Glossar

Fachsprech zu Klartext

 

In unserem Glossar erläutern wird Fachbegriffe aus unserer Domäne, d.h. zu IT-Forensik und IT-Sicherheit. Wir werden dieses nach und nach ergänzen.

Ihnen fehlt eine Erläuterung? Kontaktieren Sie uns einfach.

A

Abfangen von Daten

siehe Ausspähen von Daten

Adobe Flash-Player

Software von Adobe, Programm zur Darstellung multimedialer und interaktiver Inhalte (Flash, gesteuert über ActionScript). Relevant in der Cookie-Forensik von Flash-Cookies (LSOs).

Alternative Data Stream (ADS)
- Alternativer Datenstrom -

Artefakt in einem Windows-NTFS-Dateisystem, bei dem (Zusatz- bzw. Meta-)Daten zu einer Datei fest an eine Datei gebunden gespeichert werden können, ohne dass der Benutzer diese Daten direkt sieht, d.h. diese sind typischerweise für den Benutzer unsichtbar. Verwandte Konzepte in anderen Dateisystemen: Apple Resource Fork; Extended-Attribute-Namensraum in UFS und ZFS

Alternativer Datenstrom

siehe Alternative Data Stream (ADS)

Angriffsart

Art eines Angriffs auf ein IT-System oder auf Informationen
Beispiele: Hacking, Verfügbarkeitsangriff, Impersonifizierung, Social Engineering

Anlagebetrug

siehe Kapitalanlagebetrug

Anonymisierungsdienst

Maßnahme im Rahmen Datenvermeidung, als legitime Maßnahme von Nutzern, aber auch als Verschleierungsmaßnahme in der Antiforensik.

Beispiel: Tor

Anti-forensics

siehe Antiforensik

Antiforensik
- Anti-Forensik, anti-forensics, counter forensics, Behinderung IT-forensischer Maßnahmen -

Angriffsart, die auf die Erschwerung oder Verunmöglichung IT-forensischer Beweisgewinnung oder Auswertung abzielt. Jeder Kompromittierungsversuch zur Reduktion der Verfügbarkeit oder Nützlichkeit von Beweisen für den IT-forensischen Auswerteprozesse. Damit kann ein Angreifer Datenspuren vermeiden, nicht gewinnbar machen, verschleiern, verändern oder zerstören, z.B. damit man ihm nichts nachweisen kann, um sich zu entlasten oder andere falsch zu belasten. DigiTrace forscht zu Gegenmaßnahmen zu Anti-Forensik (Anti-Anti-Forensik)

Beispiele: Anti-forensische Manipulation eines Betriebssystem-Kernels, Angriffe auf IT-forensische Werkzeuge, Steganographie, Verschlüsselung, Anonymisierungsdienste, Vermeidung digitaler Spuren bzw. Datensparsamkeit

Arbeitsspeicher

siehe Hauptspeicher

Artefakt

Durch Menschen geschaffenes Sofwareprodukt, z.B. in einem Betriebssystem oder einer Anwendung, welches Datenspuren enthält. IT-forensisch auswertbare Einheit.

Beispiele: von einem Betriebssystem oder einer Anwendung erzeugte Artefakte wie etwa Logfiles, Konfigurationsdateien, Datenbanken

Asset relocation

siehe Verschiebung von Vermögenswerten

Asset tracing

siehe Aufspüren versteckter Vermögenswerte

Aufspüren versteckter Vermögenswerte
- Asset Tracing -

Aufklärungstätigkeit bei Verdacht auf von einem Täter aktiv versteckte Vermögenswerte (siehe Verschiebung von Vermögenswerten), z.B. durch Wirtschaftsdetekteien. eDiscovery kann helfen, herauszufinden, wo sich diese Vermögenswerte befinden. Ermittlungsprinzip: "follow the money" ("immer dem Geld nach"), um einen Täter und Zusammenhänge zu finden.

Beispiele: Aufspüren einer Yacht nach dem Zusammenbruch eines Firmenimperiums, Aufdeckung von verdeckten Treuhandverhältnissen

Außentäter

Täter, der ein IT-System von außen angreift. Außen bedeutet, er gehört nicht zum direkten Umfeld des Unternehmens (Mitarbeiter oder Dienstleister). Typischerweise greift er die IT-Systeme des Zielunternehmens dann über Internet an.

Beispiel: Skript-Kiddies, Erpresser, Wirtschaftsspionage

Auslagerungsdatei

Eine Auslagerungsdatei ist ein Artefakt, das Inhalte des Hauptspeichers enthält, die, da weniger benötigt, aus Platzgründen in eine Datei im Dateisystem ausgelagert wurden

Beispiel: pagefile.sys in einem Windows-Betriebssystem

Ausspähen von Daten
- Abfangen von Daten -

Erscheinungsform der Computerkriminalität, strafbar nach Par. 202a-c StGB, bei der ein Täter Daten Dritter unberechtigt erlangt, in dem er diese ausspäht, abfängt oder entsprechende Handlungen vorbereitet

Beispiel: Man in the Middle-Angriff zum Abfangen von E-Mails und Kennwörtern, Ausspähung zum Zwecke der Wirtschaftsspionage

Auswertung von Chats

siehe Chat-Forensik

B

Backup
- Datensicherung, Sicherungskopie -

Kopie (wichtiger) Daten auf einem separaten Medium, dessen Standort sich idealerweise woanders befindet als das Original. Dient dazu, bei Beschädigung, Verlust oder versehentlichem Löschen von Daten diese wiederherstellen zu können und mindert somit IT-Risiken. Typische Obligation im Rahmen von Geschäftsführerhaftung und dem Abschluss von IT-Versicherungen. Im Rahmen der IT-Forensik von besonderer Bedeutung, wenn Originaldaten nicht oder nicht mehr verfügbar sind oder die Backups vor Zugriff durch einen Täter aufbewahrt wurden.
Beispiele: Acronis-Backup, Veeam-Backup, Vollbackup, Differenzialbackup, Rotation, Differenzanalyse von Datenbeständen zu unterschiedlichen Zeitpunkten

Behinderung IT-forensischer Maßnahmen

siehe Antiforensik

Beinahe-Doublette

siehe Doublette

Benutzerkonto
- User Account -

IT-forensisches Artefakt, das Informationen verwaltet zu einer bestimmten Benutzerkennung eines IT-Systems. Ein Benutzer meldet sich mit seinen Zugangsdaten (Credentials) in seinem Benutzerkonto an einem IT-System an. Da Zugangsdaten auch weitergeben werden können, manche Benutzerkonten nicht mit einem Passwort geschützt sind und es auch die Möglichkeit gibt, IT-Sicherheitslücken auszunutzen (z.B. Privilege Escalation), trifft ein IT-Forensiker Aussagen über Aktionen zu Benutzerkonten, nicht zu Benutzern, da deren Identität oftmals nicht eindeutig zugeordnet werden kann. Erst die Analyse weiterer Aktionen zu einem IT-System (z.B. zeitliche Korrelation, inhaltliche Profilbildung unter Nutzung von Kommunikation über Chat oder E-Mail, Browserverlauf, Favoriten-Datei) oder außerhalb eines IT-Systems (z.B. Abgleich mit Anwesenheitszeiten, Zeugenaussagen) ermöglicht eine Zuordnung der Nutzung eines Benutzerkontos zu einer natürlichen Person.

Beispiel: Nutzer mit einer bestimmten SID (Security ID) auf einem Windows-Betriebssystem; Eintrag in der Shadow-Passwd auf einem Linux-System

Besuchsverlauf

siehe Browserverlauf

Betriebssystemforensik

Teilgebiet der IT-Forensik, das sich mit der Auswertung der Besonderheiten einzelner Betriebssysteme befasst

Beispiele: Windows-Forensik, Mac-Forensik, Unix-Forensic

Beweissicherung (IT-forensische)

siehe Imaging

Bildforensik

siehe IT-forensische Bildverarbeitung

Bitlocker

Artefakt der Verschlüsselung auf einem Windows-Betriebssystem

Beispiele: Wiederherstellungsschlüssel (Recovery Key), Bitlocker to Go für die Verschlüsselung externer, mobiler Datenträger

Block eines Dateisystems

siehe Cluster (Dateisystem)

Bookmarks

siehe Lesezeichen-Datei

Browser

siehe Webbrowser

Browser history forensics

siehe Browserverlaufsforensik

Browser-Besuchsverlauf

siehe Browserverlauf

Browser-Formulardaten

Artefakt eines Webbrowsers, in dem von einem Nutzer in Webformulare eingegebene Daten gespeichert werden.

Browser-Hijacking

Angriffsart, bei der ein Angreifer Sicherheitslücken eines Webbrowsers ausnutzt, um dessen Einstellungen ohne Zustimmung des Nutzers (für diesen nachteilig) zu verändern.

Beispiele: Eintragen eines Zwangsproxies, Ersetzen der Standard-Suchmaschine oder Aufruf bestimmter Webseiten, mit dem Ziel, Schadcode zu installieren oder durch erzwungene Aufrufe Werbeeinnahmen für den Angreifer zu erzielen, Installation eines Keyloggers

Browser-Nutzungsverlauf

siehe Browserverlauf

Browserforensik

Teilgebiet der IT-Forensik, das sich mit den Besonderheiten zu Webbrowser-Artefakten befasst.

Beispiele: Firefox-Forensik, Edge-Forensik (Spartan), Internet Explorer-Forensik, Chrome-Forensik, Opera-Forensik, Browserverlaufsforensik, Browserformularforensik, Cookie-Forensik

Browserformularforensik

Teilgebiet der IT-Forensik und Browserforensik, das sich mit den Besonderheiten von Browser-Formulardaten befasst

Browserverlauf
- Browser-Nutzungsverlauf, Browser-Besuchsverlauf, browser history -

Nutzung eines Webbrowsers durch einen Nutzer im zeitlichen Verlauf und zugehörige Artefakte bzw. Datenspuren

Browserverlaufsforensik
- browser history forensics -

Teilgebiet der IT-Forensik und der Browser-Forensik sowie der IT-Verlaufsforensik, das sich mit der Analyse der Nutzung eines Webbrowsers durch einen Nutzer im zeitlichen Verlauf befasst (Nutzungsverlauf, Besuchsverlauf).

Beispiel: places.sqlite

Brute-Force-Angriff
- Methode der rohen Gewalt, Exhaustionsmethode -

Angriffsart eines Täters, aber auch IT-forensische Methode bzw. Methode bei IT-Sicherheitsüberprüfungen im Passwort-Cracking, bei der "mit roher Gewalt" Tausende unbekannter Passwörter (systematisch) durchprobiert werden, um ein passendes zu finden.

Beispiele: TrueCrypt-Bruteforcing, ssh-Bruteforcing

Buchführung, unzutreffende

Form wirtschaftskriminellen Handelns, das nach Par. 283b StGB unter Strafe steht. Dabei zeigen Buchführungsunterlagen nicht das Bild der tatsächlichen wirtschaftlichen Gegebenheiten, sondern ein typischerweise besseres.

