Glossar

siehe Ausspähen von Daten

Software von Adobe, Programm zur Darstellung multimedialer und interaktiver Inhalte (Flash, gesteuert über ActionScript). Relevant in der Cookie-Forensik von Flash-Cookies (LSOs).

Artefakt in einem Windows-NTFS-Dateisystem, bei dem (Zusatz- bzw. Meta-)Daten zu einer Datei fest an eine Datei gebunden gespeichert werden können, ohne dass der Benutzer diese Daten direkt sieht, d.h. diese sind typischerweise für den Benutzer unsichtbar. Verwandte Konzepte in anderen Dateisystemen: Apple Resource Fork; Extended-Attribute-Namensraum in UFS und ZFS

siehe Alternative Data Stream (ADS)

Art eines Angriffs auf ein IT-System oder auf Informationen
Beispiele: Hacking, Verfügbarkeitsangriff, Impersonifizierung, Social Engineering

siehe Kapitalanlagebetrug

Maßnahme im Rahmen Datenvermeidung, als legitime Maßnahme von Nutzern, aber auch als Verschleierungsmaßnahme in der Antiforensik.

Beispiel: Tor

siehe Antiforensik

Angriffsart, die auf die Erschwerung oder Verunmöglichung IT-forensischer Beweisgewinnung oder Auswertung abzielt. Jeder Kompromittierungsversuch zur Reduktion der Verfügbarkeit oder Nützlichkeit von Beweisen für den IT-forensischen Auswerteprozesse. Damit kann ein Angreifer Datenspuren vermeiden, nicht gewinnbar machen, verschleiern, verändern oder zerstören, z.B. damit man ihm nichts nachweisen kann, um sich zu entlasten oder andere falsch zu belasten. DigiTrace forscht zu Gegenmaßnahmen zu Anti-Forensik (Anti-Anti-Forensik)

Beispiele: Anti-forensische Manipulation eines Betriebssystem-Kernels, Angriffe auf IT-forensische Werkzeuge, Steganographie, Verschlüsselung, Anonymisierungsdienste, Vermeidung digitaler Spuren bzw. Datensparsamkeit

siehe Hauptspeicher

Durch Menschen geschaffenes Sofwareprodukt, z.B. in einem Betriebssystem oder einer Anwendung, welches Datenspuren enthält. IT-forensisch auswertbare Einheit.

Beispiele: von einem Betriebssystem oder einer Anwendung erzeugte Artefakte wie etwa Logfiles, Konfigurationsdateien, Datenbanken

siehe Verschiebung von Vermögenswerten

siehe Aufspüren versteckter Vermögenswerte

Aufklärungstätigkeit bei Verdacht auf von einem Täter aktiv versteckte Vermögenswerte (siehe Verschiebung von Vermögenswerten), z.B. durch Wirtschaftsdetekteien. eDiscovery kann helfen, herauszufinden, wo sich diese Vermögenswerte befinden. Ermittlungsprinzip: "follow the money" ("immer dem Geld nach"), um einen Täter und Zusammenhänge zu finden.

Beispiele: Aufspüren einer Yacht nach dem Zusammenbruch eines Firmenimperiums, Aufdeckung von verdeckten Treuhandverhältnissen

Täter, der ein IT-System von außen angreift. Außen bedeutet, er gehört nicht zum direkten Umfeld des Unternehmens (Mitarbeiter oder Dienstleister). Typischerweise greift er die IT-Systeme des Zielunternehmens dann über Internet an.

Beispiel: Skript-Kiddies, Erpresser, Wirtschaftsspionage

Eine Auslagerungsdatei ist ein Artefakt, das Inhalte des Hauptspeichers enthält, die, da weniger benötigt, aus Platzgründen in eine Datei im Dateisystem ausgelagert wurden

Beispiel: pagefile.sys in einem Windows-Betriebssystem

Erscheinungsform der Computerkriminalität, strafbar nach Par. 202a-c StGB, bei der ein Täter Daten Dritter unberechtigt erlangt, in dem er diese ausspäht, abfängt oder entsprechende Handlungen vorbereitet

Beispiel: Man in the Middle-Angriff zum Abfangen von E-Mails und Kennwörtern, Ausspähung zum Zwecke der Wirtschaftsspionage

siehe Chat-Forensik

Kopie (wichtiger) Daten auf einem separaten Medium, dessen Standort sich idealerweise woanders befindet als das Original. Dient dazu, bei Beschädigung, Verlust oder versehentlichem Löschen von Daten diese wiederherstellen zu können und mindert somit IT-Risiken. Typische Obligation im Rahmen von Geschäftsführerhaftung und dem Abschluss von IT-Versicherungen. Im Rahmen der IT-Forensik von besonderer Bedeutung, wenn Originaldaten nicht oder nicht mehr verfügbar sind oder die Backups vor Zugriff durch einen Täter aufbewahrt wurden.
Beispiele: Acronis-Backup, Veeam-Backup, Vollbackup, Differenzialbackup, Rotation, Differenzanalyse von Datenbeständen zu unterschiedlichen Zeitpunkten

siehe Antiforensik

siehe Doublette

IT-forensisches Artefakt, das Informationen verwaltet zu einer bestimmten Benutzerkennung eines IT-Systems. Ein Benutzer meldet sich mit seinen Zugangsdaten (Credentials) in seinem Benutzerkonto an einem IT-System an. Da Zugangsdaten auch weitergeben werden können, manche Benutzerkonten nicht mit einem Passwort geschützt sind und es auch die Möglichkeit gibt, IT-Sicherheitslücken auszunutzen (z.B. Privilege Escalation), trifft ein IT-Forensiker Aussagen über Aktionen zu Benutzerkonten, nicht zu Benutzern, da deren Identität oftmals nicht eindeutig zugeordnet werden kann. Erst die Analyse weiterer Aktionen zu einem IT-System (z.B. zeitliche Korrelation, inhaltliche Profilbildung unter Nutzung von Kommunikation über Chat oder E-Mail, Browserverlauf, Favoriten-Datei) oder außerhalb eines IT-Systems (z.B. Abgleich mit Anwesenheitszeiten, Zeugenaussagen) ermöglicht eine Zuordnung der Nutzung eines Benutzerkontos zu einer natürlichen Person.

Beispiel: Nutzer mit einer bestimmten SID (Security ID) auf einem Windows-Betriebssystem; Eintrag in der Shadow-Passwd auf einem Linux-System

siehe Browserverlauf

Teilgebiet der IT-Forensik, das sich mit der Auswertung der Besonderheiten einzelner Betriebssysteme befasst

Beispiele: Windows-Forensik, Mac-Forensik, Unix-Forensic

siehe Imaging

siehe IT-forensische Bildverarbeitung

Artefakt der Verschlüsselung auf einem Windows-Betriebssystem

Beispiele: Wiederherstellungsschlüssel (Recovery Key), Bitlocker to Go für die Verschlüsselung externer, mobiler Datenträger

siehe Cluster (Dateisystem)

siehe Lesezeichen-Datei

siehe Webbrowser

siehe Browserverlaufsforensik

siehe Browserverlauf

Artefakt eines Webbrowsers, in dem von einem Nutzer in Webformulare eingegebene Daten gespeichert werden.

Angriffsart, bei der ein Angreifer Sicherheitslücken eines Webbrowsers ausnutzt, um dessen Einstellungen ohne Zustimmung des Nutzers (für diesen nachteilig) zu verändern.

Beispiele: Eintragen eines Zwangsproxies, Ersetzen der Standard-Suchmaschine oder Aufruf bestimmter Webseiten, mit dem Ziel, Schadcode zu installieren oder durch erzwungene Aufrufe Werbeeinnahmen für den Angreifer zu erzielen, Installation eines Keyloggers

siehe Browserverlauf

Teilgebiet der IT-Forensik, das sich mit den Besonderheiten zu Webbrowser-Artefakten befasst.

Beispiele: Firefox-Forensik, Edge-Forensik (Spartan), Internet Explorer-Forensik, Chrome-Forensik, Opera-Forensik, Browserverlaufsforensik, Browserformularforensik, Cookie-Forensik

Teilgebiet der IT-Forensik und Browserforensik, das sich mit den Besonderheiten von Browser-Formulardaten befasst

Nutzung eines Webbrowsers durch einen Nutzer im zeitlichen Verlauf und zugehörige Artefakte bzw. Datenspuren

Teilgebiet der IT-Forensik und der Browser-Forensik sowie der IT-Verlaufsforensik, das sich mit der Analyse der Nutzung eines Webbrowsers durch einen Nutzer im zeitlichen Verlauf befasst (Nutzungsverlauf, Besuchsverlauf).

Beispiel: places.sqlite

Angriffsart eines Täters, aber auch IT-forensische Methode bzw. Methode bei IT-Sicherheitsüberprüfungen im Passwort-Cracking, bei der "mit roher Gewalt" Tausende unbekannter Passwörter (systematisch) durchprobiert werden, um ein passendes zu finden.

Beispiele: TrueCrypt-Bruteforcing, ssh-Bruteforcing

Form wirtschaftskriminellen Handelns, das nach Par. 283b StGB unter Strafe steht. Dabei zeigen Buchführungsunterlagen nicht das Bild der tatsächlichen wirtschaftlichen Gegebenheiten, sondern ein typischerweise besseres.

Beispiele: Bilanzfälschung; Bilanzmanipulation; unzulässiges Verschieben ins nächste Quartal; Buchung unter unzutreffenden Positionen ("Verstecken"); Nutzung von Special Purpose Vehicles (SPVs), um negative Positionen nicht mehr in der Bilanz aufführen zu müssen (etwa:  Enron-"Raptoren"), Scheinrechnungen, Scheinfirmen

siehe Pufferüberlauf

siehe Weiße-Kragen-Kriminalität sowie Wirtschaftskriminalität

Schneller Zwischenspeicher (Pufferspeicher) bzw. temporärer lokaler Speicher für Daten. IT-forensisches Artefakt, das lokal temporär zwischengespeicherte Daten enthält.

