de it fr

684 Systeme digital-forensisch untersuchen

Modul
Systeme digital-forensisch untersuchen
Kompetenz
Untersucht persistente, temporäre und flüchtige Daten von Systemen verdachtsbezogen auf sicherheitsrelevante Spuren und Malware und wertet die Ergebnisse der Untersuchung aussagekräftig und zielgruppengerecht aus.
Handlungsziele
1 Klärt und definiert mit dem Auftraggeber den Verdacht, die Zielsetzung und die Rahmenbedingungen für eine digital-forensische Untersuchung.
  Handlungsnotwendige Kenntnisse:
1 Kennt die typischen Phasen und Aktivitäten einer digital-forensischen Untersuchung (z. B. Identifizierung des Untersuchungsgegenstands, Datensammlung und -konservierung, Untersuchung, Auswertung, Berichterstattung) und kann etablierte Standards nennen (z. B. NIST Guidelines, BSI Leitfaden IT-Forensik).
2 Kennt typische Teilbereiche der digitalen Forensik (z. B. Disk-, Memory-, Betriebssystem-, Netzwerkforensik) und kann deren Relevanz bei der Untersuchung von Servern, standortgebundenen und mobilen End- und Peripheriegeräten, Speicherlösungen und Applikationen erläutern.
3 Kennt relevante Datenarten für digital-forensische Untersuchungen (z. B. Konfigurationsdaten, Prozessdaten, Anwendungsdaten, Sitzungsdaten, Kommunikationsprotokolldaten, Metadaten) und kann Beispiele dazu und die Unterschiede zwischen den Arten erläutern.
4 Kennt relevante organisatorische und technische Rahmenbedingungen bei digital-forensischen Untersuchungen (z. B. Identifikation aller betroffenen Systeme und Mitarbeitenden, Zeitbedarf und Dilemma mit rascher Wiederherstellung des Betriebs, haftungsrechtliche Risiken, Zugang zu Infrastruktur und Netzen, Verhältnismässigkeit).
 
2 Legt unter Berücksichtigung der Zielsetzung und der Rahmenbedingungen die Methode und das Vorgehen für die digital-forensische Untersuchung fest.
  Handlungsnotwendige Kenntnisse:
1 Kennt die Voraussetzungen, Möglichkeiten und Grenzen für Post-Mortem-Analysen (Dead-Box, Offline) und Live-Analysen (Live-Box, Online) und kann die Unterschiede der beiden Analyseansätze erläutern.
2 Kennt die Unterschiede zwischen datenorientiertem und vorfallsorientiertem Vorgehen bei digital-forensischen Untersuchungen und kann die Relevanz der Timeline für den Nachvollzug erläutern.
3 Kennt die Voraussetzungen, Möglichkeiten und Grenzen von statischen und dynamischen Malware-Analysen und kann die Unterschiede der beiden Analyseansätze erläutern.
 
3 Überprüft die rechtliche Konformität einer digital-forensischen Untersuchung und leitet bei Bedarf Korrekturmassnahmen ein.
  Handlungsnotwendige Kenntnisse:
1 Kennt die relevanten Vorgaben zum Datenschutz bei digital-forensischen Untersuchungen durch private Organisationen (z. B. Anordnung der Untersuchung, Kommunikation und Ankündigung, Persönlichkeitsschutz).
2 Kennt die relevanten strafrechtlichen Vorgaben und Grenzen bei digital-forensischen Untersuchungen durch private Organisationen (z. B. Einschränkung auf eigene Infrastruktur, Unbefugte Datenbeschaffung, Unbefugtes Eindringen in ein Datenverarbeitungssystem, Datenbeschädigung).
3 Kennt die Voraussetzungen für digital-forensischen Untersuchungen durch Strafuntersuchungsbehörden und kann deren erweiterte Möglichkeiten nennen (z. B. Zugriff auf Daten von Dritten mittels Gerichtsbeschlusses oder Rechtshilfegesuch).
4 Kennt die Anforderungen an einen digital-forensischen Ermittlungsprozess (z. B. Integrität der Daten, Akzeptanz und Glaubwürdigkeit der Methoden, Wiederholbarkeit, Dokumentation) und kann deren Relevanz für eine robuste Beweismittelkette (Chain Of Custody) und die gerichtliche Verwertbarkeit von Beweismitteln erläutern.
 