Beispiele: Bilanzfälschung; Bilanzmanipulation; unzulässiges Verschieben ins nächste Quartal; Buchung unter unzutreffenden Positionen ("Verstecken"); Nutzung von Special Purpose Vehicles (SPVs), um negative Positionen nicht mehr in der Bilanz aufführen zu müssen (etwa:  Enron-"Raptoren"), Scheinrechnungen, Scheinfirmen

Buffer overflow

siehe Pufferüberlauf

Business crime

siehe Weiße-Kragen-Kriminalität sowie Wirtschaftskriminalität

C

Cache
- Pufferspeicher -

Schneller Zwischenspeicher (Pufferspeicher) bzw. temporärer lokaler Speicher für Daten. IT-forensisches Artefakt, das lokal temporär zwischengespeicherte Daten enthält.

Beispiele: Browser-Cache, Dropbox-Cache, Chat-Cache, ARP-Cache

CD-Forensik

Teilgebiet der IT-Forensik und (siehe) Datenträgerforensik, das sich mit den Besonderheiten von Daten auf CDs befasst.

Beispiele: Entfernen von Kratzern mittels Poliermaschine, CD-Dateisysteme, CD-Sessions, Multi-Session-CDs, nicht abgeschlossene CDs

Chat-Forensik

Teilgebiet der IT-Forensik, das sich mit den IT-forensischen Besonderheiten von Datenspuren zur Kommunikation in Chats befasst, etwa Teilnehmer eines Chats, genutzte Chaträume (chat rooms), ausgetauschte Nachrichten und Daten (z.B. Fotos) (in Chaträumen oder in privater Unterhaltung ausgetauscht) oder zeitlicher Verlauf.

Beispiele: ICQ-Forensik, Messenger-Forensik, Forensik von Chat-Servern und -Clients, Chat-Kontaktdaten, Chat-Teilnehmer, Chat-Log (Chat-Mitschnitt), Chat-Cache, Chat-Datenbank

Chat-Mitschnitt

Artefakt der Nutzung von Chats, ähnlich eines (siehe) Logfiles

Chrome
Clientseitige Software von Google, namens Chrome, zum Aufruf von Webseiten (siehe Webbrowser).
Chrome-Forensik

Teilgebiet der IT-Forensik und der Webbrowser-Forensik, das sich mit den Besonderheiten der Artefakte zum Webbrowser Chrome befasst.

Clickjacking

Angriffsart, bei der ein Angreifer eine Webseite durch Überlagung so manipuliert, daß ein nichts ahnender Nutzer veranlaßt wird, einen für ihn harmlos aussehenden Mausklick bzw. eine Tastatureingabe auszuführen. Tatsächlich wird mit Benutzerrechten eine andere Aktion ausgeführt als die angezeigte (vorgegaukelte). Die Überlagerung kann z.B. mit transparenten Objekten erfolgen. So kann ein Hacker erreichen, dass der Nutzer beliebige Aktionen ausführt.

Beispiele: Bestellung kostenpflichtiger Abonnements, Tätigen von Überweisungen, Herabsetzen der Sicherheitseinstellungen des IT-Gerätes, Übermittlung persönlicher Informationen wie etwa Anmeldedaten an den Angreifer

Cloud-Forensik
- Forensik von Online-Speichern -

Teilgebiet der IT-Forensik, das sich mit den Besonderheiten von Cloud-Speichern bzw. der Speicherung von Daten online statt auf einem lokalen Datenträger befasst

Beispiele: Dropbox-Forensik, iCloud-Forensik, Daten von Online-Speichern in lokalen Caches, Entschlüsselung von Online-Speicher-Artefakten einschließlich lokaler Backups, Spuren der Nutzung von Clouds auf lokalen Datenträgern, Synchronisierung von Daten auf IT-Geräten dank Online-Speicher, Zugriff auf Cloud-Speicher mit Token aus einem Backup auf dem lokalen Datenträger auch ohne Kennwort, rechtliche Besonderheiten des Zugriffs auf kennwortgeschützte Online-Speicher, die sich z.B. in anderen Jurisdiktionen befinden können

Cloud-Speicher

Datenspeicher im Cloud-Computing, der nicht lokal wie etwa auf einem eingebauten Datenträger ist, sondern ein Dienst im Netzwerk, typischerweise extern im Internet, es gibt aber auch datenschutzkonforme Lösungen, bei denen die Daten im Herrschaftsbereich eines Unternehmens verbleiben (OwnCloud).
Beispiele: Dropbox, Amazon Cloud Drive, iCloud, Microsoft 365

Cluster (Datenträger)
- Zuordnungseinheit, Block eines Dateisystems -

Logische Zusammenfassung von Sektoren eines Datenträgers.

Computerbetrug

Erscheinungsform der Computerkriminalität, strafbar nach Par. 263a StGB, bei der ein Täter versucht, einen Vermögensvorteil für sich oder andere zu erlangen, indem er das Ergebnis eines Datenverarbeitungsvorgangs beeinflusst.

Beispiel: Veranlassung von Überweisungen, Manipulation eines Geldautomaten

Computerforensik
- Computer-Forensik -

siehe IT-Forensik

Computerkriminalität

Form der Kriminalität, bei der IT-Systeme (Computer, EDV, Informations- und Kommunikationstechnologie, Internet) wesentlich für die Tatausführung sind, weil sie dazu ausgenutzt werden (Werkzeug, Tatmittel) oder sich ein Angriff gegen sie richtet (Ziel einer Tat). Allgemeiner auch mit Computern in Verbindung stehende strafbare Handlungen.

Beispiele: Cybercrime, IT-Sabotage, Hacking, Ausspähen von Daten, Abfangen von Daten und zugehörige Vorbereitung, Computerbetrug, Fälschung beweiserheblicher Daten, Täuschung im Rechtsverkehr bei Datenverarbeitung, Datenveränderung, Computersabotage

Computersabotage

siehe IT-Sabotage

Container

siehe Dateicontainer

Cookie
- "Keks" -

Artefakt eines Webbrowsers. Textdatei, die beim Besuch einer Internetseite verschickt und auf dem Datenträger des Nutzers der Webseite zwischengespeichert wird. Beim erneuten Besuch der Webseite sendet der Webbrowser des Nutzers der Webseite den zuvor empfangenen Cookie wieder zurück an den Server. Der Server kann diese Informationen dann auswerten, z.B. zur Steuerung von Werbeeinblendungen, zum Nutzertracking oder zur Erleichterung der Navigation.

Beispiele: Webbrowser-Cookies, Flash-Cookies (LSOs), cookies.sqlite (bei Firefox)

Cookie-Forensik

Teilgebiet der IT-Forensik und der Browserforensik sowie der Adobe-Flash-Player-Forensik, das sich mit den Besonderheiten von Webbrowser-Cookies bzw. Flash-Cookies befasst

Counter forensics

siehe Antiforensik

Crashdump

siehe Speicherabbild

D

Dateicontainer
- Container -

IT-forensisches Artefakt, Behälter für Daten, in dem sich andere Daten befinden.

Beispiele: Packprogramme (ZIP-Container, auch verschlüsselt), Verschlüsselung (TrueCrypt-Container), E-Mail-Container (PST, OST, ESEDB, Lotus Notes .nsf), Office XML-Dokument (.docx, .xlsx), selbst entpackendes Archiv (self-inflatable archive)

Dateisystem
- Dateisystem, Volume -

Artefakt, das für das Betriebssystem Eigenschaften und Inhalte von Dateien und den Zugriff auf diese organisiert

Beispiele: NTFS-Forensik, FAT32-Forensik, exFAT-Forensik, ext4-Forensik, HFS+-Forensik

Dateisystemforensik

Teilgebiet der IT-Forensik, das sich mit den Besonderheiten von Dateisystemen befasst

Beispiele: Ordner, Papierkorb, Lost+Found, inodes, Alternate Data Stream (ADS), Gelöschte Dateien, Dateisystemjournal, verschiedene Zeitstempel zu Dateien, Größe von Dateien, Dateisystem-Schlupfspeicher, Arten von Dateisystem (z.B. Swap)

Dateizuordnungstabelle
- File Allocation Table (FAT) -

Artefakt eines Dateisystems, tabellarisches "Inhaltshaltsverzeichnis" eines Datenträgers, verzeichnet alle Angaben zu Dateiteilen auf einem Dateisystem, historisch zur Familie der FAT-Dateisysteme von Microsoft. Nachfolger-Dateisystem: NTFS

Beispiele: FAT16, FAT32, exFAT

Datenausspähung

siehe Ausspähen von Daten

Datenbank

Artefakt mit formal explizit strukturierten Daten. Bei SQL-Datenbanken bestehend aus Tupeln, die sich in Feldern (Spalten) und Einträgen in Zeilen manifestieren.

Beispiele: MSSQL-Forensik, SQLite-Forensik, ESEDB-Forensik, Oracle-Forensik, Postgres-Forensik

Datenbankforensik

Teilgebiet der IT-Forensik, das sich mit den Besonderheiten von Datenbanken befasst

Beispiele: Interpretation der Bedeutung von Feldern in Anwendungs-Datenbanken, SQL-Abfragen, gelöschte Einträge in Datenbanken, Carving in Datenbanken

Datenexfiltration
- Exfiltration (vertraulicher Daten) -

Angriffsart, bei der vertrauliche Daten aus einem Unternehmen herausgeschleust werden, z.B. um sie bei einem Mitbewerber einzusetzen, etwa Preislisten, Kalkulationen, Konstruktionspläne, Kundenstämme, Lieferantendaten, oder aber auch belastende Informationen zum Zwecke der Erpressung

Beispiele: Datenexfiltration mittels per USB angeschlossenem Datenträger. Datenexfiltration mittels Weiterleitung an externe E-Mail-Adressen, auch über Webmailer. Datenexfiltration über Entwendung von Backup-Medien

Datensicherung

siehe Backup

Datenträgerforensik

Teilgebiet der IT-Forensik, das sich mit den Besonderheiten verschiedener Datenträger befasst

Beispiele: Festplattenforensik, SSD-Forensik, Speicherkartenforensik, RAM-Baustein-Forensik, Magnetbandforensik, Sicherungsmedien-Forensik, CD-/DVD-Forensik

Datenverkehr (in einem Netzwerk)
- Netzwerkverkehr, Network traffic, Traffic -

In einem Netzwerk transportierte und mitschneidbare Daten, Fluss von Daten innerhalb von Computernetzen

Beispiel: HTTP-Traffic

Datenvermeidung

Gebot im Datenschutz im Zusammenhang mit Datensparsamkeit, aber auch Maßnahmen der (siehe) Antiforensik durch einen Täter zur Vermeidung von Datenspuren (vergleichbar mit dem Anziehen von Handschuhen zur Vermeidung von Fingerabdrücken)

Beispiel: Nutzung der Möglichkeiten von Webbrowsern, in einem "privaten Reiter" zu surfen (in-private-Browsing), d.h. möglichst wenig Datenspuren anzulegen, z.B. keine Verlaufshistorie zu speichern; aktives Ausschalten laufender Protokollierungen; Nutzung von Live-Umgebungen, die von einem schreibgeschütztem Datenspeicher ausgeführt werden, sodass flüchtige Datenspuren, die nur im Hauptspeicher gehalten werden, nach dem Ausschalten nicht gespeichert sind.

Datenvernichtung

Gebot im Rahmen von Datenschutz, z.B. die weisungsgemäße Vernichtung von projektbezogenen Unterlagen nach Abschluss eines Projektes oder zum Schutz personenbezogener Daten. Gleichzeitig Maßnahme der Antiforensik, bei der im Zuge eines Angriffs entstandene Datenspuren insbesondere durch den Angreifer selbst gelöscht werden, um die Rückverfolgung zu erschweren oder zu verunmöglichen.