Beispiele: Browser-Cache, Dropbox-Cache, Chat-Cache, ARP-Cache

Teilgebiet der IT-Forensik und (siehe) Datenträgerforensik, das sich mit den Besonderheiten von Daten auf CDs befasst.

Beispiele: Entfernen von Kratzern mittels Poliermaschine, CD-Dateisysteme, CD-Sessions, Multi-Session-CDs, nicht abgeschlossene CDs

Teilgebiet der IT-Forensik, das sich mit den IT-forensischen Besonderheiten von Datenspuren zur Kommunikation in Chats befasst, etwa Teilnehmer eines Chats, genutzte Chaträume (chat rooms), ausgetauschte Nachrichten und Daten (z.B. Fotos) (in Chaträumen oder in privater Unterhaltung ausgetauscht) oder zeitlicher Verlauf.

Beispiele: ICQ-Forensik, Messenger-Forensik, Forensik von Chat-Servern und -Clients, Chat-Kontaktdaten, Chat-Teilnehmer, Chat-Log (Chat-Mitschnitt), Chat-Cache, Chat-Datenbank

Artefakt der Nutzung von Chats, ähnlich eines (siehe) Logfiles

Teilgebiet der IT-Forensik und der Webbrowser-Forensik, das sich mit den Besonderheiten der Artefakte zum Webbrowser Chrome befasst.

Angriffsart, bei der ein Angreifer eine Webseite durch Überlagung so manipuliert, daß ein nichts ahnender Nutzer veranlaßt wird, einen für ihn harmlos aussehenden Mausklick bzw. eine Tastatureingabe auszuführen. Tatsächlich wird mit Benutzerrechten eine andere Aktion ausgeführt als die angezeigte (vorgegaukelte). Die Überlagerung kann z.B. mit transparenten Objekten erfolgen. So kann ein Hacker erreichen, dass der Nutzer beliebige Aktionen ausführt.

Beispiele: Bestellung kostenpflichtiger Abonnements, Tätigen von Überweisungen, Herabsetzen der Sicherheitseinstellungen des IT-Gerätes, Übermittlung persönlicher Informationen wie etwa Anmeldedaten an den Angreifer

Teilgebiet der IT-Forensik, das sich mit den Besonderheiten von Cloud-Speichern bzw. der Speicherung von Daten online statt auf einem lokalen Datenträger befasst

Beispiele: Dropbox-Forensik, iCloud-Forensik, Daten von Online-Speichern in lokalen Caches, Entschlüsselung von Online-Speicher-Artefakten einschließlich lokaler Backups, Spuren der Nutzung von Clouds auf lokalen Datenträgern, Synchronisierung von Daten auf IT-Geräten dank Online-Speicher, Zugriff auf Cloud-Speicher mit Token aus einem Backup auf dem lokalen Datenträger auch ohne Kennwort, rechtliche Besonderheiten des Zugriffs auf kennwortgeschützte Online-Speicher, die sich z.B. in anderen Jurisdiktionen befinden können

Datenspeicher im Cloud-Computing, der nicht lokal wie etwa auf einem eingebauten Datenträger ist, sondern ein Dienst im Netzwerk, typischerweise extern im Internet, es gibt aber auch datenschutzkonforme Lösungen, bei denen die Daten im Herrschaftsbereich eines Unternehmens verbleiben (OwnCloud).
Beispiele: Dropbox, Amazon Cloud Drive, iCloud, Microsoft 365

Logische Zusammenfassung von Sektoren eines Datenträgers.

Erscheinungsform der Computerkriminalität, strafbar nach Par. 263a StGB, bei der ein Täter versucht, einen Vermögensvorteil für sich oder andere zu erlangen, indem er das Ergebnis eines Datenverarbeitungsvorgangs beeinflusst.

Beispiel: Veranlassung von Überweisungen, Manipulation eines Geldautomaten

siehe IT-Forensik

Form der Kriminalität, bei der IT-Systeme (Computer, EDV, Informations- und Kommunikationstechnologie, Internet) wesentlich für die Tatausführung sind, weil sie dazu ausgenutzt werden (Werkzeug, Tatmittel) oder sich ein Angriff gegen sie richtet (Ziel einer Tat). Allgemeiner auch mit Computern in Verbindung stehende strafbare Handlungen.

Beispiele: Cybercrime, IT-Sabotage, Hacking, Ausspähen von Daten, Abfangen von Daten und zugehörige Vorbereitung, Computerbetrug, Fälschung beweiserheblicher Daten, Täuschung im Rechtsverkehr bei Datenverarbeitung, Datenveränderung, Computersabotage

siehe IT-Sabotage

siehe Dateicontainer

Artefakt eines Webbrowsers. Textdatei, die beim Besuch einer Internetseite verschickt und auf dem Datenträger des Nutzers der Webseite zwischengespeichert wird. Beim erneuten Besuch der Webseite sendet der Webbrowser des Nutzers der Webseite den zuvor empfangenen Cookie wieder zurück an den Server. Der Server kann diese Informationen dann auswerten, z.B. zur Steuerung von Werbeeinblendungen, zum Nutzertracking oder zur Erleichterung der Navigation.

Beispiele: Webbrowser-Cookies, Flash-Cookies (LSOs), cookies.sqlite (bei Firefox)

Teilgebiet der IT-Forensik und der Browserforensik sowie der Adobe-Flash-Player-Forensik, das sich mit den Besonderheiten von Webbrowser-Cookies bzw. Flash-Cookies befasst

siehe Antiforensik

siehe Speicherabbild

IT-forensisches Artefakt, Behälter für Daten, in dem sich andere Daten befinden.

Beispiele: Packprogramme (ZIP-Container, auch verschlüsselt), Verschlüsselung (TrueCrypt-Container), E-Mail-Container (PST, OST, ESEDB, Lotus Notes .nsf), Office XML-Dokument (.docx, .xlsx), selbst entpackendes Archiv (self-inflatable archive)

Artefakt, das für das Betriebssystem Eigenschaften und Inhalte von Dateien und den Zugriff auf diese organisiert

Beispiele: NTFS-Forensik, FAT32-Forensik, exFAT-Forensik, ext4-Forensik, HFS+-Forensik

Teilgebiet der IT-Forensik, das sich mit den Besonderheiten von Dateisystemen befasst

Beispiele: Ordner, Papierkorb, Lost+Found, inodes, Alternate Data Stream (ADS), Gelöschte Dateien, Dateisystemjournal, verschiedene Zeitstempel zu Dateien, Größe von Dateien, Dateisystem-Schlupfspeicher, Arten von Dateisystem (z.B. Swap)

Artefakt eines Dateisystems, tabellarisches "Inhaltshaltsverzeichnis" eines Datenträgers, verzeichnet alle Angaben zu Dateiteilen auf einem Dateisystem, historisch zur Familie der FAT-Dateisysteme von Microsoft. Nachfolger-Dateisystem: NTFS

Beispiele: FAT16, FAT32, exFAT

siehe Ausspähen von Daten

Artefakt mit formal explizit strukturierten Daten. Bei SQL-Datenbanken bestehend aus Tupeln, die sich in Feldern (Spalten) und Einträgen in Zeilen manifestieren.

Beispiele: MSSQL-Forensik, SQLite-Forensik, ESEDB-Forensik, Oracle-Forensik, Postgres-Forensik

Teilgebiet der IT-Forensik, das sich mit den Besonderheiten von Datenbanken befasst

Beispiele: Interpretation der Bedeutung von Feldern in Anwendungs-Datenbanken, SQL-Abfragen, gelöschte Einträge in Datenbanken, Carving in Datenbanken

Angriffsart, bei der vertrauliche Daten aus einem Unternehmen herausgeschleust werden, z.B. um sie bei einem Mitbewerber einzusetzen, etwa Preislisten, Kalkulationen, Konstruktionspläne, Kundenstämme, Lieferantendaten, oder aber auch belastende Informationen zum Zwecke der Erpressung

Beispiele: Datenexfiltration mittels per USB angeschlossenem Datenträger. Datenexfiltration mittels Weiterleitung an externe E-Mail-Adressen, auch über Webmailer. Datenexfiltration über Entwendung von Backup-Medien

siehe Backup

Teilgebiet der IT-Forensik, das sich mit den Besonderheiten verschiedener Datenträger befasst

Beispiele: Festplattenforensik, SSD-Forensik, Speicherkartenforensik, RAM-Baustein-Forensik, Magnetbandforensik, Sicherungsmedien-Forensik, CD-/DVD-Forensik

In einem Netzwerk transportierte und mitschneidbare Daten, Fluss von Daten innerhalb von Computernetzen

Beispiel: HTTP-Traffic

Gebot im Datenschutz im Zusammenhang mit Datensparsamkeit, aber auch Maßnahmen der (siehe) Antiforensik durch einen Täter zur Vermeidung von Datenspuren (vergleichbar mit dem Anziehen von Handschuhen zur Vermeidung von Fingerabdrücken)

Beispiel: Nutzung der Möglichkeiten von Webbrowsern, in einem "privaten Reiter" zu surfen (in-private-Browsing), d.h. möglichst wenig Datenspuren anzulegen, z.B. keine Verlaufshistorie zu speichern; aktives Ausschalten laufender Protokollierungen; Nutzung von Live-Umgebungen, die von einem schreibgeschütztem Datenspeicher ausgeführt werden, sodass flüchtige Datenspuren, die nur im Hauptspeicher gehalten werden, nach dem Ausschalten nicht gespeichert sind.

Gebot im Rahmen von Datenschutz, z.B. die weisungsgemäße Vernichtung von projektbezogenen Unterlagen nach Abschluss eines Projektes oder zum Schutz personenbezogener Daten. Gleichzeitig Maßnahme der Antiforensik, bei der im Zuge eines Angriffs entstandene Datenspuren insbesondere durch den Angreifer selbst gelöscht werden, um die Rückverfolgung zu erschweren oder zu verunmöglichen.

