Eine wichtige Aufgabe nach einem Cybervorfall in Unternehmen ist, neben der unverzüglichen Bereitstellung alternativer Systeme zur Sicherung des Geschäftsbetriebs, die Aufarbeitung des Vorfalls und die Analyse betroffener Systeme. Neben unzähligen kostenpflichtigen Werkzeugen für die Analyse und Rekonstruktion von Logs und Daten gibt es auch sehr gute, frei verfügbare und quelloffene Werkzeuge wie die Tools der Sleuthkit-Sammlung und die zugehörige grafische Benutzeroberfläche Autopsy [1].
Bevor Sie sich an die Analyse der Festplatteninhalte machen, sollten Sie zunächst ein komplettes Abbild der Festplatte anlegen. Zwar können Sie mit Autopsy grundsätzlich auch direkt im laufenden System arbeiten oder nur einzelne Ordner analysieren, um aber auf Nummer sicher zu gehen und nicht durch versehentliche Schreibzugriffe auf die Festplatte wichtige Daten zu zerstören, schließen Sie die Festplatte zunächst an ein weiteres System an und erstellen etwa unter Linux mit dd ein entsprechendes Abbild.
...Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.