Beispiel: Löschen von Logdateien auf angegriffenen IT-Systemen, Vernichten von Geschäftsunterlagen im Rahmen von Insolvenzdelikten

Datenverschleierung

Angriffsart der Antiforensik, bei der ein Angreifer versucht, Datenspuren so zu verändern, dass sie anders erscheinen als sie tatsächlich sind, mit dem Ziel, Verwirrung zu erzeugen und die Rückverfolgbarkeit zu erschweren oder zu verunmöglichen.

Beispiele: Nutzung von Anonymisierungsdiensten, Angriff von IT-Systemen Dritter aus oder unter Nutzung von Zugangsdaten Dritter, Unterschieben von Datenspuren (Falschbelastung); Umbenennung von Dateien; Verstecken von Dateien in anderen; Steganographie

Defacement

siehe Verunstaltung (einer Webseite)

Denial of service attack (DoS)

siehe Verfügbarkeitsangriff

Dictionary attack

siehe Wörterbuchangriff

Digitale Forensik

siehe IT-Forensik

Digitalforensik

siehe IT-Forensik

Direktzugriffsspeicher

siehe Hauptspeicher

Distributed denial of service attack (DDoS)

siehe Verfügbarkeitsangriff

Doublette
- Duplikat, Quasi-Doublette, Beinahe-Doublette, Near Duplicate -

Echte Doubletten (Duplikate) sind Elemente (z.B. E-Mails, Dokumente, Datenbankeinträge) in einer Sammlung digitaler Daten, die in allen Eigenschaften einschließlich des Inhalts identisch sind, aber zwei- oder mehrfach auftreten. Gründe können z.B. sein: Mehrfache Speicherung bedingt durch das Betriebssystem oder vom Nutzer veranlaßt (z.B. verschiedene Ordner im Dateisystem oder Ordner im Mailpostfach), mehrere Kopien derselben Datei aus unterschiedlichen Backups, mehrere Kopien derselben E-Mail in Postfächern verschiedener Personen. Die Identität des Inhalts wird mit (siehe) Hashverfahren bestimmt. Bei identischer Prüfsumme liegt eine Doublette vor. Quasi-Doubletten sind Elemente, die in einem bestimmten Kontext als Doublette verstanden werden können, die aber nicht in allen Eigenschaften übereinstimmen. So können z.B. Dokumente unterschiedliche Zeitstempel oder Betreffzeilen tragen oder E-Mails in verwandten Dokumentfamilien vorliegen z.B. durch Zitierung, Weiterleitung, Entwurfsfassungen.

Im (siehe) eDiscovery ist es praktisch, Doubletten auszublenden und nur jeweils einen Stellvertreter zu betrachten. Ist ein Stellvertreter relevant, kann dieser oder es können alle weiteren identischen Kopien als relevant markiert werden. Dies ist z.B. sinnvoll, wenn Tätern zurechenbares Wissen nachzuweisen ist. Im eDiscovery sind Quasi-Doubletten insbesondere von Bedeutung bei der Suche nach und Beurteilung von Dokumentfamilien sowie beim Export von Dokumenten in abgeleiteten Formaten.

Beispiele: Duplikatserkennung mittels Hashing; Heuristische Erkennung von Beinahe-Duplikaten anhand bestimmter Metadaten (z.B. Größe, Betreff oder Dateiname, Zeitstempel), Autor bzw. Sender oder Empfänger; Unterdrücken von Duplikaten.

Drive-by-download

Angriff, bei dem beim Besuch einer Webseite durch einen Nutzer unbeabsichtigt ("im Vorbeifahren") Schadcode auf den Client-Rechner des Nutzers heruntergeladen wird. Dabei präpariert der Angreifer eine Webseite mit Schadcode, der beim Aufruf durch den Nutzer Sicherheitslücken des Webbrowsers ausnutzt, um, typischerweise mit Browser-Skriptsprachen, auf das Client-System außerhalb des Webbrowsers zuzugreifen.

Dual Use-Software
- Hacker-Paragraph -

Software, die zwei Zwecken dienen kann ("dual use"). Sie kann sowohl legitim zur Überprüfung und Erhöhung der IT-Sicherheit oder der Robustheit von IT-Systemen eingesetzt werden kann als auch unzulässig für Angriffe gegen IT-Systeme. Im zweiten Sinne strafbar nach Par. 202c StGB, Satz 2 ("Hacker-Paragraph")

Beispiel: Programmierung von Software, die IT-Sicherheitslücken aktiv ausnutzt, oder deren Vertrieb in Hackerforen

Duplikat

siehe Doublette

DVD-Forensik

Teilgebiet der IT-Forensik und (siehe) Datenträgerforensik, das sich mit den Besonderheiten von Daten auf DVDs befasst.

E

Edge-Forensik
- Spartan-Forensik -

Teilgebiet der IT-Forensik und der Webbrowser-Forensik, das sich mit den Besonderheiten der Artefakte zum Webbrowser Edge (Spartan) befasst.

Edge-Webbrowser
- Spartan-Webbrowser -

Clientseitige Software von Microsoft, namens Edge (Codename: Spartan), zum Aufruf von Webseiten (siehe Webbrowser). Ersatz für Internet Explorer.

EDisclosure
- e-Disclosure -

Software und Verfahren zur Bereitstellung elektronischer Dokumente, z.B. im Rahmen von Litigation-Verfahren. Siehe auch eDiscovery

EDiscovery
- e-Discovery -

Teilgebiet der IT-Forensik, Software und Verfahren zur Identifikation relevanter Dokumente aus großen Dokumentmengen mittels computerunterstützter Suche und Sichtung und Bewertung (Review) von Dokumenten, auch mit teilautomatisierten Verfahren, z.B. Finden ähnlicher Dokumente nach Dokumentinhalt (semantisch bzw. konzeptbasiert), Dokumentfamilien oder anderen Eigenschaften. Ausgereifte Software-Lösungen zum eDiscovery, typischerweise webbasiert, sparen dabei erheblich Zeit und bieten die Chance, relevante Dokumente überhaupt oder rascher zu identifizieren. Das idealtypische Vorgehen der umfassenden zugehörigen Prozesse orientiert sich am Electronic Discovery Reference Model (EDRM).

Beispiele: Suche nach Stichworten; inhaltliche Sichtung großer Dokumentmengen; Beurteilung von Dokumenten hinsichtlich ihrer Relevanz zu Sachverhalten; Schwärzung vertraulicher, privilegierter Dokumentpassagen; Export und Bereitstellung relevanter Dokumente

EDV-Forensik

siehe IT-Forensik

Ehemaliger Mitarbeiter (als Täter)

Angreifer eines IT-Systems, der zuvor bei dem Unternehmen beschäftigt war, das er nun angreift, der aber nun freigestellt oder ausgeschieden ist.

Beispiele: Nutzung von noch nicht entzogenen oder nicht geänderten Zugangsdaten, Unterbleiben der Rückgabe von Sicherungsmedien

Entführung von Mausklicks

siehe Clickjacking

Entführung von Webbrowser-Reitern

siehe Tabjacking

Eskalation (von Rechten)

siehe Rechteausweitung

Exfiltration (vertraulicher Daten)

siehe Datenexfiltration

Exhaustionsmethode

siehe Brute-Force-Angriff

Exploit

Systematisch ausnutzbare Schwachstelle in einem Programm oder IT-System. Funktionalität, die so bei Entwurf und Entwicklung nicht vorgesehen war.

F

Fake Access Point (Fake AP)

siehe Rogue Access Point

Falschbelastung (durch IT-Spuren)
- Unterschieben fälschlich belastender Daten -

Maßnahme eines Täters im Rahmen von Antiforensik, mit welcher dieser einem Dritten fälschlich belastende Daten unterschiebt mit dem Ziel, diesen Dritten fälschlich zu belasten, weil IT-Forensiker auf eine falsche Fährte gelockt werden.

Falsches Alibi

Antiforensische Maßnahme, bei der ein Täter automatisiert Handlungen auf IT-Systemen ablaufen läßt, die wie Handlungen von Personen zu einem bestimmten Zeitpunkt erscheinen.

Fälschung beweiserheblicher Daten

Form der Computerkriminalität und Angriffsart, strafbar nach Par. 269 StGB, bei der ein Täter "zur Täuschung im Rechtsverkehr beweiserhebliche Daten so speichert oder verändert, daß bei ihrer Wahrnehmung eine unechte oder verfälschte Urkunde vorliegen würde, oder derart gespeicherte oder veränderte Daten gebraucht". Siehe auch Urkundenfälschung

Beispiel: Fälschung von Zeitstempeln zu Dateien

Favoritendatei

siehe Lesezeichen-Datei

Festplatte
- Festplatte, Platte, hard disk -

Bestandteil eines IT-Systems oder -gerätes, Datenträger mit mechanisch rotierenden Teilen, bei dem Daten in Form von Sektoren und Spuren angebracht sind und es Schreib-/Leseköpfe gibt

Beispiele: nach Kapazität: 2 TB-Platte; nach physischer Größe: 3,5''-Festplatte; nach Einbau: externe vs. interne Festplatte; nach Anschlussart: SATA-Festplatte, USB-3.0-Festplatte; nach Nutzung, z.B. Verschlüsselung, Dateisystem, RAID

Festplattenforensik

Teilgebiet der IT-Forensik, Teilgebiet der Datenträgerforensik, das sich mit den Besonderheiten von Festplatten befasst

Beispiele: Festplatten-Firmware, Host Protected Area (HPA), Device Configuration Overlay (DCO), mechanische oder elektronische Beschädigung von Festplatten, physische Datenrettung 

File Allocation Table (FAT)

siehe Dateizuordnungstabelle

Firefox-Forensik

Teilgebiet der IT-Forensik und der Webbrowser-Forensik, das sich mit den Besonderheiten der Artefakte zum Webbrowser Firefox befasst.

Beispiel: SQLite-Forensik der Firefox-Datenbanken

Firefox-Webbrowser

Clientseitige Software von Mozilla, namens Firefox, zum Aufruf von Webseiten (siehe Webbrowser)

Firmenbestattung

Erscheinungsform der Wirtschaftskriminalität, bei dem ein wirtschaftlich gefährdetes Unternehmen oder eines seiner Organe versucht, sich seiner Verpflichtungen zu entziehen und Anspruchsgegnern oder Gläubigern zu entkommen, typischerweise unter Nutzung von Dienstleistern.

Beispiele: Mehrfache Änderung des Geschäftsführers mit Sitzverlegung und Vernichtung von Geschäftsunterlagen, Sitzverlegung in eine Steueroase im Ausland mit Pro-Forma-Geschäftsführern, rechtsmißbräuchliche Herbeiführung der Handlungsunfähigkeit einer Gesellschaft

Flash-Cookie
- Local Shared Object (LSO) -

Artefakt, spezieller (siehe) Cookie, der von Flash-Playern beim Abruf von Flash-Inhalten gespeichert wird

Flash-Player

siehe Adobe Flash-Player

Forensic Data Mining

IT-forensische Methode, die im Teilgebiet der IT-Forensik, das die Analyse von formal expliziten Massendaten, d.h. datenbankähnlichen Daten, zum Gegenstand hat, relevant ist. Ähnlich wie im (gewöhnlichen) Data Mining, bei dem aus großen Datenmengen wie z.B. Kaufvorgängen, Informationen über Kunden, z.B. beliebte Produkte, Käufersegmentierung oder Upselling-Möglichkeiten herausgefunden werden sollen, ist es Ziel des forensischen Data Minings, Auffälligkeiten zu identifizieren, die dann nachverfolgt werden.