Beispiel: Löschen von Logdateien auf angegriffenen IT-Systemen, Vernichten von Geschäftsunterlagen im Rahmen von Insolvenzdelikten

Angriffsart der Antiforensik, bei der ein Angreifer versucht, Datenspuren so zu verändern, dass sie anders erscheinen als sie tatsächlich sind, mit dem Ziel, Verwirrung zu erzeugen und die Rückverfolgbarkeit zu erschweren oder zu verunmöglichen.

Beispiele: Nutzung von Anonymisierungsdiensten, Angriff von IT-Systemen Dritter aus oder unter Nutzung von Zugangsdaten Dritter, Unterschieben von Datenspuren (Falschbelastung); Umbenennung von Dateien; Verstecken von Dateien in anderen; Steganographie

siehe Verunstaltung (einer Webseite)

siehe Verfügbarkeitsangriff

siehe Wörterbuchangriff

siehe IT-Forensik

siehe IT-Forensik

siehe Hauptspeicher

siehe Verfügbarkeitsangriff

Echte Doubletten (Duplikate) sind Elemente (z.B. E-Mails, Dokumente, Datenbankeinträge) in einer Sammlung digitaler Daten, die in allen Eigenschaften einschließlich des Inhalts identisch sind, aber zwei- oder mehrfach auftreten. Gründe können z.B. sein: Mehrfache Speicherung bedingt durch das Betriebssystem oder vom Nutzer veranlaßt (z.B. verschiedene Ordner im Dateisystem oder Ordner im Mailpostfach), mehrere Kopien derselben Datei aus unterschiedlichen Backups, mehrere Kopien derselben E-Mail in Postfächern verschiedener Personen. Die Identität des Inhalts wird mit (siehe) Hashverfahren bestimmt. Bei identischer Prüfsumme liegt eine Doublette vor. Quasi-Doubletten sind Elemente, die in einem bestimmten Kontext als Doublette verstanden werden können, die aber nicht in allen Eigenschaften übereinstimmen. So können z.B. Dokumente unterschiedliche Zeitstempel oder Betreffzeilen tragen oder E-Mails in verwandten Dokumentfamilien vorliegen z.B. durch Zitierung, Weiterleitung, Entwurfsfassungen.

Im (siehe) eDiscovery ist es praktisch, Doubletten auszublenden und nur jeweils einen Stellvertreter zu betrachten. Ist ein Stellvertreter relevant, kann dieser oder es können alle weiteren identischen Kopien als relevant markiert werden. Dies ist z.B. sinnvoll, wenn Tätern zurechenbares Wissen nachzuweisen ist. Im eDiscovery sind Quasi-Doubletten insbesondere von Bedeutung bei der Suche nach und Beurteilung von Dokumentfamilien sowie beim Export von Dokumenten in abgeleiteten Formaten.

Beispiele: Duplikatserkennung mittels Hashing; Heuristische Erkennung von Beinahe-Duplikaten anhand bestimmter Metadaten (z.B. Größe, Betreff oder Dateiname, Zeitstempel), Autor bzw. Sender oder Empfänger; Unterdrücken von Duplikaten.

Angriff, bei dem beim Besuch einer Webseite durch einen Nutzer unbeabsichtigt ("im Vorbeifahren") Schadcode auf den Client-Rechner des Nutzers heruntergeladen wird. Dabei präpariert der Angreifer eine Webseite mit Schadcode, der beim Aufruf durch den Nutzer Sicherheitslücken des Webbrowsers ausnutzt, um, typischerweise mit Browser-Skriptsprachen, auf das Client-System außerhalb des Webbrowsers zuzugreifen.

Software, die zwei Zwecken dienen kann ("dual use"). Sie kann sowohl legitim zur Überprüfung und Erhöhung der IT-Sicherheit oder der Robustheit von IT-Systemen eingesetzt werden kann als auch unzulässig für Angriffe gegen IT-Systeme. Im zweiten Sinne strafbar nach Par. 202c StGB, Satz 2 ("Hacker-Paragraph")

Beispiel: Programmierung von Software, die IT-Sicherheitslücken aktiv ausnutzt, oder deren Vertrieb in Hackerforen

siehe Doublette

Teilgebiet der IT-Forensik und (siehe) Datenträgerforensik, das sich mit den Besonderheiten von Daten auf DVDs befasst.

Teilgebiet der IT-Forensik und der Webbrowser-Forensik, das sich mit den Besonderheiten der Artefakte zum Webbrowser Edge (Spartan) befasst.

Clientseitige Software von Microsoft, namens Edge (Codename: Spartan), zum Aufruf von Webseiten (siehe Webbrowser). Ersatz für Internet Explorer.

Software und Verfahren zur Bereitstellung elektronischer Dokumente, z.B. im Rahmen von Litigation-Verfahren. Siehe auch eDiscovery

Teilgebiet der IT-Forensik, Software und Verfahren zur Identifikation relevanter Dokumente aus großen Dokumentmengen mittels computerunterstützter Suche und Sichtung und Bewertung (Review) von Dokumenten, auch mit teilautomatisierten Verfahren, z.B. Finden ähnlicher Dokumente nach Dokumentinhalt (semantisch bzw. konzeptbasiert), Dokumentfamilien oder anderen Eigenschaften. Ausgereifte Software-Lösungen zum eDiscovery, typischerweise webbasiert, sparen dabei erheblich Zeit und bieten die Chance, relevante Dokumente überhaupt oder rascher zu identifizieren. Das idealtypische Vorgehen der umfassenden zugehörigen Prozesse orientiert sich am Electronic Discovery Reference Model (EDRM).

Beispiele: Suche nach Stichworten; inhaltliche Sichtung großer Dokumentmengen; Beurteilung von Dokumenten hinsichtlich ihrer Relevanz zu Sachverhalten; Schwärzung vertraulicher, privilegierter Dokumentpassagen; Export und Bereitstellung relevanter Dokumente

siehe IT-Forensik

Angreifer eines IT-Systems, der zuvor bei dem Unternehmen beschäftigt war, das er nun angreift, der aber nun freigestellt oder ausgeschieden ist.

Beispiele: Nutzung von noch nicht entzogenen oder nicht geänderten Zugangsdaten, Unterbleiben der Rückgabe von Sicherungsmedien

siehe Clickjacking

siehe Tabjacking

siehe Rechteausweitung

siehe Datenexfiltration

siehe Brute-Force-Angriff

Systematisch ausnutzbare Schwachstelle in einem Programm oder IT-System. Funktionalität, die so bei Entwurf und Entwicklung nicht vorgesehen war.

siehe Rogue Access Point

Maßnahme eines Täters im Rahmen von Antiforensik, mit welcher dieser einem Dritten fälschlich belastende Daten unterschiebt mit dem Ziel, diesen Dritten fälschlich zu belasten, weil IT-Forensiker auf eine falsche Fährte gelockt werden.

Antiforensische Maßnahme, bei der ein Täter automatisiert Handlungen auf IT-Systemen ablaufen läßt, die wie Handlungen von Personen zu einem bestimmten Zeitpunkt erscheinen.

Form der Computerkriminalität und Angriffsart, strafbar nach Par. 269 StGB, bei der ein Täter "zur Täuschung im Rechtsverkehr beweiserhebliche Daten so speichert oder verändert, daß bei ihrer Wahrnehmung eine unechte oder verfälschte Urkunde vorliegen würde, oder derart gespeicherte oder veränderte Daten gebraucht". Siehe auch Urkundenfälschung

Beispiel: Fälschung von Zeitstempeln zu Dateien

siehe Lesezeichen-Datei

Bestandteil eines IT-Systems oder -gerätes, Datenträger mit mechanisch rotierenden Teilen, bei dem Daten in Form von Sektoren und Spuren angebracht sind und es Schreib-/Leseköpfe gibt

Beispiele: nach Kapazität: 2 TB-Platte; nach physischer Größe: 3,5''-Festplatte; nach Einbau: externe vs. interne Festplatte; nach Anschlussart: SATA-Festplatte, USB-3.0-Festplatte; nach Nutzung, z.B. Verschlüsselung, Dateisystem, RAID

Teilgebiet der IT-Forensik, Teilgebiet der Datenträgerforensik, das sich mit den Besonderheiten von Festplatten befasst

Beispiele: Festplatten-Firmware, Host Protected Area (HPA), Device Configuration Overlay (DCO), mechanische oder elektronische Beschädigung von Festplatten, physische Datenrettung 

siehe Dateizuordnungstabelle

Teilgebiet der IT-Forensik und der Webbrowser-Forensik, das sich mit den Besonderheiten der Artefakte zum Webbrowser Firefox befasst.

Beispiel: SQLite-Forensik der Firefox-Datenbanken

Clientseitige Software von Mozilla, namens Firefox, zum Aufruf von Webseiten (siehe Webbrowser)

Erscheinungsform der Wirtschaftskriminalität, bei dem ein wirtschaftlich gefährdetes Unternehmen oder eines seiner Organe versucht, sich seiner Verpflichtungen zu entziehen und Anspruchsgegnern oder Gläubigern zu entkommen, typischerweise unter Nutzung von Dienstleistern.

Beispiele: Mehrfache Änderung des Geschäftsführers mit Sitzverlegung und Vernichtung von Geschäftsunterlagen, Sitzverlegung in eine Steueroase im Ausland mit Pro-Forma-Geschäftsführern, rechtsmißbräuchliche Herbeiführung der Handlungsunfähigkeit einer Gesellschaft

Artefakt, spezieller (siehe) Cookie, der von Flash-Playern beim Abruf von Flash-Inhalten gespeichert wird

siehe Adobe Flash-Player

IT-forensische Methode, die im Teilgebiet der IT-Forensik, das die Analyse von formal expliziten Massendaten, d.h. datenbankähnlichen Daten, zum Gegenstand hat, relevant ist. Ähnlich wie im (gewöhnlichen) Data Mining, bei dem aus großen Datenmengen wie z.B. Kaufvorgängen, Informationen über Kunden, z.B. beliebte Produkte, Käufersegmentierung oder Upselling-Möglichkeiten herausgefunden werden sollen, ist es Ziel des forensischen Data Minings, Auffälligkeiten zu identifizieren, die dann nachverfolgt werden.

