Am 1. Oktober 2013 hat das Fraunhofer-Institut für Sichere Informationstechnologie SIT den 4. Anwendertag IT-Forensik ausgerichtet. Der große Vortragssaal der IHK Darmstadt war ein idealer Ort für die Veranstaltung mit 100 Teilnehmern. Die spannenden Vorträge und die zahlreichen Fragen der Zuhörer an die Referenten lieferten Stoff für anregende Diskussionen in den Pausen und bis in den Abend hinein. Auch zur aktuellen NSA-Affäre gab es immer wieder Bezüge in den Vorträgen, Fragen und Diskussionen.

Das Programm des Anwendertages stand unter dem Motto »Neue Herausforderungen – Aktuelle Lösungen«. Die Referenten erklärten Schwierigkeiten und zielführende Lösungsansätze für die forensische Ermittlung in einer breiten Palette von Szenarien.

Zu den Vortragsfolien.

Incident Response

Zu Beginn erklärte Volker Stein von der Finanz Informatik wie man gegen Angriffe auf die kritische Infrastruktur der Sparkassen vorgeht. Dabei betonte er die Wichtigkeit von guter Vorbereitung, lückenloser Dokumentation der forensischen Analyse sowie der Einhaltung von Datenschutz- und Persönlichkeitsrecht. Carlo Harpes, Gründer von itrust consulting, stellte den Dienst malware.lu vor. Dabei gab er detaillierte Einblicke in die Untersuchung des Advanced Persistent Threat APT1, der internationale Aufmerksamkeit erregte.

Forensische Methoden

Der Kryptologe Erik Tews von der TU Darmstadt zeigte, dass bei der Benutzung von Kryptographiesoftware die Tücke im Detail steckt. So sind die zugrundeliegenden Verfahren zwar mathematisch sicher, aber es gibt zahlreiche Benutzungsfehler, die forensisch verwertbare Spuren erzeugen. Oren Halvani vom Fraunhofer SIT präsentierte eine computerlinguistische Methode zur Überprüfung der Autorschaft eines Textes. Diese Methode erzielte hervorragende Ergebnisse auf dem internationalen PAN-Wettbewerb. Martin Pfeiffer von der TU Darmstadt schilderte Herausforderungen für die Analyse von Mobiltelefonen. Hier trifft die Diversität von Endgeräten und Systemen auf die Diversität von forensischen Methoden und Werkzeugen, so dass er einen offenen Standard für forensische Reports postulierte.

Ermittlungspraxis

Hakan Özbek und Christopher Jenner von Deloitte & Touche präsentierten zwei besondere Fälle aus ihrer Ermittlungspraxis. Hierbei gingen sie auf die angetroffenen Herausforderungen und deren Lösung ein. Marko Rogge von Conturn gab in einem lebhaften Vortrag Einblicke in die Analyse eines iPhone 5. In der kontroversen Diskussion um einen Remote Wipe lieferte er überraschende Einsichten.

Autor: Christian Winter

Vorträge

• »IT-Forensik – Spurensuche im IT-Zeitalter« von Volker Stein, Finanz Informatik
• »Erfahrungen eines privaten CSIRT, malware.lu« von Carlo Harpes, itrust consulting s.à r.l.
• »Kryptographie in der Praxis – Die beliebtesten Fehler« von Erik Tews, TU Darmstadt
• »Sprachunabhängige Autorschafts-Verifikation« von Oren Halvani, Fraunhofer SIT
• »Computer Forensic aus der Ermittlungspraxis« von Hakan Özbek und Christopher Jenner, Deloitte & Touche GmbH
• »Ermittlungen durch Datenauswertung von Smartphones« von Marko Rogge, Conturn Analytical Intelligence Group GmbH
• »Mobile Device Forensic Report Format Challenges« von Martin Pfeiffer, TU Darmstadt

Veranstaltungsort

IHK Darmstadt

Datum

1. Oktober 2013