Beispiele: Red Flag-Analysen, Bilanzfälschung, Manipulation von Abrechnungen und Logfiles

Forensic Imaging

Teilgebiet der IT-Forensik. Entweder Forensisches Imagen, d.h. Erstellung bitidentischer Abbilder von Datenträgern (siehe Imaging), oder (siehe) Multimedia-Forensik (IT-Forensik für multimediale Inhalte, IT forensics of multimedia, e.g. images)

Forensic Video Analysis (FVA)

siehe Forensische Videoanalyse

Forensik von Online-Speichern

siehe Cloud-Forensik

Forensische Videoanalyse
- Forensic Video Analysis (FVA), Videoforensik -

Teilgebiet der IT-Forensik, das sich mit den Besonderheiten der IT-Forensik von Videodaten befasst

Beispiel: Analyse von Überwachungsvideos (CCTVs)

Full Disclosure

siehe Vollständige Offenlegung

G

Gerichteter Angriff
- Gezielter Angriff -

Angriff auf bestimmte IT-Systeme eines Unternehmens, der sich konkret und präzise gegen diese IT-Systeme und dieses Zielunternehmen richtet, mit dem Ziel, genau diesem Unternehmen zu schaden. Im Gegensatz zu einem ungerichteten Angriff, bei dem unter Ausnutzung einer IT-Sicherheitslücke eine Vielzahl von IT-Systemen unterschiedlicher Unternehmen angegriffen werden, z.T. auch automatisiert und ohne die Absicht, genau einem bestimmten Unternehmen zu schaden.

Beispiel: Hacker wird angeheuert, vertrauliche Daten eines Vorstandsvorsitzenden zu exfiltrieren

Gezielter Angriff

siehe gerichteter Angriff

Glaubhafte Abstreitbarkeit
- Glaubhafte Bestreitbarkeit, Plausible deniability -

Begriff aus der Datenverschlüsselung zur Vermeidung von Datenspuren. Bei geeigneter Umsetzung kann das Vorhandensein oder der Ursprung einer Information durch diese Verteidigungsstrategie erfolgreich abgestritten werden.

Beispiel: Jemand, der einen Datenträger IT-forensisch untersucht, soll nicht erkennen können, ob dieser verschlüsselt ist, damit der Besitzer des Rechners nicht gezwungen werden kann, das Kennwort herauszugeben. Z.B. wird eine harmlose glaubhafte Erklärung für die Existenz verschlüsselter Bereiche gegeben, oder es wird ein Vorzeige-Betriebssystem installiert, das bei Eingabe eines Kennwortes nur harmlose Daten und nicht die eigentlich verschlüsselten zeigt. Abstreitbare Verschlüsselung, abstreitbarer Container

H

Hacker-Paragraph

siehe Dual-Use-Software

Hacking

Angriffsart, bei der ein Angreifer (Hacker) eine Schwachstelle ausnutzt, z.B. bei einem IT-System (IT-Sicherheitslücke) oder einem Menschen (Social Engineering). Allgemeiner auch die Nutzung eines IT-Systems auf kreative Weise zu einem ursprünglich nicht intendierten Zweck oder auf eine bei dessen Entwurf nicht vorgesehene Weise

Beispiele: Eskalation von Privilegien, Nutzung unzureichend abgesicherter Ports, Buffer-Overflow-Angriff, unberechtigtes Knacken von Passwörtern Dritter, Shellshock-Angriff, Heartbleed-Angriff

Hash-Kollisionsangriff

siehe Kollisionsangriff

Hashen

siehe Hashverfahren

Hashing

siehe Hashverfahren

Hashverfahren
- Hashen, Hashing, Prüfsummenbildung -

Methode, bei der durch ein kryptographisches Verfahren zu einem bestimmten Zeitpunkt eine Prüfsumme über einen Datenstrom (z.B. den Inhalt einer Festplatte oder Datei) gebildet wird. Da bereits eine nur geringfügige Veränderung des Datenstroms (1 Bit genügt) eine völlig andere Prüfsumme ergibt, kann durch Übereinstimmung der Prüfsumme von Quelle und Ziel Identität der Datenströme und damit die Korrektheit, Integrität und Unverändertheit IT-forensischer Datensicherungen nachgewiesen werden. Aufgrund technischer Neuerungen bei SSDs wie TRIM, welche Daten intern umorganisieren, kann nicht mehr gewährleistet werden, dass mehrmaliges Auslesen einer Datenquelle, auch an einem Schreibschutz, zur selben Prüfsumme führt. Hashverfahren sind grundsätzlich angreifbar, falls es gelingt für zwei unterschiedliche Datenströme dieselbe Prüfsumme zu erzeugen (Kollisionsangriff).

Beispiele: SHA-256, md5

Hauptspeicher
- Arbeitsspeicher, Random Access Memory (RAM), Direktzugriffsspeicher -

Der Hauptspeicher eines Computers, Bestandteil eines IT-Systems, ist ein schneller Speicher mit wahlfreiem Zugriff, im Gegensatz zu einem Datenträger als Speicher für Daten. Inhalte eines Hauptspeichers sind ein IT-forensisches Artefakt, das wertvolle flüchtige Datenspuren enthält

Beispiele: Kennwörter im Hauptspeicher, laufende Prozesse im Hauptspeicher, Cold-Boot-Angriff

Hauptspeicherabbild

Abbild von Daten aus einem Hauptspeicher (RAM), siehe Speicherabbild

Honey pot
- Honigtopf -

(Gegen-)Angriff, bei dem ein vermeintlicher Datenschatz bzw. ein IT-System als vermeintlich lohnenswertes Angriffsziel ("honey pot") präpariert und bereitgestellt wird, sodass ein Angreifer (oder eine Schadsoftware) Datenspuren auf dem IT-System hinterlassen.

Beispiele: Rogue Access Point, Fake Access Point. Ein Hacker greift einen unzureichend geschützten Dateiserver an, fällt auf gefälschte, vermeintlich geheime echte Dokumente herein, und gibt aufgrund eines Versehens selbst Daten preis, die zu seiner Identifizierung beitragen können oder ihn hinhalten, so dass er denkt, man sei ihm noch nicht auf der Spur. Der Erpresste antwortet auf eine anonyme Erpressermail und verleitet den Erpresser, nochmals zu schreiben und dadurch weitere Informationen preiszugeben. Malware infiziert einen honey pot, der nur dafür eingerichtet wurde, Malware "aus freier Wildbahn" einzusammeln

Honigtopf

siehe honey pot

I

Identitätsklau

siehe Impersonifizierung

Imaging
- Sicherung digitaler Beweismittel, IT-forensische Sicherung, Beweissicherung (IT-forensische) -

IT-forensische Methode zur gerichtsverwertbaren Erstellung von bitgenauen Abbildern von Datenströmen (Images)

Impersonifizierung
- Identitätsklau, Übernahme digitaler Identität -

Angriffsart, bei der sich ein Angreifer persönlicher Daten einer angegriffenen Person bemächtigt und sich unter Nutzung dieser Angaben gegenüber IT-Systemen oder realen Personen als diese Person ausgibt.
Beispiele: Reputationsschädigung, Online-Banking-Betrug, Passwortklau, Defacement, Social Engineering 

Incident
- Vorfall (zu einem IT-System), IT-Sicherheitsvorfall -

Ereignis (Vorfall), bei dem ein IT-System betroffen ist und dieses ausgefallen, in seiner Funktion gestört oder dessen IT-Sicherheit oder der Schutz von Daten und Anwendungen möglicherweise bedroht ist. Untersuchungen bzw. Aufklärung erfolgt im Rahmen von (siehe) Incident Response.

Beispiele: Mehrfacher Serverausfall unter auffälligen Umständen, Hackerangriff, gelöschte Daten, unklare Spuren von Zugriffen auf IT-Systeme, Malwarebefall, Verdacht auf IT-Sabotage

Incident Response

Teilgebiet der IT-Forensik (und IT-Sicherheit), das sich mit den besonderen Bedingungen in der Reaktion auf IT-Störfälle und IT-Sicherheitsvorfälle (Incidents) befasst
Beispiel: Incident Response nach einem Verfügbarkeitsangriff (Denial of Service)

Innentäter

Täter, der IT-Systeme von innen heraus angreift. Innen bedeutet, der Täter gehört zum Unternehmen oder zum berechtigten Kreis, etwa ein Dienstleister, und hat in dieser Rolle physischen oder logischen Zugriff auf IT-Systeme, sei dieser nun berechtigt oder nicht. Dabei erfolgt der Angriff typischerweise physisch vor Ort oder über das interne Netzwerk, und häufig unter Ausnutzung von Kennwörtern Dritter bzw. allgemein bekannten Zugangsdaten für nicht namentlich zugeordnete Kennungen.

Beispiele: IT-Administrator spioniert den Vorgesetzten aus, frustrierter Mitarbeiter entwendet ein Sicherungsband aus dem Serverraum

Insolvenzbetrug

siehe Insolvenzvergehen

Insolvenzdelikt

siehe Insolvenzvergehen

Insolvenzforensik

Teilgebiet der IT-Forensik. IT-Forensik in Insolvenzverfahren, für Insolvenzverwalter und deren Dienstleister, zur Mehrung der Masse und der konkreten Unterlegung von Anfechtungsansprüchen
Beispiele: für typische Methoden: IT-forensische Datensicherung, eDiscovery

Insolvenzstraftat

siehe Insolvenzvergehen

Insolvenzvergehen
- Insolvenzstraftat, Insolvenzbetrug, Insolvenzdelikt, Konkursbetrug -

Erscheinungsform der Wirtschaftskriminalität in einem Insolvenzverfahren, strafbar nach Par. 283 StGB, bei der die Insolvenzmasse geschädigt und einzelne Gläubiger bevorzugt und dadurch andere benachteiligt werden. Insolvenzforensik, insbesondere eDiscovery, kann helfen, solche Taten aufzudecken.

Beispiel: Insolvenzverschleppung, Firmenbestattung

Insolvenzverschleppung

Erscheinungsform der Wirtschaftskriminalität im Rahmen einer Insolvenz (siehe Insolvenzvergehen), bei der die verpflichtende rechtzeitige Anmeldung der Insolvenz nicht oder zu spät erfolgt.

Internet Explorer

Clientseitige Software von Microsoft, namens Internet Explorer, zum Aufruf von Webseiten (siehe Webbrowser). Wird ersetzt durch Edge (Spartan).

Internet Explorer-Forensik

Teilgebiet der IT-Forensik und der Webbrowser-Forensik, das sich mit den Besonderheiten der Artefakte zum Webbrowser Internet Explorer befasst.

Beispiele: index.dat, Cache des Internet Explorer

Internet Protocol (IP)
- Internet-Protokoll (IP) -

Ein wichtiges Netzwerkprotokoll in der Familie der Internetprotokolle, das die Grundlage des Internet bildet. Es implementiert die Internetschicht des TCP/IP-Modells bzw. die Vermittlungsschicht des OSI-Referenzmodelles. Vom Übertragungsmedium unabhängig können somit Daten an Computer in Subnetzen adressiert und so Datenpakete an diese versandt werden. Dieses Protokoll ist verbindungs- bzw. zustandslos.

