Incident Response Forensik: Werkzeuge und Vorgehen bei Sicherheitsvorfällen
Forensische Analyse bei Sicherheitsvorfällen: Memory Forensics mit Volatility3, Disk Forensics mit Autopsy/FTK, Log-Analyse mit ELK/Splunk, Timeline-Erstellung mit plaso/log2timeline, Netzwerk-Forensik mit Wireshark, Malware-Analyse mit IDA Pro und Ghidra. Chain of Custody, forensische Kopien und Dokumentations-Standards für rechtssichere Beweissicherung.
Vincent Heinen Abteilungsleiter Offensive Services TL;DR
Bei einem IT-Sicherheitsvorfall entscheidet die korrekte forensische Analyse über Aufklärung und rechtssichere Beweissicherung. Mit Volatility3 analysieren Sie flüchtigen RAM, mit Autopsy untersuchen Sie Festplatten-Images und mit plaso/log2timeline erstellen Sie eine lückenlose Chronologie aller Systemereignisse. Das Prinzip der Order of Volatility schreibt vor, zuerst die flüchtigsten Daten wie CPU-Register und RAM zu sichern, bevor Festplatteninhalte folgen. Chain of Custody, Write-Blocker und Hash-Verifizierung mit sha256sum gewährleisten die gerichtliche Verwertbarkeit.
Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 50).
Inhaltsverzeichnis (7 Abschnitte)
Bei einem Sicherheitsvorfall zählt jede Minute - aber vorschnelles Handeln kann Beweise vernichten. Forensische Methodik und die richtigen Werkzeuge sind der Unterschied zwischen einem vollständig aufgeklärten Vorfall und einem unsicheren "Irgendwas ist passiert". Dieser Guide zeigt die wichtigsten IR-Forensik-Tools und ihre Anwendung.
IR-Forensik Grundprinzipien
1. Order of Volatility (Reihenfolge der Beweissicherung)
Erst die flüchtigsten Daten sichern:
- CPU-Register und Cache — bei Shutdown weg
- RAM (Arbeitsspeicher) — bei Shutdown weg
- Netzwerkverbindungen/-state — bei Shutdown weg
- Laufende Prozesse — bei Shutdown weg
- Datei-System-Zustand — bleibt erhalten
- Festplatten-Inhalt — bleibt erhalten
- Remote-Logs (SIEM) — bleibt erhalten
- Physische Medien (Backup) — bleibt erhalten
2. Chain of Custody
- JEDER Handgriff am Beweismittel dokumentieren
- Wer hat was, wann, warum mit dem System gemacht?
- Forensische Kopie: Hash vor und nach Kopierung verifizieren
- Original-System: so wenig wie möglich anfassen
3. Write-Blocker
Hardware oder Software verhindert Schreibzugriff auf das Original-Medium. Original-Festplatte: READ ONLY. Alle Analysen nur auf forensischer Kopie durchführen.
