Digital Forensics & Incident Response

Dringt Schadsoftware ins Unternehmensnetzwerk ein, drohen Betriebsunterbrechungen, Datenverlust und Lösegeldforderungen zur Freigabe verschlüsselter Daten. Schnell entstehen hohe Kosten und Vertrauensverluste bei Partnern, Mitarbeitern und Kunden.

Daher können Sie nach der Teilnahme am zweitägigen Workshop:

• Meldungen von Anti-Malware-Programmen effizient bewerten und Alarme gezielt nachverfolgen

• verdächtige E-Mails, IP-Adressen und URLs sicher erkennen und Mitarbeiter bei der Risikobewertung wirksam unterstützen

• potenziell infizierte IT-Systeme einer Erstuntersuchung unterziehen und deren Resultate richtig einordnen

• schnell und sicher auf Sicherheitsvorfälle im Unternehmen reagieren, selbstständig forensische Artefakte sammeln und effektiv auswerten

• vorbereitende Maßnahmen planen und umsetzen

Inhalte

In diesem Workshop lernen Sie, aktiv auf Cybervorfälle zu reagieren und eine zügige Wiederherstellung des IT-Betriebs zu gewährleisten. Dazu bekommen Sie einen Einblick in die zentralen Konzepte der Vorfallsbewältigung und digitaler Forensik. Zudem lernen Sie standardisierte Prozesse kennen und erfahren, was nach einem Sicherheitsvorfall zu tun ist, um wichtige Spuren zu sichern.

Zur Prävention von Cybervorfällen erfahren Sie zudem, wie sich, wie sich potenzielle Sicherheitsrisiken in E-Mails und anderen Webressourcen effektiv erkennen lassen. Ebenfalls liegt ein zentraler Schwerpunkt auf dem korrekten Verhalten in der kritischen Anfangsphase eines Vorfalls. Hierzu lernen Sie, Antimalware-Meldungen effizient zu bewerten, Hinweise richtig einzuordnen und fundierte Entscheidungen zu treffen.

Weiterhin erhalten Sie praxisnahe Einblicke in die Sammlung und Auswertung forensischer Artefakte. Mithilfe von freien Open-Source-Tools und Webdiensten können Sie verdächtige Dateien und Ereignisse auf IT-Systemen analysieren. So gewinnen Sie Einblicke in Angriffsverläufe und tragen zur fundierten Beweissicherung und Ursachenanalyse bei.

Themen in der Übersicht

• Verdächtige Artefakte mit Webressourcen pragmatisch untersuchen

  • URLs, IP-Adressen und E-Mail-Absender untersuchen

  • kostenfrei nutzbare Webdienste zur Sammlung weiterer Informationen und Verifikation von Hinweisen kennenlernen

  • Folgeaktivitäten aufgrund der Erkenntnisse wählen

• E-Mails analysieren

  • E-Mail-Header kennenlernen

  • E-Mails auf potenzielle IT-Sicherheitsrisiken analysieren

  • Vorgehen beim Fund unerwünschter und potenziell risikobehafteter E-Mails

• Grundlagen von Digital Forensics & Incident Reponse kennenlernen

  • Begriffe Incident Response und digitale Forensik definieren

  • Ziele und Anforderungen der Incident Response und digitalen Forensik

  • Incident Response und digitale Forensik in die breitere Informations- und IT-Sicherheit einordnen

  • Incident-Response-Prozesse kennenlernen

  • Pragmatische Vorgehensweisen erlernen

• Schadsoftware mit YARA-Scannern identifizieren

  • Einführung in YARA und die Nutzung eines YARA-Scanners zum Aufdecken verdächtiger Dateien

  • Resultate dieser Scanner einordnen und priorisieren

  • als besonders kritisch einzustufende Hinweise und Muster erkennen

• Windows Event Logs überblicken

  • Windows Event Logs, dessen Systematik und Nutzen für forensische Analysen kennenlernen

  • SIGMA und die Nutzung eines SIGMA-Scanners zum Aufdecken verdächtiger Einträge im Windows-Ereignisprotokoll überblicken

  • Resultate dieser Scanner einordnen und priorisieren

  • als besonders kritisch einzustufende Hinweise und Muster erkennen

• KAPE kennenlernen

  • Kurzeinführung in IT-forensisch relevante Artefakte

  • forensisch relevante Artefakte mit KAPE sammeln

  • Artefakte mit KAPE und Open-Source Tools auswerten

  • Einbinden in den DFIR-Prozess

• Fokus-Themen nach Auswahl der Teilnehmer

  • Zeit ist Geld – vorbereitende Maßnahmen ergreifen

  • macOS-Forensik

  • Wiederherstellung nach Großvorfällen

Zielgruppe

• Administratoren und IT-Fachkräfte, die Sicherheitsvorfälle im Unternehmen mit praktischen Tools bewerten, wirkungsvoll reagieren und gezielt Spuren sichern wollen

• Informatiker im IT-Betrieb, die Risiken sicher einschätzen, fundierte Entscheidungen treffen und in Incident-Response-Prozesse eingebunden sein wollen

Voraussetzungen

Vorkenntnisse

• Grundkenntnisse in der Administration von Windows-Systemen

• Grundkenntnisse zu Fragen der IT-Sicherheit

• Verständnis zur Funktionsweise des Internets, insbesondere zu Themen wie DNS, HTTP, E-Mail-Header, Phishing, Vertraulichkeit, Integrität und Verfügbarkeit

technische Voraussetzungen

• Oracle VM VirtualBox oder VMware Workstation Pro

• ausreichend leistungsstarker Computer zur Ausführung einer virtuellen Windows-11-Installation mit 8 GB Arbeitsspeicher und 120 GB Datenspeicher

Leistungen Ihres Workshoptickets

• Sie erhalten Ihre Schulungsunterlagen in digitaler Form. So können Sie selbst entscheiden, ob Sie diese elektronisch bearbeiten und archivieren oder lieber ausdrucken möchten.

• Mit der Teilnahmebescheinigung unterstreichen Sie Ihr Weiterbildungsengagement und verbessern Ihre Perspektiven für interne Karriereschritte oder neue berufliche Wege.

Durchführung

• Sie nehmen über Zoom am Workshop teil, wobei die Verbindung über einen lokal gehosteten, DSGVO-konformen On-Premises-Connector erfolgt.

• Um einen intensiven Austausch zwischen dem Trainer und den Teilnehmenden zu gewährleisten, erfolgt der Workshop in Gruppen von höchstens 20 Personen.

• Sollte die Durchführung der Veranstaltung aufgrund höherer Gewalt, der Verhinderung eines Referenten, von Störungen am Veranstaltungsort oder wegen zu geringer Teilnehmerzahl nicht möglich sein, werden die Teilnehmenden so früh wie möglich informiert.