Beispiele: IPv4, IPv6

Internet-Protokoll (IP)

siehe Internet Protocol (IP)

IPv4

Internet Protocol Version 4, d.h. in (bish heute weit verbreiteter Ausprägung), siehe Internet Protocol

IPv6

Internet Protocol Version 6, aktuelle Version des (siehe) Internet Protocol

IT-Forensik
- Computerforensik, Computer-Forensik, Computer forensics, Digitalforensik, Digitale Forensik, EDV-Forensik, IT forensics, PC-Forensik -

Professionelles Tätigkeitsfeld, das sich im rechtlichen / gerichtlichen Zusammenhang mit Datenspuren auf IT-Systemen, ihrer Sicherung, Aufbereitung, Auswertung und sachverständigen Beurteilung befasst. Siehe auch die Definition in der Deutschen Nationalbibliothek

IT-Forensik unixoider Systeme

siehe Unix-Forensik

IT-forensische Bildverarbeitung
- Forensic Imaging (IT forensics of multimedia images), Bildforensik -

Teilgebiet der IT-Forensik, das sich mit den Besonderheiten der Datenverarbeitung von Multimediadaten (Bildern) unter forensischen Gesichtspunkten befasst.

Beispiel: Videoforensik

IT-forensische Sicherung

siehe Imaging

IT-Sabotage
- Computersabotage -

Angriffsart, bei der ein Täter IT-Systeme planvoll in ihrer Nutzbarkeit einschränkt, absichtlich Fehler hervorruft, diese unbrauchbar macht, Daten löscht, Verwirrung stiftet oder hohe Kosten und große Unannehmlichkeiten verursacht.

Beispiele: Fatale Löschung von RAID-Konfigurationen, Zurücksetzen wichtiger genutzter IT-Geräte auf Werkseinstellungen, Herunterfahren von IT-Systemen in Produktionsbetrieben

IT-Schädling
siehe Malware
IT-Sicherheitsvorfall
siehe Incident
IT-Systeme und Geräte
- IT-Systeme, IT-Geräte, Bestandteile von IT-Systemen und -geräten -

Computersysteme und -geräte und ihre Bestandteile

Beispiele: Client, Server, Workstation, Laptop, Desktop, Mobiltelefon, Smartphon, Multifunktionsgerät, Festplatte

IT-Verlaufsforensik
- IT-Verlaufsforensik, Forensik des Nutzungsverlaufes -

Teilgebiet der IT-Forensik, das sich mit dem zeitlichen Verlauf von Nutzungen von IT-Systemen und -Anwendungen durch Anwender befasst

Beispiele: Browserverlaufs-Forensik, Verlauf zuletzt genutzter (MRU - most recently used) Dateien, zuletzt genutzter Software, zuletzt verbundener Netzwerke, zuletzt angeschlossene (USB-)Geräte

J

Jurisdiktion

Gesamtheit der Gesetze und der Rechtssprechung in einem bestimmten Land bzw. Gebiet. In der IT-Forensik insbesondere relevant aufgrund verschiedener Datenschutzgesetze sowie den rechtlichen Voraussetzungen für private Ermittler in unterschiedlichen Ländern.

K

Kapitalanlagebetrug

Erscheinungsform der Wirtschaftskriminalität, strafbar nach Par. 264a StGB, bei der Geldanlagen nicht so getätigt werden wie gegenüber den Anlegern angegeben, oder gar nicht erfolgen.

Beispiel: Pyramidenschema, bei dem Einlagen von Anlegern zur Auszahlung von fiktiven Gewinnen an Anleger verwendet werden

Keylogger
- Protokollierung von Tastatureingaben -

Schadsoftware, die Tastatureingaben abgreift und protokolliert und/oder an den Angreifer übermittelt, z.B. über Netzdienste, e-Mail, Funk, Mobilfunk. Auch als Hardwaregerät möglich (z.B. Teensy)

Beispiele: Aushorchen vertraulicher Informationen, von Zugangsdaten

Kollisionsangriff
- Hash-Kollisionsangriff, Hash collision -

Angriff auf ein (siehe) kryptographisches Hashverfahren, bei dem ausgenutzt wird, dass für zwei unterschiedliche Datenströme (Dokumente) dieselbe Prüfsumme erzeugt wird.

Konfigurationsdatei
- Konfigurationsdatei, config file -

Artefakt, das Einstellungen, etwa zu einem Betriebssystem, Programm oder einer Anwendung enthält

Beispiele: Windows-Registry, flache, textbasierte Konfigurationdateien, XML-Konfigurationsdateien, Datenbanken als Ersatz für Konfigurationsdateien

Konfigurationsdatei-Forensik

Teilgebiet der IT-Forensik, das sich mit den Besonderheiten der Auswertung von Artefakten vom Typ Konfigurationsdatei befasst

Beispiele: Windows-Registry-Forensik, Rekonstruktion von Einstellungen und etwaigen Manipulationen zu einem bestimmten Zeitpunkt und über einen Zeitverlauf

Konkursbetrug

siehe Insolvenzvergehen

Kreditbetrug

Erscheinungsform der Wirtschaftskriminalität, straftbar nach 265b StGB, bei der ein Täter einen Kreditgeber über die tatsächliche Situation täuscht mit dem Ziel, einen Kredit zu erhalten, welchen der Täter sonst nicht erhalten würde.

Beispiel: Fälschung von Unterlagen, z.B. zu Umsatzerlösen oder Gewinnen, die bei einer Bank zur Erlangung eines Kredites vorgelegt werden, um das Unternehmen kreditwürdiger erscheinen lassen; Stellung fingierter Sicherheiten

L

Lesezeichen-Datei
- Favoritendatei, Bookmarks -

Datei, die typischerweise vom Benutzer als zum Merken markierte, beliebte Einträge enthält. IT-forensisches Artefakt, das u.a. Rückschlüsse auf Vorlieben eines Nutzers und damit eine inhaltliche Profilbildung erlaubt.

Beispiele: Browser-Favoritendatei, Favoritenliste in sozialen Netzwerken, Markierungen zu E-Mails in einem E-Mail-Programm

Lexikonangriff

siehe Wörterbuchangriff

Live-Forensik

Teilgebiet der IT-Forensik, das sich im Rahmen von Incident Response mit den besonderen Bedingungen einer IT-forensischen Sicherung und -auswertung unter kritischen Zeitbedingungen befasst

Beispiele: Ein Hacker wird noch aktiv im IT-System vermutet, flüchtige oder nur zeitlich begrenzt verfügbare Spuren wie der Hauptspeicher oder ein noch eingehängtes, ansonsten verschlüsseltes Dateisystem sind zu sichern oder ein produktiver Server kann nicht zur Sicherung abgeschaltet werden

Local Shared Object (LSO)

siehe Flash-Cookie

Logdatei

siehe Logfile

Logfile
- Logfile, Logdatei -

Artefakt, welches eine zeitlich geordnete Abfolge von Ereignissen mit weiteren Detailangaben enthält, die Aufschluss über den Hergang in einem bestimmten Zeitraum geben können.

Beispiele: Windows Event Logs, E-Mail-Logfile, Logfile einer Firewall, Journal-Datei eines Dateisystmes (z.B. $Logfile), Protokolldatei einer Praxissoftware, Journal einer Buchhaltungssoftware.

Logfileforensik

Teilgebiet der IT-Forensik, das sich mit den Besonderheiten des Artefaktes Logfile befasst

Beispiele: Zeitleistenforensik, Zeitverschiebung (time drift), Zeitzonen

M

MAC-Adresse (gefälschte)

Maßnahme der Datenverschleierung im Rahmen der Antiforensik, bei der ein Täter die MAC-Adresse (eines Interfaces einer Netzwerkkarte) eines Rechners verändert, sodass diese Kennung nicht mehr auf den von ihm benutzten Rechner zurückverfolgbar ist.

Mac-Forensik

Teilgebiet der IT-Forensik und der Betriebssystem-Forensik, das sich mit der IT-Forensik der Mac- bzw. iOS-Betriebssysteme von Apple befasst.

Beispiele: MacOS-Forensik, iOS-Forensik

Malware
- Schadcode, Schadprogramm, Schadsoftware, IT-Schädling -

Software, die nicht nur einem vom Nutzer unerwünschten Zweck dient, sondern auch noch Schaden anrichtet

Beispiele: Verschlüsselungs-Trojaner (Ransomware), Banking-Trojaner

Man in the middle-Angriff

siehe Mittelsmann-Angriff

Master File Table (MFT)

Artefakt des NTFS-Dateisystems ($MFT), quasi "Inhaltsverzeichnis". Enthält auswertungsrelevante Attribute, z.B. früher existierende Dateien im Dateisystem-Journal oder Zeitstempel

Beispiele: $AttrDef, $BadClus, $Bitmap, $Boot, $INdex_Root, $Logfile

Memory Dump

siehe Speicherabbild

Memory-Forensik

siehe Speicherforensik

Methode
- Methode, Verfahren, Vorgehensweise -

Verfahren in der IT-Forensik (oder IT-Sicherheit) zur Sicherung, Aufbereitung oder Auswertung einer digitalen Spur

Beispiele: Cold-Boot-Angriff im Rahmen einer Hauptspeichersicherung, Nutzung eines Hardware-Writeblockers, Carving zur heuristischen, signaturbasierten Wiederherstellung gelöschter Dateien

Methode der rohen Gewalt

siehe Brute-Force-Angriff

MITM-Angriff

siehe Mittelsmann-Angriff

Mittelsmann-Angriff
- man in the middle-Angriff (MITM attack) -

Angriff auf Kommunikation zwischen zwei Partnern, z.B. Menschen oder IT-Systeme, bei der sich der Angreifer Kommunikationspartner A (Alice) gegenüber als Kommunikationspartner B (Bob) ausgibt und Bob gegenüber als Alice, sodaß Alice und Bob glauben, direkt und unbelauscht miteinander zu kommunizieren, während in Wirklichkeit der Angreifer mithört und auch Kommunikationsinhalte verändern kann.

Beispiele: MITM-Angriff auf SSL-verschlüsselte Kommunikation, auf E-Mail-Austausch

Most recently used (MRU)

Fragestellung in der IT-Verlaufsforensik

Beispiel: zuletzte geöffnete bzw. genutzte Dateien

Multimedia-Forensik

siehe Forensic Imaging

N

Near Duplicate

siehe Doublette

Network traffic

siehe Datenverkehr (in einem Netzwerk)

Netzwerkforensik
- Netzwerk-Forensik -

Teilgebiet der IT-Forensik, das sich mit den Besonderheiten der Konfiguration und von Datenverkehr in Computernetzwerken befasst.

Beispiele: Mitschneiden von Netzwerkverkehr mit tcpdump, Auswertung von Datenverkehr zu Malware mit Wireshark

Netzwerkscan
- Portscan -

Methode in der IT-Sicherheit, speziell bei Penetrationstests, bei der durch systematisches Durchlaufen (scannen) Dienste zu IT-Geräten in einem Netzwerk entdeckt und katalogisiert werden. Portscans sind Netzwerkscans auf offene Ports. Gleichermaßen Angriffsmethode, um ein Einfallstor bzw. eine IT-Schwachstelle für einen Angriff zu finden.

Beispiel: Portscan auf Port 80 (Standard-Port für Webserver)

Netzwerkverkehr

siehe Datenverkehr (in einem Netzwerk)

O

Opera-Forensik

Teilgebiet der IT-Forensik und der Webbrowser-Forensik, das sich mit den Besonderheiten der Artefakte zum Webbrowser Opera befasst.