Beispiele: Red Flag-Analysen, Bilanzfälschung, Manipulation von Abrechnungen und Logfiles

Teilgebiet der IT-Forensik. Entweder Forensisches Imagen, d.h. Erstellung bitidentischer Abbilder von Datenträgern (siehe Imaging), oder (siehe) Multimedia-Forensik (IT-Forensik für multimediale Inhalte, IT forensics of multimedia, e.g. images)

siehe Forensische Videoanalyse

siehe Cloud-Forensik

Teilgebiet der IT-Forensik, das sich mit den Besonderheiten der IT-Forensik von Videodaten befasst

Beispiel: Analyse von Überwachungsvideos (CCTVs)

siehe Vollständige Offenlegung

Angriff auf bestimmte IT-Systeme eines Unternehmens, der sich konkret und präzise gegen diese IT-Systeme und dieses Zielunternehmen richtet, mit dem Ziel, genau diesem Unternehmen zu schaden. Im Gegensatz zu einem ungerichteten Angriff, bei dem unter Ausnutzung einer IT-Sicherheitslücke eine Vielzahl von IT-Systemen unterschiedlicher Unternehmen angegriffen werden, z.T. auch automatisiert und ohne die Absicht, genau einem bestimmten Unternehmen zu schaden.

Beispiel: Hacker wird angeheuert, vertrauliche Daten eines Vorstandsvorsitzenden zu exfiltrieren

siehe gerichteter Angriff

Begriff aus der Datenverschlüsselung zur Vermeidung von Datenspuren. Bei geeigneter Umsetzung kann das Vorhandensein oder der Ursprung einer Information durch diese Verteidigungsstrategie erfolgreich abgestritten werden.

Beispiel: Jemand, der einen Datenträger IT-forensisch untersucht, soll nicht erkennen können, ob dieser verschlüsselt ist, damit der Besitzer des Rechners nicht gezwungen werden kann, das Kennwort herauszugeben. Z.B. wird eine harmlose glaubhafte Erklärung für die Existenz verschlüsselter Bereiche gegeben, oder es wird ein Vorzeige-Betriebssystem installiert, das bei Eingabe eines Kennwortes nur harmlose Daten und nicht die eigentlich verschlüsselten zeigt. Abstreitbare Verschlüsselung, abstreitbarer Container

siehe Dual-Use-Software

Angriffsart, bei der ein Angreifer (Hacker) eine Schwachstelle ausnutzt, z.B. bei einem IT-System (IT-Sicherheitslücke) oder einem Menschen (Social Engineering). Allgemeiner auch die Nutzung eines IT-Systems auf kreative Weise zu einem ursprünglich nicht intendierten Zweck oder auf eine bei dessen Entwurf nicht vorgesehene Weise

Beispiele: Eskalation von Privilegien, Nutzung unzureichend abgesicherter Ports, Buffer-Overflow-Angriff, unberechtigtes Knacken von Passwörtern Dritter, Shellshock-Angriff, Heartbleed-Angriff

siehe Kollisionsangriff

siehe Hashverfahren

siehe Hashverfahren

Methode, bei der durch ein kryptographisches Verfahren zu einem bestimmten Zeitpunkt eine Prüfsumme über einen Datenstrom (z.B. den Inhalt einer Festplatte oder Datei) gebildet wird. Da bereits eine nur geringfügige Veränderung des Datenstroms (1 Bit genügt) eine völlig andere Prüfsumme ergibt, kann durch Übereinstimmung der Prüfsumme von Quelle und Ziel Identität der Datenströme und damit die Korrektheit, Integrität und Unverändertheit IT-forensischer Datensicherungen nachgewiesen werden. Aufgrund technischer Neuerungen bei SSDs wie TRIM, welche Daten intern umorganisieren, kann nicht mehr gewährleistet werden, dass mehrmaliges Auslesen einer Datenquelle, auch an einem Schreibschutz, zur selben Prüfsumme führt. Hashverfahren sind grundsätzlich angreifbar, falls es gelingt für zwei unterschiedliche Datenströme dieselbe Prüfsumme zu erzeugen (Kollisionsangriff).

Beispiele: SHA-256, md5

Der Hauptspeicher eines Computers, Bestandteil eines IT-Systems, ist ein schneller Speicher mit wahlfreiem Zugriff, im Gegensatz zu einem Datenträger als Speicher für Daten. Inhalte eines Hauptspeichers sind ein IT-forensisches Artefakt, das wertvolle flüchtige Datenspuren enthält

Beispiele: Kennwörter im Hauptspeicher, laufende Prozesse im Hauptspeicher, Cold-Boot-Angriff

Abbild von Daten aus einem Hauptspeicher (RAM), siehe Speicherabbild

(Gegen-)Angriff, bei dem ein vermeintlicher Datenschatz bzw. ein IT-System als vermeintlich lohnenswertes Angriffsziel ("honey pot") präpariert und bereitgestellt wird, sodass ein Angreifer (oder eine Schadsoftware) Datenspuren auf dem IT-System hinterlassen.

Beispiele: Rogue Access Point, Fake Access Point. Ein Hacker greift einen unzureichend geschützten Dateiserver an, fällt auf gefälschte, vermeintlich geheime echte Dokumente herein, und gibt aufgrund eines Versehens selbst Daten preis, die zu seiner Identifizierung beitragen können oder ihn hinhalten, so dass er denkt, man sei ihm noch nicht auf der Spur. Der Erpresste antwortet auf eine anonyme Erpressermail und verleitet den Erpresser, nochmals zu schreiben und dadurch weitere Informationen preiszugeben. Malware infiziert einen honey pot, der nur dafür eingerichtet wurde, Malware "aus freier Wildbahn" einzusammeln

siehe honey pot

siehe Impersonifizierung

IT-forensische Methode zur gerichtsverwertbaren Erstellung von bitgenauen Abbildern von Datenströmen (Images)

Angriffsart, bei der sich ein Angreifer persönlicher Daten einer angegriffenen Person bemächtigt und sich unter Nutzung dieser Angaben gegenüber IT-Systemen oder realen Personen als diese Person ausgibt.
Beispiele: Reputationsschädigung, Online-Banking-Betrug, Passwortklau, Defacement, Social Engineering 

Ereignis (Vorfall), bei dem ein IT-System betroffen ist und dieses ausgefallen, in seiner Funktion gestört oder dessen IT-Sicherheit oder der Schutz von Daten und Anwendungen möglicherweise bedroht ist. Untersuchungen bzw. Aufklärung erfolgt im Rahmen von (siehe) Incident Response.

Beispiele: Mehrfacher Serverausfall unter auffälligen Umständen, Hackerangriff, gelöschte Daten, unklare Spuren von Zugriffen auf IT-Systeme, Malwarebefall, Verdacht auf IT-Sabotage

Teilgebiet der IT-Forensik (und IT-Sicherheit), das sich mit den besonderen Bedingungen in der Reaktion auf IT-Störfälle und IT-Sicherheitsvorfälle (Incidents) befasst
Beispiel: Incident Response nach einem Verfügbarkeitsangriff (Denial of Service)

Täter, der IT-Systeme von innen heraus angreift. Innen bedeutet, der Täter gehört zum Unternehmen oder zum berechtigten Kreis, etwa ein Dienstleister, und hat in dieser Rolle physischen oder logischen Zugriff auf IT-Systeme, sei dieser nun berechtigt oder nicht. Dabei erfolgt der Angriff typischerweise physisch vor Ort oder über das interne Netzwerk, und häufig unter Ausnutzung von Kennwörtern Dritter bzw. allgemein bekannten Zugangsdaten für nicht namentlich zugeordnete Kennungen.

Beispiele: IT-Administrator spioniert den Vorgesetzten aus, frustrierter Mitarbeiter entwendet ein Sicherungsband aus dem Serverraum

siehe Insolvenzvergehen

siehe Insolvenzvergehen

Teilgebiet der IT-Forensik. IT-Forensik in Insolvenzverfahren, für Insolvenzverwalter und deren Dienstleister, zur Mehrung der Masse und der konkreten Unterlegung von Anfechtungsansprüchen
Beispiele: für typische Methoden: IT-forensische Datensicherung, eDiscovery

siehe Insolvenzvergehen

Erscheinungsform der Wirtschaftskriminalität in einem Insolvenzverfahren, strafbar nach Par. 283 StGB, bei der die Insolvenzmasse geschädigt und einzelne Gläubiger bevorzugt und dadurch andere benachteiligt werden. Insolvenzforensik, insbesondere eDiscovery, kann helfen, solche Taten aufzudecken.

Beispiel: Insolvenzverschleppung, Firmenbestattung

Erscheinungsform der Wirtschaftskriminalität im Rahmen einer Insolvenz (siehe Insolvenzvergehen), bei der die verpflichtende rechtzeitige Anmeldung der Insolvenz nicht oder zu spät erfolgt.

Clientseitige Software von Microsoft, namens Internet Explorer, zum Aufruf von Webseiten (siehe Webbrowser). Wird ersetzt durch Edge (Spartan).

Teilgebiet der IT-Forensik und der Webbrowser-Forensik, das sich mit den Besonderheiten der Artefakte zum Webbrowser Internet Explorer befasst.

Beispiele: index.dat, Cache des Internet Explorer

Ein wichtiges Netzwerkprotokoll in der Familie der Internetprotokolle, das die Grundlage des Internet bildet. Es implementiert die Internetschicht des TCP/IP-Modells bzw. die Vermittlungsschicht des OSI-Referenzmodelles. Vom Übertragungsmedium unabhängig können somit Daten an Computer in Subnetzen adressiert und so Datenpakete an diese versandt werden. Dieses Protokoll ist verbindungs- bzw. zustandslos.