4. Hash-Verifizierung
# SHA256 vor Analyse:
sha256sum /dev/sdb > original.sha256
# Forensische Kopie erstellen:
dd if=/dev/sdb of=/forensics/image.dd bs=4096 conv=notrunc,noerror,sync
# SHA256 der Kopie:
sha256sum /forensics/image.dd
# Beide müssen identisch sein → Integrität bestätigtMemory Forensics mit Volatility3
RAM-Analyse (flüchtigste Beweise!):
RAM-Image erstellen:
# Windows (Live-System, Admin!):
# WinPmem (kostenlos):
winpmem_mini_x64_rc2.exe --output C:\forensics\mem.raw
# DumpIt (Magnet Forensics):
DumpIt.exe /OUTPUT C:\forensics\mem.dmp
# Linux:
# LiME (Kernel-Modul):
sudo insmod lime-5.x.x-generic.ko "path=/forensics/mem.lime format=lime"
Volatility3 Analyse (Python3):
# Installation:
pip install volatility3
# Basis-Informationen:
python3 vol.py -f mem.raw windows.info
# Laufende Prozesse:
python3 vol.py -f mem.raw windows.pslist
python3 vol.py -f mem.raw windows.pstree # Hierarchisch
# Versteckte/ungelinkte Prozesse (Rootkit!):
python3 vol.py -f mem.raw windows.psscan # Rohe Heap-Suche
# Netzwerkverbindungen:
python3 vol.py -f mem.raw windows.netscan
# DLL-Injektionen finden:
python3 vol.py -f mem.raw windows.malfind
# Zeigt Speicherbereiche mit ausführbarem Code aber ohne zugehörige DLL
# CMD-Befehle aus RAM:
python3 vol.py -f mem.raw windows.cmdline
# PowerShell-History aus RAM (wenn aktiv war):
python3 vol.py -f mem.raw windows.strings | grep -i "powershell\|IEX\|Invoke"
# Prozess-Speicher dumpen:
python3 vol.py -f mem.raw windows.dumpfiles \
--pid 1234 --output-dir /forensics/dumps/
# Registry-Hives aus RAM:
python3 vol.py -f mem.raw windows.registry.hivelist
python3 vol.py -f mem.raw windows.registry.printkey \
--key "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"Disk Forensics mit Autopsy
Festplatten-Forensik:
Autopsy (Sleuth Kit GUI, kostenlos):
→ Windows und Linux
→ Analysiert: Dateisysteme (NTFS, FAT32, ext4, HFS+)
→ Features: gelöschte Dateien, Timeline, Keyword-Suche, Hash-Sets
Workflow:
1. New Case → Case-Daten eingeben
2. Add Data Source → Image (DD, E01), Laufwerk, Ordner
3. Ingest Modules auswählen:
✓ Hash Lookup (NSRL: bekannte gute Dateien herausfiltern)
✓ Keyword Search (Passwörter, IP-Adressen, etc.)
✓ Web Artifacts (Browser-History, Downloads, Cookies)
✓ Email Parser
✓ Recent Activity
4. Analyse starten
Forensische Kopie erstellen (dd):
# Bit-genaue Kopie mit Fehlerbehandlung:
dd if=/dev/sdb of=/forensics/disk.dd \
bs=4096 \
conv=notrunc,noerror,sync \
status=progress
# Hash-Verifizierung:
sha256sum /dev/sdb > /forensics/original.sha256
sha256sum /forensics/disk.dd > /forensics/copy.sha256
diff /forensics/original.sha256 /forensics/copy.sha256
# EWF-Format (Enterprise): dcfldd oder ewfacquire
ewfacquire -t /forensics/case01 /dev/sdb
$MFT-Analyse (NTFS-Master-File-Table):
# MFT enthält: alle Dateien, Zeitstempel, Größe, Cluster
# Gelöschte Dateien: im MFT als "unallocated" markiert
# MFTECmd (Eric Zimmermann, kostenlos):
MFTECmd.exe -f C:\Windows\$MFT --csv C:\forensics\mft.csv
# Interessante Zeitstempel:
# Created, Modified, Record Changed, Accessed ($STANDARD_INFO + $FILE_NAME)
# Timestomping: $STANDARD_INFO ≠ $FILE_NAME → Manipulation!Timeline-Erstellung mit plaso
Super-Timeline (alle Events in einer Zeitlinie):
plaso / log2timeline:
# Alle Artefakte eines Systems in eine Timeline konvertieren:
log2timeline.py --storage-file /forensics/timeline.plaso /forensics/disk.dd
# Parsers wählen (schneller):
log2timeline.py \
--parsers "win_reg,winevtx,winprefetch,chrome_history,firefox_history" \
--storage-file /forensics/timeline.plaso \
/forensics/disk.dd
# Timeline als CSV exportieren:
psort.py \
-o l2tcsv \
-w /forensics/timeline.csv \
/forensics/timeline.plaso
# Nach Zeitraum filtern:
psort.py \
-o l2tcsv \
-w /forensics/timeline-24h.csv \
/forensics/timeline.plaso \
"date > '2026-03-03' AND date < '2026-03-05'"
Timeline analysieren: in Excel/LibreOffice (Pivot-Table nach Zeit + Event-Typ) oder in Elastic/Kibana als Dashboard.