Opera-Webbrowser

Clientseitige Software von Opera Software, namens Opera, zum Aufruf von Webseiten (siehe Webbrowser).

P

Pagefile.sys

Artefakt der (siehe) Auslagerungsdatei eines Windows-Betriebssystems

Papierkorb

Artefakt, welches das Löschen von Dateien in einem Dateisystem ermöglicht. Ein Nutzer kann dank der Metapher eines Papierkorbs auf der Benutzeroberfläche eines Betriebssystems Dateien in einen Papierkorb schieben. Sofern der Papierkorb nicht gelöscht wird, verbleiben gelöschte Dateien in diesem Artefakt.

Beispiel: $Recycle.bin

Password Cracking
- Passwörter knacken -

Angriffsart von Tätern, aber auch IT-forensische Methode bzw. Methode in der IT-Sicherheit, bei der auf verschiedene Weise versucht wird, ein unbekanntes Passwort herauszufinden

Beispiele: Wörterbuch-Angriff, Brute-Force-Angriff, Social Engineering, Seitenkanalangriff

Passwörter knacken

siehe Password Cracking

PC-Forensik

siehe IT-Forensik

Penetrationstest
- Pentest, Sicherheitsüberprüfung (von IT-Systemen) -

Im Gebiet der IT- und Informationssicherheit konkrete und systematische, werkzeuggestützte Überprüfung von IT-Systemen auf Sicherheitslücken. Werkzeuge sind z.B. Portscanner und Datenbanken mit bekannten Sicherheitslücken. Jedoch ist auch Erfahrung und Intuition für ein intellektuelles Vorgehen notwendig, da rein automatisierte Tests nicht ausreichen.

Pentest

siehe Penetrationstest

Places.sqlite

Artefakt des (siehe) Firefox-Webbrowsers, in dem Daten zum Browserverlauf (Nutzungsverlauf, Besuchsverlauf) im Datenbankformat SQLite gespeichert sind, also aufgerufene Webseiten

Pointer overflow

siehe Zeigerüberlauf

Portscan

siehe Netzwerkscan

Privilege escalation

siehe Rechteausweitung

Profilbildung (zu einem Täter)
- Täterprofil -

In Anlehnung an die Bildung von Täterprofilen (Profiling) in der Kriminalistik ist es auch möglich, Datenspuren zu nutzen, um Informationen über Vorlieben von Tätern und ihre Gedankenwelt zu gewinnen.

Beispiel: Profilbildung anhand des Browserverlaufs oder von Lesezeichen, von Kommunikation (E-Mails, Chats)

Protokollierung von Tastatureingaben

siehe Keylogger

Prozessspeicherabbild

Abbild von Daten aus dem Hauptspeicher (RAM) zu einem bestimmten Prozess, (siehe) Speicherabbild

Prüfsummenbildung

siehe Hashverfahren

Pufferspeicher

siehe Cache

Pufferüberlauf
- Buffer overflow -

Häufig vorkommende ausnutzbare IT-Sicherheitslücke in Software, bei der in einen reservierten Speicherbereich zu viele Daten geschrieben werden, sodass dieser überläuft. Dies ermöglicht einem Angreifer, nach dem Ziel-Speicherbereich liegende Speicherstellen mit gewünschtem Schadcode zu überschreiben.

Beispiel: Zeigerüberlauf (pointer overflow)

Q

Quasi-Doublette

siehe Doublette

R

Random Access Memory (RAM)

Speicher mit wahlfreiem Zugriff, siehe Hauptspeicher

Ransomware

Schadsoftware, die eine vom Nutzer unerwünschte Zugriffs- oder Nutzungsbeschränkung von Daten oder IT-Systemen bewirkt

Beispiel: Verschlüsselungs-Trojaner, Erpressungs-Malware

Rechteausweitung
- Eskalation (von Rechten), privilege escalation -

Angriffsart, bei der ein Angreifer unter Ausnutzung von IT-Sicherheitslücken bestehende (ggf. auch schon nicht zulässig erlangte) Berechtigungen ausweitet, um noch mehr bzw. schädlichere Aktionen ausführen zu können.

Beispiel: Erlangung von Administrator-Rechten von gewöhnlichen Nutzerrechten ausgehend

Reputationsschaden

Schaden, der entsteht, weil die Reputation, d.h. der Ruf eines Unternehmens oder einer Person beschädigt oder durch negative Informationen herabgesetzt wird, typischerweise in Verbindung mit einem Angriff auf IT-Systeme.

Beispiele: Entwenden und Veröffentlichen von Kundendaten oder von (als negativ wahrgenommenen) internen Informationen, Defacement einer Webseite, Impersonifizierung eines Facebook-Kontos und Posten von Nacktbildern der Person, Versendung gefälschter Pressemitteilungen

Responsible Disclosure
- Verantwortungsvolle Offenlegung -

Begriff aus der IT- und Informationssicherheit, der ein modellhaftes Vorgehen beschreibt, wie jemand, der eine Sicherheitslücke gefunden hat, diese verantwortungsvoll veröffentlichen (offenlegen) kann. Dabei handelt es sich um eine Abwägung zwischen der ehtischen Verantwortung, eine gefundene Sicherheitslücke mitzuteilen und diese nicht zu vertuschen, mit dem Ziel, die IT-Sicherheit zu erhöhen oder vor vermeintlich hoher IT-Sicherheit zu warnen, und der ethischen Verantwortung, dass die Veröffentlichung selbst nicht dazu führt, dass zahlreiche IT-Systeme schutzlos angegriffen werden können. Als Kompromiss wird die Sicherheitslücke dem Hersteller der Software so rechtzeitig mitgeteilt, daß diese Lücke vor der Offenlegung durch den Hersteller geschlossen ist ("Schonfrist"). Ebenso kann es angezeigt sein, nicht alle technischen Details zu veröffentlichungen. Siehe auch: Vollständige Offenlegung

Rogue Access Point
- Rogue AP, Fake Access Point -

Angriffsart, bei der ein WLAN-Router untergeschoben wird, der sich Nutzern gegenüber als vermeintlich authentischer Zugangspunkt zum Netz ausgibt bzw. dieser Eindruck erweckt wird.

Beispiele: Unautorisiert installierter WLAN-Zugang, der fast genau so heißt wie der offizielle Zugang z.B. zu einem Konferenz-, Hotel- oder Unternehmens-WLAN, der aber tatsächlich von einem Angreifer beherrscht wird, um Informationen über Nutzer zu erlangen, z.B. deren Kennwörter, E-Mails oder abgerufene Webseiten, auch über Mittelsmann-Angriffe (MITM). Schaffung eines (verborgenen) Zugangs zu einem gesicherten Unternehmensnetzwerk durch unberechtigte Installation eines (physisch versteckten) WLAN-Routers in den Geschäftsräumen eines Zielunternehmens, der Verbindung mit dem gesicherten Unternehmensnetzwerk hat und so z.B. von einem Parkplatz aus einem Täter den Zugang ermöglicht, ohne daß dieser das Gebäude betreten muß. Auch Form eines Honigtopfes, um Datenspuren über Angreifer zu sammeln

Rotation

Begriff aus dem Gebiet der Datensicherung. Backup-Medien werden nach einem bestimmten Sicherungsschema rotiert (im Wechsel genutzt), d.h. es wird abwechselnd je eine Sicherung auf ein Medium geschrieben. Im Falle einer IT-forensischen Untersuchung oder eines IT-Sicherheitsvorfalles ist es wichtig, rechtzeitig diese Medien "aus der Rotation" herauszunehmen und sicherzustellen. Dabei werden Sicherungsbänder auf "schreibgeschützt" gesetzt. Dies zusammen schützt das Beweismittel vor zufälligem Untergang durch versehentliches automatisches Überschreiben sowie vor physischem Zugriff durch den Täter. So bleiben Datenspuren erhalten und können später ausgewertet werden.

Beispiel: Je eine Festplatte oder je ein Sicherungsband pro Wochentag, also eines für Montag, eines für Dienstag, etc.

S

Schadcode
siehe Malware
Schadprogramm

siehe Malware

Schadsoftware

siehe Malware

Schlupfspeicher
- Slack Space -

Daten nach dem logischen Ende einer Datei, die sich als Datenmüll am Ende einer physischen Datei (Ende der Zuordnungseinheit) befinden. Da die logische Größe einer Datei in der Regel nicht mit der Größe der zur Speicherung verwendeten Einheiten übereinstimmt, füllt bei File Slack das Betriebssystem den restlichen Speicherplatz mit zufälligen Daten. Es kann auch vorkommen, dass Anwendungen Datenmüll schreiben, so z.B. frühere Word-Versionen. Da diese Daten zuvor genutzte Daten, auch bereits gelöschter Dateien oder z.B. Passwörter enthalten können und vom Benutzer nicht beeinflußt werden können, handelt es sich um ein wertvolles IT-forensisches Artefakt.

Beispiele: Datei-Slack (File Slack), Dateisystem-Slack, MFT Slack, RAM-Slack

Schwachstelle (eines IT-Systems)

siehe Sicherheitslücke (eines IT-Systems)

Seitenkanal-Angriff
- Seitenkanalattacke, side channel attack -

Kryptologische Angriffsart, 1996 bekannt gemacht durch den Kryptologen Paul C. Kocher, bei dem ausgenutzt wird, dass die physische Implementierung eines Kryptosystems auf einem IT-System möglicherweise charakteristische Signale abgibt, die Rückschlüsse auf die die verwendete Kryptographie und deren Schwächen sowie IT-Sicherheitslücken erlauben. Angriffsart auch im (siehe) Password Cracking.

Beispiel: Seitenkanal-Angriff auf einen Zufallsgenerator

Seitenkanalattacke

siehe Seitenkanal-Angriff

Sektor (einer Disk)
- Disk Sektor -

Im Bereich der Speicherung von Daten auf Computer-Disks eine physische (räumlich-geometrische) Unterteilung von Orten auf einem Speichermedium (Diskette, Festplatte, optische Disk), speziell die Unterteilung eines Tracks. Jeder Sektor speichert eine begrenzte Datenmenge an Nutzerdaten. Früher war ein Sektor bei Festplatten 512 Bytes und bei CDs und DVDs 2.048 Bytes groß. Aktuelle Datenträger verwenden das Advanced Format (AF) mit einer Sektorgröße von 4.096 Bytes (4 KiB). Traditionell spielte die Sektorengröße eine Rolle bei der Angabe von CHS-Daten (Cylinder, Head, Sektor). Wird aktuell z.B. benötigt, um die Blockgröße in der IT-forensischen Datensicherung als Parameter anzugeben, oder bei der Festplattenforensik und Datenrettung.

Sicheres Löschen von Datenträgern
- Wiping -

Methode, bei der die auf einem Datenträger gespeicherten Informationen sicher gelöscht werden.

Beispiele: Mehrfaches Überschreiben, Degaussen, physische Zerstörung (mechanisch, durch Säure)

Sicherheitslücke (eines IT-Systems)
- Schwachstelle (eines IT-Systems) -

Im Gebiet der Informationssicherheit Fehler in einem Programm, der es einem Angreifer bzw. einer Malware ermöglicht, in ein IT-System einzudringen, z.B. aufgrund von Konfigurations- oder Programmierfehlern. Kann möglicherweise bei IT-Sicherheitsüberprüfungen (Pentests) gefunden werden.