Beispiele: IPv4, IPv6

siehe Internet Protocol (IP)

Internet Protocol Version 4, d.h. in (bish heute weit verbreiteter Ausprägung), siehe Internet Protocol

Internet Protocol Version 6, aktuelle Version des (siehe) Internet Protocol

Professionelles Tätigkeitsfeld, das sich im rechtlichen / gerichtlichen Zusammenhang mit Datenspuren auf IT-Systemen, ihrer Sicherung, Aufbereitung, Auswertung und sachverständigen Beurteilung befasst. Siehe auch die Definition in der Deutschen Nationalbibliothek

siehe Unix-Forensik

Teilgebiet der IT-Forensik, das sich mit den Besonderheiten der Datenverarbeitung von Multimediadaten (Bildern) unter forensischen Gesichtspunkten befasst.

Beispiel: Videoforensik

siehe Imaging

Angriffsart, bei der ein Täter IT-Systeme planvoll in ihrer Nutzbarkeit einschränkt, absichtlich Fehler hervorruft, diese unbrauchbar macht, Daten löscht, Verwirrung stiftet oder hohe Kosten und große Unannehmlichkeiten verursacht.

Beispiele: Fatale Löschung von RAID-Konfigurationen, Zurücksetzen wichtiger genutzter IT-Geräte auf Werkseinstellungen, Herunterfahren von IT-Systemen in Produktionsbetrieben

Computersysteme und -geräte und ihre Bestandteile

Beispiele: Client, Server, Workstation, Laptop, Desktop, Mobiltelefon, Smartphon, Multifunktionsgerät, Festplatte

Teilgebiet der IT-Forensik, das sich mit dem zeitlichen Verlauf von Nutzungen von IT-Systemen und -Anwendungen durch Anwender befasst

Beispiele: Browserverlaufs-Forensik, Verlauf zuletzt genutzter (MRU - most recently used) Dateien, zuletzt genutzter Software, zuletzt verbundener Netzwerke, zuletzt angeschlossene (USB-)Geräte

Gesamtheit der Gesetze und der Rechtssprechung in einem bestimmten Land bzw. Gebiet. In der IT-Forensik insbesondere relevant aufgrund verschiedener Datenschutzgesetze sowie den rechtlichen Voraussetzungen für private Ermittler in unterschiedlichen Ländern.

Erscheinungsform der Wirtschaftskriminalität, strafbar nach Par. 264a StGB, bei der Geldanlagen nicht so getätigt werden wie gegenüber den Anlegern angegeben, oder gar nicht erfolgen.

Beispiel: Pyramidenschema, bei dem Einlagen von Anlegern zur Auszahlung von fiktiven Gewinnen an Anleger verwendet werden

Schadsoftware, die Tastatureingaben abgreift und protokolliert und/oder an den Angreifer übermittelt, z.B. über Netzdienste, e-Mail, Funk, Mobilfunk. Auch als Hardwaregerät möglich (z.B. Teensy)

Beispiele: Aushorchen vertraulicher Informationen, von Zugangsdaten

Angriff auf ein (siehe) kryptographisches Hashverfahren, bei dem ausgenutzt wird, dass für zwei unterschiedliche Datenströme (Dokumente) dieselbe Prüfsumme erzeugt wird.

Artefakt, das Einstellungen, etwa zu einem Betriebssystem, Programm oder einer Anwendung enthält

Beispiele: Windows-Registry, flache, textbasierte Konfigurationdateien, XML-Konfigurationsdateien, Datenbanken als Ersatz für Konfigurationsdateien

Teilgebiet der IT-Forensik, das sich mit den Besonderheiten der Auswertung von Artefakten vom Typ Konfigurationsdatei befasst

Beispiele: Windows-Registry-Forensik, Rekonstruktion von Einstellungen und etwaigen Manipulationen zu einem bestimmten Zeitpunkt und über einen Zeitverlauf

siehe Insolvenzvergehen

Erscheinungsform der Wirtschaftskriminalität, straftbar nach 265b StGB, bei der ein Täter einen Kreditgeber über die tatsächliche Situation täuscht mit dem Ziel, einen Kredit zu erhalten, welchen der Täter sonst nicht erhalten würde.

Beispiel: Fälschung von Unterlagen, z.B. zu Umsatzerlösen oder Gewinnen, die bei einer Bank zur Erlangung eines Kredites vorgelegt werden, um das Unternehmen kreditwürdiger erscheinen lassen; Stellung fingierter Sicherheiten

Datei, die typischerweise vom Benutzer als zum Merken markierte, beliebte Einträge enthält. IT-forensisches Artefakt, das u.a. Rückschlüsse auf Vorlieben eines Nutzers und damit eine inhaltliche Profilbildung erlaubt.

Beispiele: Browser-Favoritendatei, Favoritenliste in sozialen Netzwerken, Markierungen zu E-Mails in einem E-Mail-Programm

siehe Wörterbuchangriff

Teilgebiet der IT-Forensik, das sich im Rahmen von Incident Response mit den besonderen Bedingungen einer IT-forensischen Sicherung und -auswertung unter kritischen Zeitbedingungen befasst

Beispiele: Ein Hacker wird noch aktiv im IT-System vermutet, flüchtige oder nur zeitlich begrenzt verfügbare Spuren wie der Hauptspeicher oder ein noch eingehängtes, ansonsten verschlüsseltes Dateisystem sind zu sichern oder ein produktiver Server kann nicht zur Sicherung abgeschaltet werden

siehe Flash-Cookie

siehe Logfile

Artefakt, welches eine zeitlich geordnete Abfolge von Ereignissen mit weiteren Detailangaben enthält, die Aufschluss über den Hergang in einem bestimmten Zeitraum geben können.

Beispiele: Windows Event Logs, E-Mail-Logfile, Logfile einer Firewall, Journal-Datei eines Dateisystmes (z.B. $Logfile), Protokolldatei einer Praxissoftware, Journal einer Buchhaltungssoftware.

Teilgebiet der IT-Forensik, das sich mit den Besonderheiten des Artefaktes Logfile befasst

Beispiele: Zeitleistenforensik, Zeitverschiebung (time drift), Zeitzonen

Maßnahme der Datenverschleierung im Rahmen der Antiforensik, bei der ein Täter die MAC-Adresse (eines Interfaces einer Netzwerkkarte) eines Rechners verändert, sodass diese Kennung nicht mehr auf den von ihm benutzten Rechner zurückverfolgbar ist.

Teilgebiet der IT-Forensik und der Betriebssystem-Forensik, das sich mit der IT-Forensik der Mac- bzw. iOS-Betriebssysteme von Apple befasst.

Beispiele: MacOS-Forensik, iOS-Forensik

Software, die nicht nur einem vom Nutzer unerwünschten Zweck dient, sondern auch noch Schaden anrichtet

Beispiele: Verschlüsselungs-Trojaner (Ransomware), Banking-Trojaner

siehe Mittelsmann-Angriff

Artefakt des NTFS-Dateisystems ($MFT), quasi "Inhaltsverzeichnis". Enthält auswertungsrelevante Attribute, z.B. früher existierende Dateien im Dateisystem-Journal oder Zeitstempel

Beispiele: $AttrDef, $BadClus, $Bitmap, $Boot, $INdex_Root, $Logfile

siehe Speicherabbild

siehe Speicherforensik

Verfahren in der IT-Forensik (oder IT-Sicherheit) zur Sicherung, Aufbereitung oder Auswertung einer digitalen Spur

Beispiele: Cold-Boot-Angriff im Rahmen einer Hauptspeichersicherung, Nutzung eines Hardware-Writeblockers, Carving zur heuristischen, signaturbasierten Wiederherstellung gelöschter Dateien

siehe Brute-Force-Angriff

siehe Mittelsmann-Angriff

Angriff auf Kommunikation zwischen zwei Partnern, z.B. Menschen oder IT-Systeme, bei der sich der Angreifer Kommunikationspartner A (Alice) gegenüber als Kommunikationspartner B (Bob) ausgibt und Bob gegenüber als Alice, sodaß Alice und Bob glauben, direkt und unbelauscht miteinander zu kommunizieren, während in Wirklichkeit der Angreifer mithört und auch Kommunikationsinhalte verändern kann.

Beispiele: MITM-Angriff auf SSL-verschlüsselte Kommunikation, auf E-Mail-Austausch

Fragestellung in der IT-Verlaufsforensik

Beispiel: zuletzte geöffnete bzw. genutzte Dateien

siehe Forensic Imaging

siehe Doublette

siehe Datenverkehr (in einem Netzwerk)

Teilgebiet der IT-Forensik, das sich mit den Besonderheiten der Konfiguration und von Datenverkehr in Computernetzwerken befasst.

Beispiele: Mitschneiden von Netzwerkverkehr mit tcpdump, Auswertung von Datenverkehr zu Malware mit Wireshark

Methode in der IT-Sicherheit, speziell bei Penetrationstests, bei der durch systematisches Durchlaufen (scannen) Dienste zu IT-Geräten in einem Netzwerk entdeckt und katalogisiert werden. Portscans sind Netzwerkscans auf offene Ports. Gleichermaßen Angriffsmethode, um ein Einfallstor bzw. eine IT-Schwachstelle für einen Angriff zu finden.

Beispiel: Portscan auf Port 80 (Standard-Port für Webserver)

siehe Datenverkehr (in einem Netzwerk)

Teilgebiet der IT-Forensik und der Webbrowser-Forensik, das sich mit den Besonderheiten der Artefakte zum Webbrowser Opera befasst.

Clientseitige Software von Opera Software, namens Opera, zum Aufruf von Webseiten (siehe Webbrowser).

