idw – Informationsdienst Wissenschaft
Nachrichten, Termine, Experten
Nachrichten, Termine, Experten
Um IT-Angriffe auf Unternehmen und Schadsoftware zu entdecken, werden Informationen auf Computern analysiert. Doch viele wertvolle Daten gehen verloren, wenn Computer vom Strom getrennt werden. Live-Forensik setzt hier an und untersucht die Angriffe zeitnah. Im Projekt LIVEFOR haben ExpertInnen der FH St. Pölten und des Forschungszentrums SBA Research Unternehmen in diesem Fach geschult.
Live-ForensikerInnen sind hinter sogenannten flüchtigen Daten her. Das sind Informationen, die beim Unterbrechen der Stromversorgung verloren gehen, weil sie nicht auf einem langlebigen Datenträger, z. B. einer Festplatte, gespeichert werden. Darunter fallen beispielsweise Inhalte des Arbeitsspeichers, aktive Prozesse und Informationen zu bestehenden Netzwerkverbindungen. Live-Forensik analysiert flüchtige Daten während oder kurz nach dem Eintritt eines sicherheitskritischen Ereignisses.
„Digitale Forensik ist aus Unternehmen nicht mehr wegzudenken: Rechtliche Vorgaben und Wissensaufbau sowie Rekonstruktion von Tathergängen, aber auch die Prävention krimineller Aktivitäten spielen hier eine Rolle. Aufgrund der Veränderung von technologischen Rahmenbedingungen in den vergangenen Jahren hat die sogenannte ‚Live-Forensik‘ zunehmend an Bedeutung gewonnen“, sagt Sebastian Schrittwieser, Leiter des Projekts LIVEFOR sowie des Josef-Ressel-Zentrums für konsolidierte Erkennung gezielter Angriffe (TARGET) an der FH St. Pölten. Das Projekt LIVEFOR unterstützt IT-Unternehmen bei eigenen Forschungsaktivitäten auf dem Gebiet der Live-Forensik und der Analyse von flüchtigen Daten.
Vorsprung und Hinterherhinken
Dies ist unter anderem deswegen wichtig, weil übliche international anerkannte IT-Forensik-Standards der technischen Entwicklung hinterherhinken. „Bei Smartphones und Laptops werden Daten zunehmend voll verschlüsselt, wodurch die klassische ‚Post-mortem-Forensik‘ nicht mehr funktioniert. Mit Live-Forensik kann auf Systemen mit Datenträger-Vollverschlüsselung aus dem Inhalt des Arbeitsspeichers der kryptographische Schlüssel extrahiert werden, der dann für eine spätere Analyse des Systems zur Verfügung steht“, erklärt Schrittwieser.
Wichtig für Live-Forensik sind Arbeitsspeicher, weil in ihnen während des Betriebs etwa Passwörter gespeichert werden, auf die ForensikerInnen zugreifen können, solange der Computer noch in Betrieb ist. „Früher galt bei Hausdurchsuchungen, dass man Computer sofort vom Netz nimmt. Heute weiß man, dass man besser zuerst den Arbeitsspeicher untersucht“, sagt Schrittwieser. Notfalls kann der Arbeitsspeicher auch mit flüssigem Stickstoff eingefroren werden. Die Information bleibt dann für einige Minuten erhalten und der Speicher lässt sich eventuell in ein anderes Gerät einbauen, auf das die ForensikerInnen zugreifen können.
Besonders herausfordernd seien vor allem Smartphones: Sie funktionieren anders als klassische Computer, haben Sicherheit und Datenschutz meist integriert und sind daher von ForensikerInnen schwerer zu analysieren.
Aufbau von Qualifikation und Austausch von Information
Das Projekt LIVEFOR ist ein sogenanntes Qualifizierungsnetzwerk, finanziert vom Bundesministerium für Wissenschaft, Forschung und Wirtschaft (BMWFW). Ziel des Qualifizierungsnetzes ist es, den beteiligten Unternehmen eigene Forschungsaktivitäten auf dem Gebiet der Live-Forensik zu ermöglichen, sowie den Aufbau eines Unternehmensnetzwerks und somit den Wissenstransfer von Konzepten der Live-Forensik zu forcieren, die von aktuellen digitalforensischen Richtlinien nicht abgedeckt werden.