Beispiele: Angriff auf eine Webanwendung unter Ausnutzung von Standard-Kennwörtern oder Injektionsmöglichkeiten, Buffer-Overflow

Sicherheitsüberprüfung (von IT-Systemen)

siehe Penetrationstest

Sicherung digitaler Beweismittel

siehe Imaging

Sicherungskopie

siehe Backup

Side channel attack

siehe Seitenkanal-Angriff

Skript-Kiddie
- Skriptkiddie, Skiddie, Scriddie -

Kunstwort aus „Skript“ und „Kid“, das einen Stereotyp eines jugendlichen Angreifers ("kid") auf ein IT-System charakterisiert, dem Grundlagenkenntnisse bzw. das tiefere Verständnis für die Funktionsweise eines Angriffes fehlen, der einen solchen aber dennoch unter Nutzung von Anleitungen ("Rezepten") und Werkzeugen Dritter ("scripts") möglicherweise erfolgreich ausführt und dabei auch häufig größeren Schaden anrichtet. Im Gegensatz zu einem erfahrenen Hacker.

Slack Space

siehe Schlupfspeicher

Social Engineering
- Sozialer Angriff, Soziale Manipulation -

Angriffsart, die nicht direkt einem IT-System gilt, sondern Menschen, die, typischerweise durch Vorspiegelung von Zeitdruck, Hierarchie, angenommenen Identitäten und unter Ausnutzung der Hilfsbereitschaft dazu verleitet werden, vertrauliche Informationenn herauszugeben, Änderungen vorzunehmen, Zugang zu gewähren oder überhaupt Aktionen auszuführen, die dem Angreifer nützen. Auch genutzt als Methode im Rahmen von Pentests, um herauszufinden, wie gut das Sicherheitsbewußtsein von Mitarbeitern ist und wo noch Schulungsbedarf besteht.

Beispiele: Herausgabe von Zugangsdaten, Freischaltung gesicherter Bereiche, Preisgabe vertraulicher Informationen, z.B. Passwörter (siehe auch Password Cracking)

Software

Sammelbegriff für Programme und Daten, im Gegensatz zu IT-Hardware

Beispiel: Ausführbarer Programmcode, Kompilat, Konfigurationsdatei, Nutzdaten eines Programmes

Solid State Disk
- Solid State Disk, Solid State Drive, SSD, Halbleiterlaufwerk -

Datenträger, nicht-flüchtiges elektronisches Speichermedium als Ersatz für herkömmliche Festplatten-Laufwerke, das aber keine beweglichen Teile, sondern typischerweise NAND-Flashspeicherbausteine (Flash oder SDRAM) enthalten

Beispiele: Firmware von SSDs, Wear-Levelling, TRIM, spezielle Dateisysteme für Flashspeicher unter verschiedenen Betriebssystemen

Soziale Manipulation

siehe Social Engineering

Sozialer Angriff

siehe Social Engineering

Spartan-Webbrowser

siehe Edge-Webbrowser

Speicherabbild
- Speicherauszug, Memory Dump -

Abbild, d.h. Kopie zu oder Auszug von Daten aus einem Speicherbereich, in Form einer Datei

Beispiele: Hauptspeicherabbild, Prozess-Dump, Crashdump

Speicherauszug

siehe Speicherabbild

Speicherforensik
- Memory-Forensik -
Teilgebiet der IT-Forensik, das sich mit den Besonderheiten von Speicherabbildern befaßt
SSD-Forensik

Teilgebiet der IT-Forensik, Teilgebiet der Datenträgerforensik, das sich mit den Besonderheiten von SSDs befasst

Beispiele: Veränderung des Dateninhalts während der Datensicherung auch bei Nutzung von Hardware-Writeblockern. Unterschiedliche Unterstützung von TRIM unter verschiedenen (fehlerhaften) SSD-Firmwareversionen und Betriebssystem-Releases, physisches Auslesen aus ausgelöteten SSD-Speicherbausteinen, Verändertes Layout der Datenverteilung auf SSDs durch Wear-Levelling, Besonderheiten von Verschlüsselung bei SSDs

Steganographie

Verfahren zur verborgenen Speicherung und Übermittlung von Informationen in einem Trägermedium. Bei IT-Systemen werden dazu Nutzdaten in Trägerdaten so verborgen, z.B. im Rauschen, dass ein gewöhnlicher Nutzer keinen Unterschied zwischen der Version mit bzw. ohne Zusatzinformation bemerkt.

Beispiel: Nachrichten in einer Bilddatei oder einem Film, Steghide, OutGess (StegDetect, Stegbreak)

T

Tabjacking

Angriffsart, bei der ein Angreifer unter Ausnutzung von Sicherheitslücken des Webbrowsers des Nutzers Schadcode in den Webbrowser so injiziert, dass Schadsoftware persistent in den Reitern (Tabs) des Webbrowsers gespeichert ist. Jeder Aufruf eines Reiters installiert dann den IT-Schädling dann neu.

Target

IT-System oder Unternehmen, das Ziel bzw. Gegenstand eines Angriffs, einer Untersuchung oder Recherche ist.

Täterprofil

siehe Profilbildung (zu einem Täter)

Teilgebiete der IT-Forensik

Einzelne Bereiche der IT-Forensik

Beispiele: nach Artefakt (z.B. Logfileforensik), Datentyp (z.B. Videoforensik), IT-System (z.B. Mac-Forensik, Mobilgeräteforensik), Auswertungsmethode (z.B. Zeitleistenforensik, Passwortforensik), Erkenntnisinteresse (z.B. Datenexfiltrations-Forensik), Anwendungsbereich (z.B. Insolvenzforensik) oder besonderen Bedingungen (z.B. Live-Forensik)

Totmannschaltung

Im Eisenbahnwesen ist eine Totmannschaltung eine Vorrichtung, mit der ein Zugführer regelmäßig signalisiert, noch wach zu sein. So könnte in der Antiforensik das Ausbleiben einer regelmäßigen Bestätigung durch einen Nutzer automatisch Verschlüsselung aktivieren oder Daten löschen.

Track

Organisationseinheit gespeicherter Daten. Auf einer CD aufeinander folgende Liste von Sektoren auf einer Disk, die einen Datenblock enthalten. Auf einer Festplatte ein zirkulärer Pfad auf der Oberfläche einer Disk (Festplatte oder Diskette), auf der Information gespeichert und gelesen wird.

Traffic

siehe Datenverkehr (in einem Netzwerk)

Traffic-Auswertung

siehe Netzwerkforensik

Trugspuren

In der Kriminalistik sind Trugspuren Spuren, die sich ebenfalls an einem Tatort finden (vorher da gewesen oder nachträglich hinzugekommen), jedoch in keinem Zusammenhang zur eigentlichen Tat stehen. Diese können Ermittler unabsichtlich in die Irre führen. Dies gilt auch für Datenspuren in der IT-Forensik.

Beispiel: Interne Mitarbeiter eines Unternehmens hinterlassen selbst Datenspuren auf einem zu untersuchenden Datenträger im Rahmen der ersten eigenen Aufklärungsversuche

Tunnel
- Tunneling -

In der Netzwerktechnik die Einbettung eines Netzwerkprotokolles in ein anderes. In der IT-Forensik und IT-Sicherheit vor allem unter dem Aspekt einer Angriffsart betrachtet, wie ein Täter durch Tunnelling Schutzmaßnahmen wie z.B. eine Firewall umgeht, indem in HTTP ein anderes Protokoll eingebettet wird, dessen Nutzung verboten ist. Dies kann arbeitsrechtliche Konsequenzen nach sich ziehen.

Beispiele: SSH-Tunnel, VPN-Tunnel, Datenexfiltration durch Tunnelling

Tunneling

siehe Tunnel

Ü

Übernahme digitaler Identität

siehe Impersonifizierung

U

Ungerichteter Angriff
- Ungezielter Angriff -

Angriff auf typischerweise zahlreiche IT-Systeme unter Ausnutzung einer IT-Sicherheitslücke, z.T. auch automatisiert, und ohne die Absicht, genau einem bestimmten Unternehmen zu schaden. Im Gegensatz zu einem gerichteten Angriff, der konkret und präzise auf bestimmte IT-Systeme und ein bestimmtes Unternehmen abzielt mit der Absicht, genau diesem zu schaden.

Beispiel: Skript-Kiddie greift mit einem fertigen Skript zahlreiche Shopsysteme derselben Version an, Verschlüsselungs-Trojaner befällt "zufällig" einen Rechner einer Rechtsanwaltskanzlei

Ungezielter Angriff

siehe ungerichteter Angriff

Unix-Forensik
- IT-Forensik unixoider Systeme -

Teilgebiet der IT-Forensik und der Betriebssystem-Forensik, das sich mit der IT-Forensik von unixoiden Betriebssystemen, auch in verschiedenen Distributionen, befasst.

Beispiele: Linux-Forensik, openBSD-Forensik, SunOS-Forensik, HP-UX-Forensik

Unternehmensbestattung

siehe Firmenbestattung

Unterschieben fälschlich belastender Daten

siehe Falschbelastung

Urkundenfälschung

Erscheinungsform der Wirtschaftskriminalität, strafbar nach Par. 267 StGB, bei der ein Täter physische oder elektronische Dokumente fälscht mit dem Ziel der Täuschung. Siehe auch Fälschung beweiserheblicher Daten.

Beispiel: Erfundene Legitimationen; Urkunden zu nicht existierenden Vermögenswerten; fingierte Vermögensübertragungen; gefälschte E-Mails und SMS im Geschäftsverkehr, die Ansprüche begründen oder abwehren sollen

V

Verantwortungsvolle Offenlegung

siehe Responsible Disclosure

Verfügbarkeitsangriff
- denial of service attack (DoS), distributed DoS (DDoS) -

Angriff auf ein IT-System bzw. -Dienst, in dessen Folge die Verfügbarkeit für andere Nutzer abnimmt und so das System "lahm gelegt" wird.

Beispiele: DDoS auf einen e-Commerce-Webserver, TCP syn flood (Flutung mit Anfragen über TCP)

Vermögensverschiebung (ins Ausland)

siehe Verschiebung von Vermögenswerten

Verschiebung von Vermögenswerten
- Vermögensverschiebung (ins Ausland) -

Erscheinungsform der Wirtschaftskriminalität, bei der versucht wird, Vermögenswerte zu retten bzw. dem Zugriff von Anspruchsgegnern bzw. Gläubigern zu entziehen, indem diese an entfernte Orte (z.B. Steueroasen) oder in rechtlich oder praktisch schwieriger zu greifende Schutzkonstrukte verschoben werden.

Beispiele: Vermögensübertragung (z.B. Immobilien) auf Verwandte, Ehepartner oder Geschäftsfreunde (Mittätter), Vermögensübertragung auf Stiftungen (Trusts) in Steueroasen, Verschiebung von Vermögenswerten in besser vor Pfändung geschützte Konstrukte, Nutzung von fingierten Rechnungen, z.B. Berater- oder Lizenzverträge mit ausländischen Gesellschaften, Erwerb unter Nutzung von (verdeckten) Treuhandverhältnissen

Verschlüsselung

Maßnahme zur Erhöhung der Informationssicherheit, aber auch als Maßnahme der Antiforensik, bei der ein Täter mutmaßlich belastende Daten vor dem Zugriff durch IT-Forensiker schützt.