4 Akquiriert die zu untersuchenden Systeme und sichert die relevanten persistenten, temporären oder flüchtigen Daten.
  Handlungsnotwendige Kenntnisse:
1 Kennt die Anforderungen an die forensische Sicherung von physischen Datenträgern mit persistenten Daten (z. B. Arbeits- und Archivkopie, Vollständigkeit, Fehlerbehandlung, Integrität) und kann erläutern, mit welchen Massnahmen diese Anforderungen sichergestellt werden (z. B. Einsatz von Hard- oder Software-Schreibblockern, bitweises Kopieren, kryptografische Checksumme).
2 Kennt die Anforderungen an die forensische Sicherung von flüchtigem Arbeitsspeicher und temporären Auslagerungsdateien und kann erläutern, welche Informationen für die Analyse eines Speicherabbildes zusätzlich gesichert werden müssen (z. B. Systemdatum und Uhrzeit, Liste der aktiven Prozesse und Applikationen, aktive Netzwerkverbindungen).
3 Kennt geeignete Werkzeuge zur Erstellung forensischer Duplikate von Datenträgern und Verbünden von Datenträgern (RAID-Systemen).
4 Kennt geeignete Werkzeuge zur Erstellung von Speicherabbildern von Arbeitsspeichern (z. B. Volatility, Autopsy, The Sleuth Kit).
5 Kennt Möglichkeiten, Techniken und Werkzeuge zur Sicherung von virtualisierten Systemen (z. B. Kopieren von RAM- oder HDD-Files, Snapshots).
 
5 Untersucht die gesicherten Daten auf verdachtsbezogene Spuren oder Indikatoren für Malware und protokolliert die Untersuchung fortlaufend und lückenlos.
  Handlungsnotwendige Kenntnisse:
1 Kennt relevante Merkmale der Rechnerarchitektur von standortgebundenen und mobilen Geräten (z. B. Prozessor, Datenspeicher, Schnittstellen) und kann deren Unterschiede und Relevanz für digital-forensische Analysen erläutern.
2 Kennt gängige Betriebssysteme für standortgebundene und mobile Geräte (z. B. Windows, Unix/Linux, Mac OS, iOS, Android) und kann deren Merkmale und Unterschiede für digital-forensische Analysen erläutern. (z. B. Kernel, Systemaufrufe, Prozessverwaltung, ausführbare Dateiformate, Bootprozess, Speicherort von Konfigurationsdaten).
3 Kennt gängige Konzepte zur Partitionierung von Datenträgern (z. B. DOS/MBR, Apple Partition, BSD Partition, GUID Partition Table GPT) und Verbünden von Datenträgern (z. B. RAID, Disk Spanning, JBOD, NRAID) und kann deren Merkmale, Unterschiede und Relevanz für digital-forensische Analysen erläutern.
4 Kennt gängige Dateisysteme (z. B. FAT, NTFS, ExtX, UFS) und kann deren Merkmale, Unterschiede und Relevanz für digital-forensische Analysen erläutern (z. B. Datenstruktur, Datei- und Verzeichnisnamen, Journaling, Datenrettung/Carving).
5 Kennt gängige kryptografischen Verfahren für die Verschlüsselung von Daten (z. B. RSA, ECDHE, ECDSA, SHA, 3DES, AES) und kann deren Funktionen (Schlüsselaustausch, Authentisierung, Hashfunktion und Verschlüsselung) und den Einfluss auf digital-forensische Analysen erläutern.
6 Kennt typische Indikatoren zur Erkennung von Malware (z. B. Hashwerte, Dateinamen, Registry-Schlüssel, YARA-Regeln) und kann relevante Quellen solcher Indikatoren nennen (z. B. OpenIOC, YARA-Repository, CTI der Organisation).
7 Kennt geeignete Werkzeuge für die Analyse von Dateien und deren Inhalte.
8 Kennt die wesentlichen Inhalte eines nachvollziehbaren Untersuchungsprotokolls (z. B. Identifikation, Timeline und Zeitstempel, Aktivität, Werkzeuge und Parameter, Resultate, Belege).
 
