Erläutern Sie mir den Prozess der digitalen Forensik und Incident Response.
Kurzantwort
DFIR folgt einem disziplinierten Prozess: Identifikation (Vorfall bestätigen und eingrenzen), Sicherung (Beweise nach Order of Volatility bewahren, mit forensischen Images und Hashes), Analyse (Zeitachse, Grundursache, Umfang der Kompromittierung) und Reporting (Befunde für technische und juristische Zielgruppen). Die Chain of Custody dokumentiert, wer jedes Artefakt wann angefasst hat, damit die Beweise standhalten, falls sie je vor Gericht landen. Bewahren vor Beheben.
DFIR ist der Ort, an dem Ermittlungsdisziplin auf Zeitdruck trifft. Interviewer fragen nach dem Prozess, um zu sehen, ob Sie schnell handeln können, ohne genau die Beweise zu zerstören, die Sie zum Verständnis des Angriffs — und womöglich zur Verteidigung vor Gericht — brauchen.
Der Prozess
- Identifikation. Bestätigen, dass ein Vorfall real ist (False Positives im Triage aussortieren), dann eingrenzen: Welche Systeme, Konten und Daten sind betroffen? Man kann nicht sichern oder eindämmen, was man nicht eingegrenzt hat.
- Sicherung. Beweise forensisch einwandfrei bewahren. Der Order of Volatility folgen — die flüchtigsten Daten zuerst erfassen: CPU-Register und Cache, dann RAM und laufende Prozesse, dann Netzwerkzustand, dann Datenträger, dann Archivmedien. Forensische Images anfertigen, kryptografische Hashes bei der Erfassung berechnen und aus Kopien arbeiten, niemals aus dem Original.
- Analyse. Rekonstruieren, was geschah: eine Zeitachse erstellen, die Grundursache und den initialen Zugriff finden, die TTPs und IOCs des Angreifers identifizieren und den vollen Umfang der Kompromittierung bestimmen — worauf zugegriffen oder was exfiltriert wurde. Dies treibt sowohl die Beseitigung als auch die Entscheidungen zur Meldung der Datenpanne.
- Reporting. Befunde für zwei Zielgruppen erstellen: eine technische Darstellung für die Responder und einen klaren, sachlichen Bericht für Management, Rechtsabteilung und potenziell Aufsichtsbehörden.
Chain of Custody
Jedes Beweisstück benötigt eine dokumentierte Chain of Custody — wer es sammelte, wann, wie es gelagert wurde und jeder, der es anfasste. Der passende Hash beweist, dass das Image nicht verändert wurde. Brechen Sie die Kette, kann der Beweis unzulässig werden.
Die zentrale Spannung
Incident Response will schnell eindämmen; Forensik will zuerst bewahren. Den Stecker zu ziehen kann den flüchtigen Arbeitsspeicher verlieren, der die einzige Kopie von In-Memory-Malware oder Schlüsseln enthält. Ein geschickter Responder ordnet die Schritte so an, dass er flüchtige Beweise vor dem disruptiven Containment erfasst und beide Ziele ausbalanciert.
Worauf Interviewer achten
Sie wollen eine vom Order of Volatility geleitete Sicherung, Hashing und Chain of Custody für die Vertretbarkeit, das „Bewahren vor Beheben" und ein Bewusstsein für die Spannung zwischen Containment und Bewahrung unter realem Zeitdruck.
Wahrscheinliche Anschlussfragen
- Was ist die Order of Volatility und warum bestimmt sie die Reihenfolge der Sicherung?
- Warum hashen Sie Beweis-Images, und was beweist das?
- Wie gerät das Containment-Ziel der Incident Response manchmal in Konflikt mit der forensischen Bewahrung?