Beispiele: Verschlüsselung mobiler IT-Geräte, Ende-zu-Ende-Verschlüsselung, Transportverschlüselung, Festplatten-Vollverschlüsselung, Dateiverschlüsselung, Hardware-Verschlüsselung, Trusted Platform Module (TPM), Signaturkarten, Bitlocker, TrueCrypt, cryptfs, Pretty Good Privacy (PGP), Brute-Force-Angriff

Versicherungsbetrug

Erscheinungsform der Wirtschaftskriminalität, strafabar nach Par. 263 StGB als eine Form des Betrugs oder nach Par. 265 (Versicherungsmißbrauch), bei ein Täter in betrügerischer Absicht Versicherungsleistungen beansprucht, die ihm nicht zustehen.

Beispiel: Nutzung eines Gefälligkeitsgutachten, das den Hergang eines IT-Schadens anders darstellt als tatsächlich abgelaufen (IT-Haftpflichtversicherung)

Verunstaltung (einer Webseite)
- Defacement -

Verunstaltende Manipulation einer Webseite bzw. von im Internet abrufbaren Inhalten, durch einen Angreifer, derart, daß Besucher von Webseiten bzw. Nutzer dieser Inhalte nun nicht mehr die originalen Inhalte, sondern die vom Angreifer abgelegten sehen. Diese sind bei der Verunstaltung typischerweise rufschädigend (siehe Reputationsschaden), beleidigend oder geschäftsschädigend.

Beispiele: Defacement einer Webseite, auf der statt hochwertigen Autos nun nackte Tatsachen zu sehen sind, Defacement eines Twitter-Accounts, über den pikante Details ausgeplaudert werden, vermeintlich im Namen des Nutzers (siehe auch Impersonifizierung)

Videoforensik

siehe Forensische Videoanalyse

Videoüberwachungsanlagen
- Closed Circuit Television (CCTV) -

IT-System, das der Überwachung von Einrichtungen mittels Videosignalen (Aufzeichnung oder nur Übertragung) an einen kleinen, geschlossenen Benutzerkreis dient, typischerweise zum Zwecke der Sicherheit und IT-Sicherheit. Siehe Forensische Videoanalyse

Vollständige Offenlegung
- Full Disclosure -

Begriff aus der IT- und Informationssicherheit, bei der eine gefundene Sicherheitslücke möglichst früh (d.h. ohne Schonfrist wie bei der (siehe) Verantwortungsvollen Offenlegung) publiziert wird, damit sie möglichst schnell geschlossen werden kann. Dieses Vorgehen ist umstritten.

Vorfall (zu einem IT-System)

siehe Incident

W

Webbrowser
- Browser -

Software zum Aufruf von Webseiten bzw. webgestützten Anwendungen

Webbrowser-Artefakt

Artefakt(e) eines Webbrowsers, d.h. IT-forensisch untersuchbare Daten, die aus der Installation, Konfiguration und Nutzung von Webbrowsern herrühren

Beispiele: Papierkorb, Proxy, Nutzungsverlauf zuletzt besuchter Seiten, in Formulare eingegebene Daten

Webbrowser-Cookie

Artefakt, spezieller (siehe) Cookie, der von Webbrowsern beim Abruf von Webseiten gespeichert wird

Webbrowser-Forensik

siehe Browserforensik

Weiße-Kragen-Kriminalität
- white collar crime, business crime -

Straftaten, die unter Ausnutzung von Tricks ohne Gewaltanwendung begangen werden. "Weiße Kragen" bzw. "weiße Weste" deshalb, weil solche Täter aus dem Management stammen. Siehe auch Wirtschaftskriminalität

Werksspionage

Angriffsart, bei der ein Täter versucht, an Informationen über ein Werk eines Unternehmens zu bekommen, hier insbesondere durch Nutzung von IT-Systemen (siehe Ausspähen von Daten).

Beispiele: Erfahrungsgemäß gut geeignete Einstellungen bestimmter Maschinen in einem Herstellungsprozess, Rezepturen, Verfahren, Lieferanten

Werkzeug

Software-Programm (von Skript bis ausgereifter Auswertungs-Suite), welches Prozesse in IT-Forensik und IT-Sicherheit unterstützt

Beispiele: Software-Werkzeug, Sicherungs-Werkzeug, Aufbereitungs-Werkzeug, Auswertungs-Werkzeug, Angriffs-Werkzeug, Test-Werkzeug, Diagnose-Werkzeug
etwa: Wireshark zur Sicherung von Netzwerkverkehr, volatiliy zur Auswertung des Hauptspeichers, dd zur Sicherung von Daten, X-Ways Forensics zur Auswertung von Images, IDA als Debugger

White collar crime

siehe Weiße-Kragen-Kriminalität

Wiederherstellung gelöschter Dateien
- Wiederherstellung gelöschter Dateien, "Entlöschen" -

Teilgebiet der IT-Forensik, das sich mit Besonderheiten von Daten befasst, die nicht oder nicht mehr in einem Dateisystem vorliegen, d.h. aktuell im Dateisystem nicht existieren

Beispiele: Papierkorb, Dateisystem-Schlupfspeicher, Datei-Schlupfspeicher, Interpartitions-Schlupfspeicher, Logisch existierende Einträge in Datenbanken zu für Anwendungen gelöschte Einträge, Carving, Carving in Datenbanken, Rückgriff auf Schattenkopien und Restore Points, Differenz-Analysen aus verschiedenen Backup-Ständen und Sicherungskopien, Methoden zur sicheren Datenlöschung für die Einhaltung von Datenschutz-Vorschriften und der Datenhygiene, Aktives Löschen von Datenspuren durch Täter zur Vertuschung einer Tat, Untersuchung der Inhalte von gelöschten und dann wiederhergestellten Dateien

Windows-Forensik

Teilgebiet der IT-Forensik und der Betriebssystem-Forensik, das sich mit der IT-Forensik der Windows-Betriebssysteme von Microsoft befasst.

Beispiele: Windows XP-Forensik, Windows 7-Forensik, Windows 8-Forensik, Windows 10-Forensik, Windows-Server-Forensik

Windows-Registry
- Windows Registry, Windows-Registrierungsdatenbank -

Artefakt in einem Windows-Betriebssystem. Zentrale, hierarchisch aufgebaute Konfigurationsdatei, bestehend aus mehreren Hives (= logische Gruppe von Schlüsseln mit Werten), die zahlreiche IT-forensisch Informationen zu system- oder nutzerbezogenen Einstellungen und Aktionen enthalten, z.B. zuletzt genutzte Dokumente, eingegebene Suchbegriffe, eingehängte Dateisysteme, installierte Software. Umfassende, vom Konfigurationsmanager im Windows-Kernel verwaltete Datenbank des Windows-Systems und aller Systemdienste und -prozesse, zur Speicherung vielfältiger Steuerungsinformationen zu Systemeigenschaften (Hard- und Software einschließlich Anwendungen und Benutzeroberfläche) sowie über Nutzeraktivitäten.

Beispiele für Registry-Hives: Systembezogen: BCD, Components, Default, SAM, Security, Software, System; Nutzerbezogen: NTUSER.dat, UserClass.dat

Wiping

siehe Sicheres Löschen von Datenträgern

Wirtschaftskriminalität

Verstöße gegen Tatbestände des Wirtschaftsstrafrechts, Straftaten, die im Zusammenhang mit der Wirtschaft begangen werden bzw. engen Bezug zum Wirtschaftsleben haben. Allgemeiner versteht man darunter auch Weiße-Kragen-Kriminalität (white collar crime bzw. business crime), d.h. Straftaten, die unter Ausnutzung von Tricks ohne Gewaltanwendung begangen werden. Typischerweise wird jemand dabei Geld aus einem Unternehmen abziehen, es verschieben und in die  eigene Tasche lenken. Dabei gibt es zahlreiche Gestaltungsmöglichkeiten für Täter. Siehe auch Weiße-Kragen-Kriminalität
Beispiele: Betrug (Par. 263 StGB, fraud), Unterschlagung (Par. 246 StGB), Untreue (Par. 266 StGB, Veruntreuung).

Wirtschaftsspionage

Angriffsart, bei der ein Täter versucht, Informationen über ein Wirtschaftsunternehmen zu erlangen, z.B. Fusionsabsichten, Patente, Strategien, Kalkulationen, Konstruktionspläne. Form der Ausspähung, insbesondere mittels IT

Beispiele: Wirtschaftsspionage durch Mitschneiden von E-Mail-Verkehr, durch Zugriff auf mobile Endgeräte von Führungskräften

Wörterbuchangriff
- Lexikonangriff, Dictionary attack -

Angriffsart eines Täters bzw. IT-forensische Methode oder Methode in der IT-Sicherheit, Unterform des (siehe) Password Cracking, bei dem eine (lange) Wortliste (aus Lexika und typischer Kennwörter) durchprobiert wird. Idealweise in Kombination mit einer Grammatik von Permutationsregeln, z.B. hund, Hund, 1hund, 2hund, ..., hund1, hund 2, ...

Z

Zeigerüberlauf
- Pointer overflow -

Art eines Pufferüberlaufes, bei dem ein Zeiger (Zieladresse, pointer) nach dem Überlauf auf einen anderen Speicherbereich zeigt, insbesondere einen Bereich, in dem ein Angreifer Schadecode platziert hat, den er so zur Ausführung bringen kann.

Zeitleiste

Chronologische Zusammenstellung von Ereignissen bzw. Aktionen, die sich auf ein IT-System oder mehrere beziehen, bestehend aus Zeitstempeln, Quellen, Aktoren und Aktionen, sodass zeitliche Abläufe in einem interessierenden Zeitraum unabhängig von IT-Systemen, Artefakten und Auswertungswerkzeugen übersichtlich und verständlich dargestellt werden

Beispiele: Zeitleiste zu einem IT-Angriff, Zeitleistenanalyse, Zeitleistenforensik, SIFT-Workstation zur Zeitleistenanalyse

Zeitleistenforensik
- Zeitleistenforensik, Zeitleistenanalyse -

Teilgebiet der IT-Forensik, das sich mit den Besonderheiten der Darstellung zeitlicher Abläufe bei der Rekonstruktion von Ereignissen in einem fraglichen Zeitraum befasst, zum Zwecke der übersichtlichen und verständlichen Darstellung, unabhängig von Auswertungsmethoden, -werkzeugen und -artefakten oder IT-Systemen

Beispiele: Zeitleiste, welche Ereignisse aus Interviews bzw. Zeugenaussagen, Logfiles, Dateisystem-Zeitstempeln, E-Mail-Headern, der Windows-Registry, aus Metadaten von Dokumenten und möglicher weiterer Zeitgeber nutzt

Zeitstempel

Metadaten zu einem Ereignis oder Artefakt, welche sich auf einen Zeitpunkt beziehen, codiert in einem bestimmten Zeitstempelformat und relativ zu einer bestimmten Zeitzone.

Beispiele: verschiedene NTFS-Dateisystem-Zeitstempel, Eintrag in einer Logdatei, Zeitpunkt zu einem Eintrag in der Windows Registry, Fälschung von Zeitstempeln, time drift, Zeitzonen, seconds since the epoch (Unix-Zeit)

Zuordnungseinheit

siehe Cluster (Datenträger)

Ihr Ansprechpartner

Alexander Sigel

Alexander Sigel
Tel.: 0221-6 77 86 95-0
E-Mail: info@digitrace.de