Kritische Windows Event IDs:
| Event ID | Bedeutung |
|---|---|
| 4624 | Erfolgreicher Login |
| 4625 | Fehlgeschlagener Login |
| 4688 | Neuer Prozess gestartet |
| 4698 | Scheduled Task erstellt |
| 4776 | NTLM-Authentication |
| 7045 | Neuer Service installiert (Persistenz!) |
| 4104 | PowerShell Script Block ausgeführt |
# EvtxECmd (Eric Zimmermann):
EvtxECmd.exe -d C:\Windows\System32\winevt\Logs \
--csv C:\forensics\evtx.csv \
--csvf evtx_output.csv
# Dann in Timeline.Explorer anzeigen (kostenlos)Malware-Analyse
Statische und dynamische Malware-Analyse:
Schnelle Triage (ohne Ausführung):
# VirusTotal-Upload:
curl --request POST 'https://www.virustotal.com/api/v3/files' \
--header "x-apikey: $VTAPI" \
--form file=@malware.exe
# PE-Analyse (Windows-Executables):
# PEStudio (kostenlos, Windows):
→ Imports/Exports, Strings, Entropy, Sections
→ Suspicious Strings: CreateRemoteThread, WriteProcessMemory, WinExec
# pestudio-CLI Äquivalent:
strings malware.exe | grep -E "CreateRemoteThread|WriteProcessMemory|VirtualAlloc"
strings malware.exe | grep -E "http://|https://|cmd.exe|powershell"
# Dateityp-Erkennung:
file malware.exe # Prüft Magic Bytes, nicht Extension
exiftool malware.exe # Metadata
Ghidra (NSA, kostenlos, Disassembler):
→ Import: Datei → Analyse → Funktionen
→ Decompiler: Assembler → Pseudo-C
→ Xrefs: welche Funktionen rufen was auf?
→ Strings-Window: alle statischen Strings
→ Bookmarks: verdächtige Funktionen markieren
Dynamische Analyse (Sandbox):
# Cuckoo Sandbox (selbst-gehostet):
cuckoo submit malware.exe
cuckoo web # Web-UI für Report
# Online-Sandboxes:
→ any.run (interaktive Sandbox)
→ Joe Sandbox (detaillierter Report)
→ Hybrid-Analysis (Falcon Sandbox, kostenlos)
# Report enthält:
→ Alle Netzwerkverbindungen (IPs, Domains)
→ Datei-System-Änderungen (neue Dateien, modifizierte Registry)
→ Prozess-Baum (welche Prozesse spawnen?)
→ Speicher-Dumps der verdächtigen Bereiche
FLARE VM (Forensics & Malware Analysis):
# Windows-VM komplett für RE/Malware-Analyse:
# Enthält: Ghidra, x64dbg, IDA Free, SysinternalsSuite,
# PEStudio, die-die-die, pestudio, Cutter, dnSpy, etc.
# Installation: https://github.com/mandiant/flare-vmNetzwerk-Forensik bei IR
Netzwerk-Traffic-Beweissicherung:
Netzwerk-Traffic aufzeichnen:
# tcpdump auf Netzwerk-Sensor:
tcpdump -i eth0 -w /forensics/capture_$(date +%Y%m%d_%H%M%S).pcap
# Nur Traffic von verdächtigem Host:
tcpdump -i eth0 -w /forensics/victim.pcap host 192.168.1.100
# Ring-Buffer (kontinuierliche Aufnahme, 10x 100MB):
tcpdump -i eth0 -w /forensics/capture_%Y-%m-%d_%H:%M:%S.pcap \
-G 3600 -W 24 # 1h Rotation, 24 Files
Retrospektive Analyse (wenn kein Live-Capture):
→ Firewall-Logs: welche externen IPs wurden kontaktiert?
