eDiscovery-Umgebungen bereit stellen und betreuen sollen (z.B. Mitarbeiter von IT- oder Compliance-Abteilungen) oder auf Personen, die E-Mails inhaltlich beurteilen sollen, aber keine technischen Tätigkeiten dazu durchführen sollen (z.B. als Reviewer-Schulung für Rechtsanwälte oder Wirtschaftsprüfer).

In diesem Kurs behandeln wir Konzepte zu E-Mails, verschiedene E-Mail-Formate, Möglichkeiten der Verarbeitung von E-Mails, Werkzeuge zur Sicherung und Verarbeitung von E-Mails, sowie eDiscovery-Prozesse am Beispiel der eDiscovery-Umgebung Intella.

IT-forensische Untersuchungen mit der Software X-Ways Forensics

In diesem Kurs nutzen wir die verbreitete IT-forensische Auswertungsumgebung X-Ways Forensics, um typische Aufgaben von IT-Forensikern bei der Sicherung und Auswertung zu erledigen. Hierzu haben wir Demonstrations-Images mit Szenarien und Aufgaben vorbereitet. Soweit für das Verständnis erforderlich, werden nicht nur Bedienung der Software vermittelt, sondern auch die zugrunde liegenden Konzepte, einschließlich der praxisbezogenen Interpretation der untersuchten Artefakte und Datenspuren.

Bitte kontaktieren Sie uns für ein individuelles Schulungsangebot im Bereich IT-Forensik!

Teilnehmerfeedback

"Vielen lieben Dank noch einmal für das tolle Event. Hat sehr viel Spaß gemacht und der Lerneffekt war in jedem Fall da."

Capture The Flag - Veranstaltung Juni 2015

 

Ihr Ansprechpartner

Alexander Sigel

Alexander Sigel
Tel.: 0221-6 77 86 95-1
E-Mail: sigel@digitrace.de