Stand: 2026-01-26

Vorfall melden

Was Sie vorbereiten sollten

  • Kurze Beschreibung des Vorfalls
  • Betroffene Systeme/Accounts (soweit bekannt)
  • Aktuelle Massnahmen
  • Zugang zu Logs/SIEM (falls vorhanden)
  • Ansprechpartner mit Entscheidungsbefugnis

Incident Response

Forensics – Digitale Forensik bei Sicherheitsvorfällen

Forensik rekonstruiert, was tatsächlich passiert ist — technisch belastbar, nachvollziehbar dokumentiert und geeignet für Incident Decisions, Management und Datenschutz.

Digitale Forensik beantwortet die zentralen Fragen nach einem Sicherheitsvorfall:

👉 Wie sind Angreifer eingedrungen?
👉 Wie haben sie sich bewegt?
👉 Welche Systeme waren betroffen?
👉 Gab es Datenabfluss?
👉 Seit wann besteht die Kompromittierung?

Angriffspfad

Einstieg, Bewegung, Persistenz

Beweise

Forensisch verwertbare Artefakte

📊 Auswirkungen

Betroffene Systeme & Daten

Vorfall melden

Zurück zur Incident Response

Warum Forensik entscheidend ist

In realen Vorfällen ist die Lage selten klar:

  • Logs fehlen oder sind fragmentiert
  • Systeme wurden bereits neu gestartet
  • Passwörter zurückgesetzt
  • Angreiferaktivität liegt Tage oder Wochen zurück

Ohne strukturierte Forensik bleiben Entscheidungen Vermutungen.

Forensik schafft belastbare Fakten.

Ziele der Forensik

🎯 Technisch
  • Einstiegspunkt identifizieren
  • Bewegungspfad rekonstruieren
  • Persistenzmechanismen erkennen

Operativ

  • Scope bestimmen
  • betroffene Assets erfassen
  • Grundlage für Recovery schaffen
📑 Compliance
  • Datenexposition bewerten
  • Timeline dokumentieren
  • DSGVO/NIS2 unterstützen

Typischer technischer Umfang

Telemetrie & Logs

  • EDR (Defender, CrowdStrike, SentinelOne)
  • M365 / Entra ID Sign-ins & Unified Audit Log
  • Active Directory Security Events
  • Firewall / VPN / Proxy Logs
  • Azure Activity Logs / AWS CloudTrail
  • Kubernetes Audit Logs (falls relevant)

Endpunkte & Server

  • volatile Artefakte (Prozesse, Netzwerkverbindungen)
  • Eventlogs, Prefetch, Registry
  • Scheduled Tasks, Services, Autoruns
  • Benutzerprofile & Browserartefakte

Cloud & Identity

  • Service Principals
  • API Token Nutzung
  • Conditional Access Änderungen
  • privilegierte Rollen

Wann ist Forensik erforderlich?

Typische Auslöser
  • unklare Ursachenlage
  • Verdacht auf Datenabfluss
  • kompromittierte Admin Accounts
  • Ransomware / Malware
  • regulatorische Anforderungen
Reale Situationen
  • nur Teil-Sichtbarkeit
  • bereits veränderte Systeme
  • Management-Druck
  • fehlende Timeline

Unser Forensik-Prozess

1) Acquisition

Artefakte sichern

2) Analyse

Daten korrelieren

3) Timeline

Abläufe rekonstruieren

4) Findings

Erkenntnisse ableiten

5) Reporting

Dokumentieren

Häufige Fehler

  • Neuaufsetzen vor Analyse
  • unkontrollierte Passwortänderungen
  • Logs löschen oder überschreiben
  • keine klare Beweisführung
  • fehlende Dokumentation

Was Sie vorbereiten sollten

  • Alerts / Screenshots
  • bekannte betroffene Systeme
  • bisherige Maßnahmen
  • SIEM / EDR / Cloud Zugriff
  • Entscheidungsbefugte Person

Ergebnisse (Deliverables)

Executive Summary

Technische Timeline

Angriffspfad & IOC Liste

Empfehlungen für Recovery

DSGVO / NIS2 Kontext

Forensik liefert die technische Grundlage für:

  • Bewertung personenbezogener Daten
  • Meldeentscheidungen
  • Nachweis angemessener Schutzmaßnahmen

(keine Rechtsberatung)

FAQ

Wie lange dauert eine forensische Analyse?

Von Stunden bis mehreren Tagen – abhängig von Scope und Logqualität.

Sollten Systeme ausgeschaltet werden?

Nein – isolieren statt abschalten.

Erhalten wir einen Abschlussbericht?

Ja – inklusive Management Summary und technischer Details.

Forensik anfragen

Vorfall melden

Zurück zur Incident Response

Wenn es akut ist, melden Sie sich so frueh wie moeglich.

Vorfall melden