Skip to content

Erkläre die Reihenfolge der Flüchtigkeit und warum sie die Abfolge der Beweissicherung im DFIR bestimmt.

Kurzantwort

Die Reihenfolge der Flüchtigkeit ordnet Beweise danach, wie schnell sie verschwinden, sodass man das Fragilste zuerst sichert. Grob: CPU-Register/Cache, dann RAM und Laufzeitzustand (Prozesse, Netzwerkverbindungen, ARP), dann temporäre Dateien/Swap, dann Disk, dann Remote-Logging und Überwachungsdaten, und zuletzt Archivmedien und Backups. Außerdem arbeitet man auf forensischen Kopien, hasht sie und führt eine Beweiskette, damit Beweise zulässig bleiben.

Wenn du an einem kompromittierten Host ankommst, läuft die Uhr für die Beweise bereits. Die Reihenfolge der Flüchtigkeit (kodifiziert in RFC 3227) sagt dir, zuerst die Daten zu sammeln, die am schnellsten verschwinden, damit ein unbedachter Neustart oder ein Herunterfahren die wertvollsten Artefakte nicht löscht. Interviewer stellen diese Frage, um zu bestätigen, dass du Beweise methodisch behandelst und verstehst, was wann verloren geht.

Vom Flüchtigsten zum Beständigsten

  1. CPU-Register, Cache – in Mikrosekunden weg; selten direkt gesammelt.
  2. RAM und Laufzeitzustand – laufende Prozesse, offene Netzwerkverbindungen, ARP-Cache, angemeldete Nutzer sowie injizierte/dateilose Malware und Verschlüsselungsschlüssel, die nur im Speicher existieren. Deshalb kommt die Speicheraufnahme früh.
  3. Temporäre Dateien / Swap / Pagefile – flüchtig, aber auf der Disk.
  4. Disk – das persistente Dateisystem; übersteht Neustarts, kann aber gelöscht oder überschrieben werden.
  5. Remote-Logging und Überwachungsdaten – SIEM, NetFlow, Off-Host-Logs.
  6. Archivmedien und Backups – die beständigsten, zuletzt gesammelt.

Die zentrale Erkenntnis: Speicher vor Disk, Disk vor Backups. Eine Maschine auszuschalten, um sie zu „bewahren", zerstört in Wahrheit die flüchtige Schicht – oft genau dort, wo die echten Beweise eines aktiven Einbruchs liegen.

Es verteidigungsfähig tun

Die Flüchtigkeitsreihenfolge ist nur die halbe Arbeit. Arbeite auf forensischen Kopien, nicht auf den Originalen; berechne und protokolliere kryptografische Hashes vor und nach dem Imaging, um die Integrität zu belegen; nutze Write Blocker für Disks; und führe eine ununterbrochene Beweiskette, die dokumentiert, wer jedes Element wann und warum behandelt hat. Ohne das können Beweise unzulässig sein.

Warum das wichtig ist

Eine starke Antwort zählt die grobe Abfolge auf (Register → RAM/Netzwerk → Swap → Disk → Logs → Backups), erklärt, dass das Herunterfahren die fragilsten Daten verliert, und kombiniert sie mit Hashing und Beweiskette. Das zeigt, dass du Beweise unter Druck so bewahren kannst, dass sie später standhalten.

Wahrscheinliche Anschlussfragen

  • Warum kann das Ausschalten einer Maschine die wertvollsten Beweise zerstören?
  • Was ist die Beweiskette und warum ist sie für die Zulässigkeit wichtig?
  • Wie bewahrst du die Integrität beim Imaging einer laufenden Disk?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.