Artefakt der (siehe) Auslagerungsdatei eines Windows-Betriebssystems

Artefakt, welches das Löschen von Dateien in einem Dateisystem ermöglicht. Ein Nutzer kann dank der Metapher eines Papierkorbs auf der Benutzeroberfläche eines Betriebssystems Dateien in einen Papierkorb schieben. Sofern der Papierkorb nicht gelöscht wird, verbleiben gelöschte Dateien in diesem Artefakt.

Beispiel: $Recycle.bin

Angriffsart von Tätern, aber auch IT-forensische Methode bzw. Methode in der IT-Sicherheit, bei der auf verschiedene Weise versucht wird, ein unbekanntes Passwort herauszufinden

Beispiele: Wörterbuch-Angriff, Brute-Force-Angriff, Social Engineering, Seitenkanalangriff

siehe Password Cracking

siehe IT-Forensik

Im Gebiet der IT- und Informationssicherheit konkrete und systematische, werkzeuggestützte Überprüfung von IT-Systemen auf Sicherheitslücken. Werkzeuge sind z.B. Portscanner und Datenbanken mit bekannten Sicherheitslücken. Jedoch ist auch Erfahrung und Intuition für ein intellektuelles Vorgehen notwendig, da rein automatisierte Tests nicht ausreichen.

siehe Penetrationstest

Artefakt des (siehe) Firefox-Webbrowsers, in dem Daten zum Browserverlauf (Nutzungsverlauf, Besuchsverlauf) im Datenbankformat SQLite gespeichert sind, also aufgerufene Webseiten

siehe Zeigerüberlauf

siehe Netzwerkscan

siehe Rechteausweitung

In Anlehnung an die Bildung von Täterprofilen (Profiling) in der Kriminalistik ist es auch möglich, Datenspuren zu nutzen, um Informationen über Vorlieben von Tätern und ihre Gedankenwelt zu gewinnen.

Beispiel: Profilbildung anhand des Browserverlaufs oder von Lesezeichen, von Kommunikation (E-Mails, Chats)

siehe Keylogger

Abbild von Daten aus dem Hauptspeicher (RAM) zu einem bestimmten Prozess, (siehe) Speicherabbild

siehe Hashverfahren

siehe Cache

Häufig vorkommende ausnutzbare IT-Sicherheitslücke in Software, bei der in einen reservierten Speicherbereich zu viele Daten geschrieben werden, sodass dieser überläuft. Dies ermöglicht einem Angreifer, nach dem Ziel-Speicherbereich liegende Speicherstellen mit gewünschtem Schadcode zu überschreiben.

Beispiel: Zeigerüberlauf (pointer overflow)

siehe Doublette

Speicher mit wahlfreiem Zugriff, siehe Hauptspeicher

Schadsoftware, die eine vom Nutzer unerwünschte Zugriffs- oder Nutzungsbeschränkung von Daten oder IT-Systemen bewirkt

Beispiel: Verschlüsselungs-Trojaner, Erpressungs-Malware

Angriffsart, bei der ein Angreifer unter Ausnutzung von IT-Sicherheitslücken bestehende (ggf. auch schon nicht zulässig erlangte) Berechtigungen ausweitet, um noch mehr bzw. schädlichere Aktionen ausführen zu können.

Beispiel: Erlangung von Administrator-Rechten von gewöhnlichen Nutzerrechten ausgehend

Schaden, der entsteht, weil die Reputation, d.h. der Ruf eines Unternehmens oder einer Person beschädigt oder durch negative Informationen herabgesetzt wird, typischerweise in Verbindung mit einem Angriff auf IT-Systeme.

Beispiele: Entwenden und Veröffentlichen von Kundendaten oder von (als negativ wahrgenommenen) internen Informationen, Defacement einer Webseite, Impersonifizierung eines Facebook-Kontos und Posten von Nacktbildern der Person, Versendung gefälschter Pressemitteilungen

Begriff aus der IT- und Informationssicherheit, der ein modellhaftes Vorgehen beschreibt, wie jemand, der eine Sicherheitslücke gefunden hat, diese verantwortungsvoll veröffentlichen (offenlegen) kann. Dabei handelt es sich um eine Abwägung zwischen der ehtischen Verantwortung, eine gefundene Sicherheitslücke mitzuteilen und diese nicht zu vertuschen, mit dem Ziel, die IT-Sicherheit zu erhöhen oder vor vermeintlich hoher IT-Sicherheit zu warnen, und der ethischen Verantwortung, dass die Veröffentlichung selbst nicht dazu führt, dass zahlreiche IT-Systeme schutzlos angegriffen werden können. Als Kompromiss wird die Sicherheitslücke dem Hersteller der Software so rechtzeitig mitgeteilt, daß diese Lücke vor der Offenlegung durch den Hersteller geschlossen ist ("Schonfrist"). Ebenso kann es angezeigt sein, nicht alle technischen Details zu veröffentlichungen. Siehe auch: Vollständige Offenlegung

Angriffsart, bei der ein WLAN-Router untergeschoben wird, der sich Nutzern gegenüber als vermeintlich authentischer Zugangspunkt zum Netz ausgibt bzw. dieser Eindruck erweckt wird.

Beispiele: Unautorisiert installierter WLAN-Zugang, der fast genau so heißt wie der offizielle Zugang z.B. zu einem Konferenz-, Hotel- oder Unternehmens-WLAN, der aber tatsächlich von einem Angreifer beherrscht wird, um Informationen über Nutzer zu erlangen, z.B. deren Kennwörter, E-Mails oder abgerufene Webseiten, auch über Mittelsmann-Angriffe (MITM). Schaffung eines (verborgenen) Zugangs zu einem gesicherten Unternehmensnetzwerk durch unberechtigte Installation eines (physisch versteckten) WLAN-Routers in den Geschäftsräumen eines Zielunternehmens, der Verbindung mit dem gesicherten Unternehmensnetzwerk hat und so z.B. von einem Parkplatz aus einem Täter den Zugang ermöglicht, ohne daß dieser das Gebäude betreten muß. Auch Form eines Honigtopfes, um Datenspuren über Angreifer zu sammeln

Begriff aus dem Gebiet der Datensicherung. Backup-Medien werden nach einem bestimmten Sicherungsschema rotiert (im Wechsel genutzt), d.h. es wird abwechselnd je eine Sicherung auf ein Medium geschrieben. Im Falle einer IT-forensischen Untersuchung oder eines IT-Sicherheitsvorfalles ist es wichtig, rechtzeitig diese Medien "aus der Rotation" herauszunehmen und sicherzustellen. Dabei werden Sicherungsbänder auf "schreibgeschützt" gesetzt. Dies zusammen schützt das Beweismittel vor zufälligem Untergang durch versehentliches automatisches Überschreiben sowie vor physischem Zugriff durch den Täter. So bleiben Datenspuren erhalten und können später ausgewertet werden.

Beispiel: Je eine Festplatte oder je ein Sicherungsband pro Wochentag, also eines für Montag, eines für Dienstag, etc.

siehe Malware

siehe Malware

Daten nach dem logischen Ende einer Datei, die sich als Datenmüll am Ende einer physischen Datei (Ende der Zuordnungseinheit) befinden. Da die logische Größe einer Datei in der Regel nicht mit der Größe der zur Speicherung verwendeten Einheiten übereinstimmt, füllt bei File Slack das Betriebssystem den restlichen Speicherplatz mit zufälligen Daten. Es kann auch vorkommen, dass Anwendungen Datenmüll schreiben, so z.B. frühere Word-Versionen. Da diese Daten zuvor genutzte Daten, auch bereits gelöschter Dateien oder z.B. Passwörter enthalten können und vom Benutzer nicht beeinflußt werden können, handelt es sich um ein wertvolles IT-forensisches Artefakt.

Beispiele: Datei-Slack (File Slack), Dateisystem-Slack, MFT Slack, RAM-Slack

siehe Sicherheitslücke (eines IT-Systems)

Kryptologische Angriffsart, 1996 bekannt gemacht durch den Kryptologen Paul C. Kocher, bei dem ausgenutzt wird, dass die physische Implementierung eines Kryptosystems auf einem IT-System möglicherweise charakteristische Signale abgibt, die Rückschlüsse auf die die verwendete Kryptographie und deren Schwächen sowie IT-Sicherheitslücken erlauben. Angriffsart auch im (siehe) Password Cracking.

Beispiel: Seitenkanal-Angriff auf einen Zufallsgenerator

siehe Seitenkanal-Angriff

Im Bereich der Speicherung von Daten auf Computer-Disks eine physische (räumlich-geometrische) Unterteilung von Orten auf einem Speichermedium (Diskette, Festplatte, optische Disk), speziell die Unterteilung eines Tracks. Jeder Sektor speichert eine begrenzte Datenmenge an Nutzerdaten. Früher war ein Sektor bei Festplatten 512 Bytes und bei CDs und DVDs 2.048 Bytes groß. Aktuelle Datenträger verwenden das Advanced Format (AF) mit einer Sektorgröße von 4.096 Bytes (4 KiB). Traditionell spielte die Sektorengröße eine Rolle bei der Angabe von CHS-Daten (Cylinder, Head, Sektor). Wird aktuell z.B. benötigt, um die Blockgröße in der IT-forensischen Datensicherung als Parameter anzugeben, oder bei der Festplattenforensik und Datenrettung.

Methode, bei der die auf einem Datenträger gespeicherten Informationen sicher gelöscht werden.

Beispiele: Mehrfaches Überschreiben, Degaussen, physische Zerstörung (mechanisch, durch Säure)

Im Gebiet der Informationssicherheit Fehler in einem Programm, der es einem Angreifer bzw. einer Malware ermöglicht, in ein IT-System einzudringen, z.B. aufgrund von Konfigurations- oder Programmierfehlern. Kann möglicherweise bei IT-Sicherheitsüberprüfungen (Pentests) gefunden werden.