„Die Unternehmen sind bereits im Bereich der IT-Forensik tätig, sollen aber durch das Projekt und das entstehende Netzwerk mit den raschen Technologiesprüngen besser mithalten können“, so Schrittwieser. Am Projekt beteiligt sind auch JuristInnen. Denn zur Aufklärung von Straftaten wäre es am einfachsten, möglichst viele Daten und Arbeitsschritte auf Computern – und daher von MitarbeiterInnen – bereits vorab zu sichern. In den USA ist dies erlaubt, in Österreich aus Datenschutzgründen nicht.
Die am Projekt teilnehmenden Firmen sind Bravestone Information-Technology GmbH, Cognosec GmbH, Cumulo Information System Security GmbH, Limes Security GmbH und T-Systems Austria GesmbH und ZT Zeiler GmbH.
Projekt LIVEFOR
Das Projekt LIVEFOR wird vom Bundesministerium für Wissenschaft, Forschung und Wirtschaft (BMWFW) über die Österreichische Forschungsförderungsgesellschaft FFG im Rahmen des Programms „Forschungskompetenzen für die Wirtschaft“ gefördert.
https://www.fhstp.ac.at/de/forschung/projekte/livefor
Über die Fachhochschule St. Pölten
Die Fachhochschule St. Pölten ist Anbieterin praxisbezogener und leistungsorientierter Hochschulausbildung in den sechs Themengebieten Medien & Wirtschaft, Medien & Digitale Technologien, Informatik & Security, Bahntechnologien & Mobilität, Gesundheit und Soziales. In mittlerweile 17 Studiengängen werden rund 2.300 Studierende betreut. Neben der Lehre widmet sich die FH St. Pölten intensiv der Forschung. Die wissenschaftliche Arbeit erfolgt zu den oben genannten Themen sowie institutsübergreifend und interdisziplinär. Die Studiengänge stehen in stetigem Austausch mit den Instituten, die laufend praxisnahe und anwendungsorientierte Forschungsprojekte entwickeln und umsetzen.
Wissenschaftlicher Kontakt:
Dipl.-Ing. Dr. Sebastian Schrittwieser, Bakk.
Leiter Josef Ressel-Zentrum für konsolidierte Erkennung gezielter Angriffe
Department Informatik und Security
T: +43 (2742) 313 228 – 648
E: Sebastian.Schrittwieser@fhstp.ac.at
I: http://www.fhstp.ac.at/studienangebot/master/is/studiengangsteam/schrittwieser-s...
Pressekontakt:
Mag. Mark Hammer
Marketing und Unternehmenskommunikation
T: +43/2742/313 228 – 269
M: +43/676/847 228 – 269
E: mark.hammer@fhstp.ac.at
I: https://www.fhstp.ac.at/de/presse
Pressetext und Fotos zum Download verfügbar unter: https://www.fhstp.ac.at/de/presse
Malware Lab FH st. Pölten
Source: Sebastian Schrittwieser
Sebastian Schrittwieser
Source: Martin Lifka Photography
Presseaussendung
Criteria of this press release:
Journalists, Scientists and scholars
Economics / business administration, Information technology
transregional, national
Cooperation agreements, Transfer of Science or Research
German
Malware Lab FH st. Pölten
Source: Sebastian Schrittwieser
Sebastian Schrittwieser
Source: Martin Lifka Photography
You can combine search terms with and, or and/or not, e.g. Philo not logy.
You can use brackets to separate combinations from each other, e.g. (Philo not logy) or (Psycho and logy).
Coherent groups of words will be located as complete phrases if you put them into quotation marks, e.g. “Federal Republic of Germany”.
You can also use the advanced search without entering search terms. It will then follow the criteria you have selected (e.g. country or subject area).
If you have not selected any criteria in a given category, the entire category will be searched (e.g. all subject areas or all countries).