6 Analysiert verdächtige Dateien in Bezug auf unerwünschte oder schädliche Funktionen und beschriebt die Indikatoren für identifizierte Malware.
  Handlungsnotwendige Kenntnisse:
1 Kennt geeignete Werkzeuge für die statische Analyse von Malware und kann deren Anwendungs- und Einsatzzweck erläutern (z. B. Ermittlung von Dateieigenschaften und Metadaten, HEX-Editoren, Mustererkennung, Disassemblierung, Reverse Engineering).
2 Kennt typische Herausforderungen bei der statischen Analyse von Malware (z. B. Kompression, Verschlüsselung oder Verschleierung der Malware mittels Laufzeit-Packer, Crypter und Source Code Obfuscators) und kann alternative Vorgehensweisen erläutern.
3 Kennt geeignete Werkzeuge für die dynamische Analyse von Malware und kann deren Anwendungs- und Einsatzzweck erläutern (z. B. Isolation/Sandboxing, Simulation, Debugging).
4 Kennt typische Herausforderungen bei der dynamischen Analyse von Malware (z. B. Unterschiede bei Sprache, Systemarchitektur oder Betriebssystem; VM- oder Sandbox-Erkennung durch die Malware, Anti-Debugging-Massnahmen der Malware durch Verschlüsselung oder Verschleierung) und kann alternative Vorgehensweisen erläutern.
5 Kennt gängige Formate zur Beschreibung von Indikatoren von Malware (z. B. STIX, OpenIOC Format, Intrusion Detection Message Exchange Format IDMEF, Incident Object Description Exchange Format IODEF, YARA-Regeln).
 
7 Wertet die Untersuchung aus, bereitet die Ergebnisse in einem aussagekräftigen Ab-schlussbericht auf und präsentiert die Resultate den Entscheidungsträgern zielgruppengerecht.
  Handlungsnotwendige Kenntnisse:
1 Kennt geeignete Methoden und Techniken zur Verdichtung und Darstellung von Informationen (z. B. Datenreduktion, Kennzahlenbildung, Häufigkeitstabellen und Histogramme, Aggregation mittels Kreuz- oder Pivot-Tabelle, Korrelationsdiagramm, Zeitreihen- und Trendanalyse).
2 Kennt die wesentlichen Inhalte eines Abschlussberichts einer Untersuchung (z. B. Summary, Kontext, Untersuchungsgegenstand, Methoden, Ergebnisse / Diagnose, Erkenntnisse, Handlungsoptionen, Empfehlung mit Begründung) und kann deren Beitrag für die Entscheidungsfindung erläutern.
3 Kennt die Inhalte und Gliederung einer guten Präsentation und kann den Einfluss der eigenen Auftrittskompetenz und relevanter Haltungen auf die Überzeugungsarbeit erläutern.
 
Kompetenzfeld
Security/Risk Management
Objekt
Persistente, temporäre und flüchtige Daten auf Servern, standortgebundenen und mobilen End- und Peripheriegeräten, Speicherlösungen und Applikationen.
Niveau
5
Voraussetzung
Betriebssysteme installieren, konfigurieren und administrieren (305); Serverdienste in Betrieb nehmen (123); IT Infrastruktur virtualisieren (340)
Anzahl Lektionen
40
Anerkennung
Eidg. Fachausweis
Publiziert: 17.01.2020 16:10:25
Zu dieser Modulversion sind keine Leistungsbeurteilungsvorgaben vorhanden.
Zurück