Beispiele: Angriff auf eine Webanwendung unter Ausnutzung von Standard-Kennwörtern oder Injektionsmöglichkeiten, Buffer-Overflow

siehe Penetrationstest

siehe Imaging

siehe Backup

siehe Seitenkanal-Angriff

Kunstwort aus „Skript“ und „Kid“, das einen Stereotyp eines jugendlichen Angreifers ("kid") auf ein IT-System charakterisiert, dem Grundlagenkenntnisse bzw. das tiefere Verständnis für die Funktionsweise eines Angriffes fehlen, der einen solchen aber dennoch unter Nutzung von Anleitungen ("Rezepten") und Werkzeugen Dritter ("scripts") möglicherweise erfolgreich ausführt und dabei auch häufig größeren Schaden anrichtet. Im Gegensatz zu einem erfahrenen Hacker.

siehe Schlupfspeicher

Angriffsart, die nicht direkt einem IT-System gilt, sondern Menschen, die, typischerweise durch Vorspiegelung von Zeitdruck, Hierarchie, angenommenen Identitäten und unter Ausnutzung der Hilfsbereitschaft dazu verleitet werden, vertrauliche Informationenn herauszugeben, Änderungen vorzunehmen, Zugang zu gewähren oder überhaupt Aktionen auszuführen, die dem Angreifer nützen. Auch genutzt als Methode im Rahmen von Pentests, um herauszufinden, wie gut das Sicherheitsbewußtsein von Mitarbeitern ist und wo noch Schulungsbedarf besteht.

Beispiele: Herausgabe von Zugangsdaten, Freischaltung gesicherter Bereiche, Preisgabe vertraulicher Informationen, z.B. Passwörter (siehe auch Password Cracking)

Sammelbegriff für Programme und Daten, im Gegensatz zu IT-Hardware

Beispiel: Ausführbarer Programmcode, Kompilat, Konfigurationsdatei, Nutzdaten eines Programmes

Datenträger, nicht-flüchtiges elektronisches Speichermedium als Ersatz für herkömmliche Festplatten-Laufwerke, das aber keine beweglichen Teile, sondern typischerweise NAND-Flashspeicherbausteine (Flash oder SDRAM) enthalten

Beispiele: Firmware von SSDs, Wear-Levelling, TRIM, spezielle Dateisysteme für Flashspeicher unter verschiedenen Betriebssystemen

siehe Social Engineering

siehe Social Engineering

siehe Edge-Webbrowser

Abbild, d.h. Kopie zu oder Auszug von Daten aus einem Speicherbereich, in Form einer Datei

Beispiele: Hauptspeicherabbild, Prozess-Dump, Crashdump

siehe Speicherabbild

Teilgebiet der IT-Forensik, Teilgebiet der Datenträgerforensik, das sich mit den Besonderheiten von SSDs befasst

Beispiele: Veränderung des Dateninhalts während der Datensicherung auch bei Nutzung von Hardware-Writeblockern. Unterschiedliche Unterstützung von TRIM unter verschiedenen (fehlerhaften) SSD-Firmwareversionen und Betriebssystem-Releases, physisches Auslesen aus ausgelöteten SSD-Speicherbausteinen, Verändertes Layout der Datenverteilung auf SSDs durch Wear-Levelling, Besonderheiten von Verschlüsselung bei SSDs

Verfahren zur verborgenen Speicherung und Übermittlung von Informationen in einem Trägermedium. Bei IT-Systemen werden dazu Nutzdaten in Trägerdaten so verborgen, z.B. im Rauschen, dass ein gewöhnlicher Nutzer keinen Unterschied zwischen der Version mit bzw. ohne Zusatzinformation bemerkt.

Beispiel: Nachrichten in einer Bilddatei oder einem Film, Steghide, OutGess (StegDetect, Stegbreak)

Angriffsart, bei der ein Angreifer unter Ausnutzung von Sicherheitslücken des Webbrowsers des Nutzers Schadcode in den Webbrowser so injiziert, dass Schadsoftware persistent in den Reitern (Tabs) des Webbrowsers gespeichert ist. Jeder Aufruf eines Reiters installiert dann den IT-Schädling dann neu.

IT-System oder Unternehmen, das Ziel bzw. Gegenstand eines Angriffs, einer Untersuchung oder Recherche ist.

siehe Profilbildung (zu einem Täter)

Einzelne Bereiche der IT-Forensik

Beispiele: nach Artefakt (z.B. Logfileforensik), Datentyp (z.B. Videoforensik), IT-System (z.B. Mac-Forensik, Mobilgeräteforensik), Auswertungsmethode (z.B. Zeitleistenforensik, Passwortforensik), Erkenntnisinteresse (z.B. Datenexfiltrations-Forensik), Anwendungsbereich (z.B. Insolvenzforensik) oder besonderen Bedingungen (z.B. Live-Forensik)

Im Eisenbahnwesen ist eine Totmannschaltung eine Vorrichtung, mit der ein Zugführer regelmäßig signalisiert, noch wach zu sein. So könnte in der Antiforensik das Ausbleiben einer regelmäßigen Bestätigung durch einen Nutzer automatisch Verschlüsselung aktivieren oder Daten löschen.

Organisationseinheit gespeicherter Daten. Auf einer CD aufeinander folgende Liste von Sektoren auf einer Disk, die einen Datenblock enthalten. Auf einer Festplatte ein zirkulärer Pfad auf der Oberfläche einer Disk (Festplatte oder Diskette), auf der Information gespeichert und gelesen wird.

siehe Datenverkehr (in einem Netzwerk)

siehe Netzwerkforensik

In der Kriminalistik sind Trugspuren Spuren, die sich ebenfalls an einem Tatort finden (vorher da gewesen oder nachträglich hinzugekommen), jedoch in keinem Zusammenhang zur eigentlichen Tat stehen. Diese können Ermittler unabsichtlich in die Irre führen. Dies gilt auch für Datenspuren in der IT-Forensik.

Beispiel: Interne Mitarbeiter eines Unternehmens hinterlassen selbst Datenspuren auf einem zu untersuchenden Datenträger im Rahmen der ersten eigenen Aufklärungsversuche

In der Netzwerktechnik die Einbettung eines Netzwerkprotokolles in ein anderes. In der IT-Forensik und IT-Sicherheit vor allem unter dem Aspekt einer Angriffsart betrachtet, wie ein Täter durch Tunnelling Schutzmaßnahmen wie z.B. eine Firewall umgeht, indem in HTTP ein anderes Protokoll eingebettet wird, dessen Nutzung verboten ist. Dies kann arbeitsrechtliche Konsequenzen nach sich ziehen.

Beispiele: SSH-Tunnel, VPN-Tunnel, Datenexfiltration durch Tunnelling

siehe Tunnel

siehe Impersonifizierung

Angriff auf typischerweise zahlreiche IT-Systeme unter Ausnutzung einer IT-Sicherheitslücke, z.T. auch automatisiert, und ohne die Absicht, genau einem bestimmten Unternehmen zu schaden. Im Gegensatz zu einem gerichteten Angriff, der konkret und präzise auf bestimmte IT-Systeme und ein bestimmtes Unternehmen abzielt mit der Absicht, genau diesem zu schaden.

Beispiel: Skript-Kiddie greift mit einem fertigen Skript zahlreiche Shopsysteme derselben Version an, Verschlüsselungs-Trojaner befällt "zufällig" einen Rechner einer Rechtsanwaltskanzlei

siehe ungerichteter Angriff

Teilgebiet der IT-Forensik und der Betriebssystem-Forensik, das sich mit der IT-Forensik von unixoiden Betriebssystemen, auch in verschiedenen Distributionen, befasst.

Beispiele: Linux-Forensik, openBSD-Forensik, SunOS-Forensik, HP-UX-Forensik

siehe Firmenbestattung

siehe Falschbelastung

Erscheinungsform der Wirtschaftskriminalität, strafbar nach Par. 267 StGB, bei der ein Täter physische oder elektronische Dokumente fälscht mit dem Ziel der Täuschung. Siehe auch Fälschung beweiserheblicher Daten.

Beispiel: Erfundene Legitimationen; Urkunden zu nicht existierenden Vermögenswerten; fingierte Vermögensübertragungen; gefälschte E-Mails und SMS im Geschäftsverkehr, die Ansprüche begründen oder abwehren sollen

siehe Responsible Disclosure

Angriff auf ein IT-System bzw. -Dienst, in dessen Folge die Verfügbarkeit für andere Nutzer abnimmt und so das System "lahm gelegt" wird.

Beispiele: DDoS auf einen e-Commerce-Webserver, TCP syn flood (Flutung mit Anfragen über TCP)

siehe Verschiebung von Vermögenswerten

Erscheinungsform der Wirtschaftskriminalität, bei der versucht wird, Vermögenswerte zu retten bzw. dem Zugriff von Anspruchsgegnern bzw. Gläubigern zu entziehen, indem diese an entfernte Orte (z.B. Steueroasen) oder in rechtlich oder praktisch schwieriger zu greifende Schutzkonstrukte verschoben werden.

Beispiele: Vermögensübertragung (z.B. Immobilien) auf Verwandte, Ehepartner oder Geschäftsfreunde (Mittätter), Vermögensübertragung auf Stiftungen (Trusts) in Steueroasen, Verschiebung von Vermögenswerten in besser vor Pfändung geschützte Konstrukte, Nutzung von fingierten Rechnungen, z.B. Berater- oder Lizenzverträge mit ausländischen Gesellschaften, Erwerb unter Nutzung von (verdeckten) Treuhandverhältnissen

Maßnahme zur Erhöhung der Informationssicherheit, aber auch als Maßnahme der Antiforensik, bei der ein Täter mutmaßlich belastende Daten vor dem Zugriff durch IT-Forensiker schützt.

