Skip to content

Ein kompromittierter Laptop liegt auf Ihrem Schreibtisch, noch eingeschaltet, mit einem laufenden verdächtigen Prozess. Was tun Sie, um Beweise zu sichern?

Kurzantwort

Folgen Sie der Reihenfolge der Flüchtigkeit. RAM, aktive Netzwerkverbindungen und die Prozesstabelle verschwinden beim Herunterfahren; erfassen Sie sie zuerst, dann erstellen Sie ein forensisches Disk-Image und dokumentieren Hashes sowie eine lückenlose Chain of Custody. Ein sauberes Herunterfahren zerstört speicherresidente Beweise — einschließlich dateiloser Malware und Schlüssel, die nur im RAM existieren. Kopieren-dann-Löschen manipuliert den Tatort und bricht die Integrität. Das Firmen-Antivirus auszuführen verändert das System und kann genau das Artefakt in Quarantäne stellen oder löschen, das Sie analysieren müssen.

Ein laufender, kompromittierter Host ist ein zerfallender Tatort. Die wertvollsten Beweise sind die fragilsten, und der falsche Reflex — ihn herunterzufahren, um ihn „einzufrieren“ — löscht genau diese Beweise. Diese Frage prüft, ob Sie die Reihenfolge der Flüchtigkeit (kodifiziert in RFC 3227) kennen und unter Druck anwenden können.

Warum „Flüchtiges zuerst“ die Antwort ist

Die Daten, die am schnellsten verschwinden, müssen zuerst erfasst werden:

  • RAM — laufende Prozesse, injizierte dateilose Malware, Entschlüsselungsschlüssel, Zwischenablage und Anmeldedaten, die nur im Speicher existieren.
  • Aktive Netzwerkverbindungen — aktive C2-Sockets, lauschende Ports, der ARP-Cache.
  • Prozessliste und geladene Module — was gerade tatsächlich ausgeführt wird.

Sie erfassen dies zuerst, dann erstellen Sie ein forensisches Disk-Image. Durchgehend protokollieren Sie kryptografische Hashes (um zu beweisen, dass das Image nicht verändert wurde) und wahren eine lückenlose Chain of Custody — wer die Beweise wann und warum gehandhabt hat — damit sie verwertbar bleiben.

Warum die anderen Optionen Beweise zerstören

  • Sauberes Herunterfahren — fühlt sich sicher an, leert aber den RAM, beendet aktive Verbindungen und kann beim nächsten Start anti-forensische oder Lösch-Routinen auslösen. Die speicherresidenten Beweise — oft das Herz einer modernen Intrusion — sind für immer verloren.
  • Datei auf USB kopieren und löschen — Sie manipulieren den Tatort, zerstören Dateisystem-Zeitstempel und Slack, brechen die Chain of Custody und greifen vielleicht nicht einmal die echte bösartige Komponente ab (sie könnte nur im Speicher liegen oder weitere bereitgestellte Dateien haben).
  • Das Antivirus ausführen — das AV verändert das System: es scannt, schreibt Protokolle und stellt den verdächtigen Prozess in Quarantäne oder löscht ihn — und zerstört damit genau das Artefakt, das Sie analysieren wollten, und kontaminiert die Beweise.

Was der Interviewer prüft

Er will einen Responder, der den Umgang mit Beweisen als methodisch und verteidigbar behandelt: das Flüchtigste zuerst erfassen, auf forensischen Kopien arbeiten, alles hashen und die Chain of Custody dokumentieren. Die speicherresidenten Artefakte zu nennen, die ein Herunterfahren verlieren würde — und sich zu weigern, das AV die Maschine verändern zu lassen — signalisiert, dass Sie Beweise sichern können, die in einer Untersuchung oder vor Gericht Bestand haben.

Wahrscheinliche Anschlussfragen

  • Welche Artefakte existieren nur im Speicher und gingen beim Herunterfahren für immer verloren?
  • Wie bewahren und beweisen Sie die Integrität beim Imagen eines Laufwerks auf einem laufenden System?
  • Führen Sie mich durch die Dokumentation der Chain of Custody für die Speichererfassung und das Disk-Image.

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.