→ Proxy-Logs: welche URLs, welche User-Agents?
→ DNS-Logs: welche Domains wurden aufgelöst?
→ NetFlow-Daten: Volumen zwischen Hosts
# Zeek (Bro) für bestehende PCAP:
zeek -C -r /forensics/capture.pcap local
ls -la *.log # conn.log, dns.log, http.log, ssl.log, files.log
IOC-Extraktion aus Netzwerk-Traffic:
# IPs aus PCAP:
tshark -r capture.pcap -T fields -e ip.dst | sort -u > dst_ips.txt
# Domains aus DNS:
tshark -r capture.pcap -Y "dns.flags.response==0" \
-T fields -e dns.qry.name | sort -u > dns_queries.txt
# User-Agents (Malware-Signatur!):
tshark -r capture.pcap -Y http.request \
-T fields -e http.user_agent | sort | uniq -c | sort -rn
# Alle übertragenen Dateien extrahieren:
tshark -r capture.pcap --export-objects http,/forensics/http_objects/Dokumentation und Reporting
Evidence Log
Case: IR-2026-0304-001 Analyst: Max Müller (CERTIFIED) Evidence #: EV-001 Item: Dell Laptop SN: ABC123456 Acquired: 2026-03-04 14:30 UTC Location: Büro 205, Frankfurt Hash (SHA256-Original): a1b2c3... Hash (SHA256-Image): a1b2c3... (identisch)
Chain of Custody:
- 2026-03-04 14:30 — Sichergestellt von: Max Müller
- 2026-03-04 14:45 — Übergabe an: Lisa Schmidt (Forensics Lab)
- 2026-03-04 15:00 — Imaging begonnen
IR-Timeline (Attack Timeline)
Erstellt aus: SIEM-Events + Endpoint-Logs + Forensik-Timeline
| Datum | Zeit | Event | Source |
|---|---|---|---|
| 2026-03-01 | 09:15 | Phishing-E-Mail empfangen | Exchange |
| 2026-03-01 | 09:22 | Link in E-Mail geklickt | Proxy |
| 2026-03-01 | 09:23 | Malware heruntergeladen | Proxy, EDR |
| 2026-03-01 | 09:23 | Prozess gestartet: payload.exe | Sysmon 4688 |
| 2026-03-01 | 09:24 | PowerShell gestartet (inject) | Sysmon 4688 |
| 2026-03-01 | 09:25 | Verbindung zu 185.x.x.x:443 | Firewall |
| 2026-03-02 | 12:00 | Credentials extrahiert (mimikatz) | Sysmon/EDR |
| 2026-03-03 | 08:30 | Lateral Movement zu SQL-Server | Firewall/IPS |
Abschlussbericht
- Executive Summary: was passiert, impact, aktueller Status
- Attack Timeline: chronologisch
- Initial Access: wie gelangte Angreifer ins Netzwerk?
- Lateral Movement: welche Systeme wurden bewegt?
- Persistence: welche Persistenz-Mechanismen wurden genutzt?
- Data Exfiltration: wurden Daten gestohlen? welche?
- IOCs: alle IPs, Domains, Hashes, Registry-Keys
- Empfehlungen: sofort, kurzfristig, langfristig
- Lessons Learned: was hätte früher erkannt werden können?
Monatlicher Threat Report
Chris Wojzechowski bewertet einmal im Monat die aktuelle Bedrohungslage aus Sicht eines Informationssicherheitsexperten. Sein 30-köpfiges Team ist näher an realen Cyberbedrohungen dran als kaum jemand sonst - mit konkreten Handlungsempfehlungen, die Sie am nächsten Morgen umsetzen können.
Bestseller-Autor (Wiley-VCH) · M.Sc. Internet-Sicherheit · Bekannt aus Handelsblatt & WamS
Zuletzt behandelt
1x im Monat · Kein Spam · Jederzeit abbestellbar · Datenschutz
Nächster Schritt
Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.
Kostenlos · 30 Minuten · Unverbindlich