Beispiele: Verschlüsselung mobiler IT-Geräte, Ende-zu-Ende-Verschlüsselung, Transportverschlüselung, Festplatten-Vollverschlüsselung, Dateiverschlüsselung, Hardware-Verschlüsselung, Trusted Platform Module (TPM), Signaturkarten, Bitlocker, TrueCrypt, cryptfs, Pretty Good Privacy (PGP), Brute-Force-Angriff

Erscheinungsform der Wirtschaftskriminalität, strafabar nach Par. 263 StGB als eine Form des Betrugs oder nach Par. 265 (Versicherungsmißbrauch), bei ein Täter in betrügerischer Absicht Versicherungsleistungen beansprucht, die ihm nicht zustehen.

Beispiel: Nutzung eines Gefälligkeitsgutachten, das den Hergang eines IT-Schadens anders darstellt als tatsächlich abgelaufen (IT-Haftpflichtversicherung)

Verunstaltende Manipulation einer Webseite bzw. von im Internet abrufbaren Inhalten, durch einen Angreifer, derart, daß Besucher von Webseiten bzw. Nutzer dieser Inhalte nun nicht mehr die originalen Inhalte, sondern die vom Angreifer abgelegten sehen. Diese sind bei der Verunstaltung typischerweise rufschädigend (siehe Reputationsschaden), beleidigend oder geschäftsschädigend.

Beispiele: Defacement einer Webseite, auf der statt hochwertigen Autos nun nackte Tatsachen zu sehen sind, Defacement eines Twitter-Accounts, über den pikante Details ausgeplaudert werden, vermeintlich im Namen des Nutzers (siehe auch Impersonifizierung)

siehe Forensische Videoanalyse

IT-System, das der Überwachung von Einrichtungen mittels Videosignalen (Aufzeichnung oder nur Übertragung) an einen kleinen, geschlossenen Benutzerkreis dient, typischerweise zum Zwecke der Sicherheit und IT-Sicherheit. Siehe Forensische Videoanalyse

Begriff aus der IT- und Informationssicherheit, bei der eine gefundene Sicherheitslücke möglichst früh (d.h. ohne Schonfrist wie bei der (siehe) Verantwortungsvollen Offenlegung) publiziert wird, damit sie möglichst schnell geschlossen werden kann. Dieses Vorgehen ist umstritten.

siehe Incident

Software zum Aufruf von Webseiten bzw. webgestützten Anwendungen

Artefakt(e) eines Webbrowsers, d.h. IT-forensisch untersuchbare Daten, die aus der Installation, Konfiguration und Nutzung von Webbrowsern herrühren

Beispiele: Papierkorb, Proxy, Nutzungsverlauf zuletzt besuchter Seiten, in Formulare eingegebene Daten

Artefakt, spezieller (siehe) Cookie, der von Webbrowsern beim Abruf von Webseiten gespeichert wird

siehe Browserforensik

Straftaten, die unter Ausnutzung von Tricks ohne Gewaltanwendung begangen werden. "Weiße Kragen" bzw. "weiße Weste" deshalb, weil solche Täter aus dem Management stammen. Siehe auch Wirtschaftskriminalität

Angriffsart, bei der ein Täter versucht, an Informationen über ein Werk eines Unternehmens zu bekommen, hier insbesondere durch Nutzung von IT-Systemen (siehe Ausspähen von Daten).

Beispiele: Erfahrungsgemäß gut geeignete Einstellungen bestimmter Maschinen in einem Herstellungsprozess, Rezepturen, Verfahren, Lieferanten

Software-Programm (von Skript bis ausgereifter Auswertungs-Suite), welches Prozesse in IT-Forensik und IT-Sicherheit unterstützt

Beispiele: Software-Werkzeug, Sicherungs-Werkzeug, Aufbereitungs-Werkzeug, Auswertungs-Werkzeug, Angriffs-Werkzeug, Test-Werkzeug, Diagnose-Werkzeug
etwa: Wireshark zur Sicherung von Netzwerkverkehr, volatiliy zur Auswertung des Hauptspeichers, dd zur Sicherung von Daten, X-Ways Forensics zur Auswertung von Images, IDA als Debugger

siehe Weiße-Kragen-Kriminalität

Teilgebiet der IT-Forensik, das sich mit Besonderheiten von Daten befasst, die nicht oder nicht mehr in einem Dateisystem vorliegen, d.h. aktuell im Dateisystem nicht existieren

Beispiele: Papierkorb, Dateisystem-Schlupfspeicher, Datei-Schlupfspeicher, Interpartitions-Schlupfspeicher, Logisch existierende Einträge in Datenbanken zu für Anwendungen gelöschte Einträge, Carving, Carving in Datenbanken, Rückgriff auf Schattenkopien und Restore Points, Differenz-Analysen aus verschiedenen Backup-Ständen und Sicherungskopien, Methoden zur sicheren Datenlöschung für die Einhaltung von Datenschutz-Vorschriften und der Datenhygiene, Aktives Löschen von Datenspuren durch Täter zur Vertuschung einer Tat, Untersuchung der Inhalte von gelöschten und dann wiederhergestellten Dateien

Teilgebiet der IT-Forensik und der Betriebssystem-Forensik, das sich mit der IT-Forensik der Windows-Betriebssysteme von Microsoft befasst.

Beispiele: Windows XP-Forensik, Windows 7-Forensik, Windows 8-Forensik, Windows 10-Forensik, Windows-Server-Forensik

Artefakt in einem Windows-Betriebssystem. Zentrale, hierarchisch aufgebaute Konfigurationsdatei, bestehend aus mehreren Hives (= logische Gruppe von Schlüsseln mit Werten), die zahlreiche IT-forensisch Informationen zu system- oder nutzerbezogenen Einstellungen und Aktionen enthalten, z.B. zuletzt genutzte Dokumente, eingegebene Suchbegriffe, eingehängte Dateisysteme, installierte Software. Umfassende, vom Konfigurationsmanager im Windows-Kernel verwaltete Datenbank des Windows-Systems und aller Systemdienste und -prozesse, zur Speicherung vielfältiger Steuerungsinformationen zu Systemeigenschaften (Hard- und Software einschließlich Anwendungen und Benutzeroberfläche) sowie über Nutzeraktivitäten.

Beispiele für Registry-Hives: Systembezogen: BCD, Components, Default, SAM, Security, Software, System; Nutzerbezogen: NTUSER.dat, UserClass.dat

siehe Sicheres Löschen von Datenträgern

Verstöße gegen Tatbestände des Wirtschaftsstrafrechts, Straftaten, die im Zusammenhang mit der Wirtschaft begangen werden bzw. engen Bezug zum Wirtschaftsleben haben. Allgemeiner versteht man darunter auch Weiße-Kragen-Kriminalität (white collar crime bzw. business crime), d.h. Straftaten, die unter Ausnutzung von Tricks ohne Gewaltanwendung begangen werden. Typischerweise wird jemand dabei Geld aus einem Unternehmen abziehen, es verschieben und in die  eigene Tasche lenken. Dabei gibt es zahlreiche Gestaltungsmöglichkeiten für Täter. Siehe auch Weiße-Kragen-Kriminalität
Beispiele: Betrug (Par. 263 StGB, fraud), Unterschlagung (Par. 246 StGB), Untreue (Par. 266 StGB, Veruntreuung).

Angriffsart, bei der ein Täter versucht, Informationen über ein Wirtschaftsunternehmen zu erlangen, z.B. Fusionsabsichten, Patente, Strategien, Kalkulationen, Konstruktionspläne. Form der Ausspähung, insbesondere mittels IT

Beispiele: Wirtschaftsspionage durch Mitschneiden von E-Mail-Verkehr, durch Zugriff auf mobile Endgeräte von Führungskräften

Angriffsart eines Täters bzw. IT-forensische Methode oder Methode in der IT-Sicherheit, Unterform des (siehe) Password Cracking, bei dem eine (lange) Wortliste (aus Lexika und typischer Kennwörter) durchprobiert wird. Idealweise in Kombination mit einer Grammatik von Permutationsregeln, z.B. hund, Hund, 1hund, 2hund, ..., hund1, hund 2, ...

Art eines Pufferüberlaufes, bei dem ein Zeiger (Zieladresse, pointer) nach dem Überlauf auf einen anderen Speicherbereich zeigt, insbesondere einen Bereich, in dem ein Angreifer Schadecode platziert hat, den er so zur Ausführung bringen kann.

Chronologische Zusammenstellung von Ereignissen bzw. Aktionen, die sich auf ein IT-System oder mehrere beziehen, bestehend aus Zeitstempeln, Quellen, Aktoren und Aktionen, sodass zeitliche Abläufe in einem interessierenden Zeitraum unabhängig von IT-Systemen, Artefakten und Auswertungswerkzeugen übersichtlich und verständlich dargestellt werden

Beispiele: Zeitleiste zu einem IT-Angriff, Zeitleistenanalyse, Zeitleistenforensik, SIFT-Workstation zur Zeitleistenanalyse

Teilgebiet der IT-Forensik, das sich mit den Besonderheiten der Darstellung zeitlicher Abläufe bei der Rekonstruktion von Ereignissen in einem fraglichen Zeitraum befasst, zum Zwecke der übersichtlichen und verständlichen Darstellung, unabhängig von Auswertungsmethoden, -werkzeugen und -artefakten oder IT-Systemen

Beispiele: Zeitleiste, welche Ereignisse aus Interviews bzw. Zeugenaussagen, Logfiles, Dateisystem-Zeitstempeln, E-Mail-Headern, der Windows-Registry, aus Metadaten von Dokumenten und möglicher weiterer Zeitgeber nutzt

Metadaten zu einem Ereignis oder Artefakt, welche sich auf einen Zeitpunkt beziehen, codiert in einem bestimmten Zeitstempelformat und relativ zu einer bestimmten Zeitzone.

Beispiele: verschiedene NTFS-Dateisystem-Zeitstempel, Eintrag in einer Logdatei, Zeitpunkt zu einem Eintrag in der Windows Registry, Fälschung von Zeitstempeln, time drift, Zeitzonen, seconds since the epoch (Unix-Zeit)

siehe Cluster (Datenträger)