Nabend Leute.

Ich bin zur Zeit Azubi im 2. Lehrjahr und habe den Auftrag erhalten, zu prüfen, ob man in unserer Firma eine IT-Forensik-Station aufbauen und betreiben kann.
Dazu soll ich sowohl die finanziellen als auch die technischen (Hardware und Software) Aspekte beachten und meinen Entscheidungsprozess dokumentieren.

Bisher habe ich mich bisschen in die Thematik eingelesen und muss sagen, dass es echt interessant ist. Jedoch muss ich auch zugeben, dass mir (noch) IT-Kenntnisse fehlen, die mich vor allem bei den Hardwareaspekte in Schwierigkeiten bringen.


Das weiß ich bisher:

1) Man braucht einen/unterschiedliche Hardware-Writeblocker.
2) Man braucht Software, die zum einen ein forensisches Image erstellt. Zum anderen muss die Software diverse Analysemöglichkeiten bringen.
3) Man braucht reichlich Datenträger, um physische Abbilder erstellen zu können.
4) Man muss sich mit Hashfunktionen/Zahlensystemen auskennen.
5) Drive Slack und RAM Slack (grob).


Hierzu habe ich Fragen:

zu 1) Der Writeblocker unterbindet ja Schreibvorgänge auf das zu duplizierende Medium. Die Frage ist jetzt, was hardwareseitig und auf Seiten des Betriebssystems eigentlich passiert, wenn man den Datenträger direkt an die Arbeitsstation schließt (Ohne Writeblocker)? Greift das Betriebssystem im Hintergrund irgendwie auf den Datenträger zu, wenn er gemountet ist, auch wenn ich völlig bewusst nicht auf ihn schreibe?
Muss ich nach dem Writeblocker direkt den Datenträger anschließen oder kann man bedenkenlos Adapter zwischenschalten?

zu 2) Was kann eigentlich alles analysiert werden? Bisher habe ich testweise nur ein Image erstellt und dort bisschen "rumgeschaut". Hab da zB. File-Slack-Dateien gefunden, die ich mit mit dem Hex-Editor "lesen" konnte. Ich denke aber, dass das längst noch nicht alles ist. Und ich denke, dass das wahrscheinlich abhängig von der benutzten Software ist

zu 3) Kann ich Image auch auf externe Datenträger schreiben, ohne die Kopie zu verfälschen? Oder sollte eine interne Festplatte für die Imageerstellung benutzt werden?


Das sind so bisher meine Fragen, wo ich grad etwas auf dem Schlauch stehe.

Wenn du bis hier gelesen hast, bedanke ich mich schonmal

Hi!

Klingt echt spannend. Wobei sich mir hier die Frage stellt, was genau man mit dieser Aufgabe bei einem Azubi bezweckt (bitte nicht falschverstehen:-)). Hast du denn aus deinem (falls vorhand) früheren Berufsleben Erfahrung, dich dafür besonders qualifiziert oder bist du in der "üblichen Laufbahn", sprich nach Schule Ausbildung gestartet?

Vermute, dass hier bei dem Thema (natürlich stark abhängig von dem Ausbildungsberuf, den du hast) eher im Vordergrund stehen könnte, das ganze wirtschaftlich zu betrachten, ob es denn überhaupt einen sinnvollen Ansatz gibt, das selbst darzustellen oder die Dienstleistung weiterhin zuzukaufen.

Falls ich total daneben liege, einfach ignorieren

Hey.

Also bis auf das erste Ausbildungsjahr habe ich eigentlich keine Erfahrungen in der IT.

Aber du hast recht. Es soll in erster Linie um die wirtschaftlichen Aspekte gehen, ob es sich lohnen würde und wieviel man investieren müsste. Dazu muss ich aber erstmal eine grundlegende Idee von der ganzen Thematik haben und dachte mir, dass ich meine Fragen mal hier poste

Zitat:

Zitat von Sinuss

und dachte mir, dass ich meine Fragen mal hier poste

Was grundsätzlich auch ok ist. Bei deinen Detailfragen kann ich dir letztlich nicht weiterhelfen.

Wenn du genügend Zeit hast, dich entsprechend detailliert mit dem Thema auseinanderzusetzen, soll dich keiner davon abhalten. Wissen schadet nicht und tut auch nicht weh, vor allem bleibt selbst angeeignetes einfach auch meist für die Ewigkeit erhalten. Inwieweit du das dann mal verwerten kannst, steht auf einem anderen Blatt.

Falls hingegen Zeit knapp ist und/oder noch andere Sachen erledigt werden müssen, würde ich dir (vorbehaltlich dessen, was dein Ausbilder dazu spricht) empfehlen, dich auf das wesentliche zu konzentrieren: Was kannst du an "Aufträgen" erwarten und was brauchst du, damit das sinnvoll und vollumfänglich realisiert werden kann. Wie gehst du bei deiner Betrachtung mit Themen wie Urlaub oder Krankheit um, wenn du bspw. nur eine Person sinnvoll ausgelastet werden kann, die dann aber ausfällt, etc.

Das alleine wird bereits sehr zeitintensiv sein, hilft dir aber, um eine erste Einschätzung zu bekommen, ob überhaupt eine wirtschaftliche Darstellung möglich wäre.

Ist jetzt alles aber vorbehaltlich deiner konkreten Aufgabenstellung und dessen, was du im Austausch mit deinem Ausbilder dazu weiteres bekommen hast, zu verstehen.

Auf kaufmännischer Ebene kann ich dir Ratschläge geben. Bei IT-Forensik bin ich jedoch "raus"

Zitat:

Zitat von _sTaNlEy_

Was grundsätzlich auch ok ist. Bei deinen Detailfragen kann ich dir letztlich nicht weiterhelfen.

Wenn du genügend Zeit hast, dich entsprechend detailliert mit dem Thema auseinanderzusetzen, soll dich keiner davon abhalten. Wissen schadet nicht und tut auch nicht weh, vor allem bleibt selbst angeeignetes einfach auch meist für die Ewigkeit erhalten. Inwieweit du das dann mal verwerten kannst, steht auf einem anderen Blatt.

Falls hingegen Zeit knapp ist und/oder noch andere Sachen erledigt werden müssen, würde ich dir (vorbehaltlich dessen, was dein Ausbilder dazu spricht) empfehlen, dich auf das wesentliche zu konzentrieren: Was kannst du an "Aufträgen" erwarten und was brauchst du, damit das sinnvoll und vollumfänglich realisiert werden kann. Wie gehst du bei deiner Betrachtung mit Themen wie Urlaub oder Krankheit um, wenn du bspw. nur eine Person sinnvoll ausgelastet werden kann, die dann aber ausfällt, etc.

Das alleine wird bereits sehr zeitintensiv sein, hilft dir aber, um eine erste Einschätzung zu bekommen, ob überhaupt eine wirtschaftliche Darstellung möglich wäre.

Ist jetzt alles aber vorbehaltlich deiner konkreten Aufgabenstellung und dessen, was du im Austausch mit deinem Ausbilder dazu weiteres bekommen hast, zu verstehen.

Auf kaufmännischer Ebene kann ich dir Ratschläge geben. Bei IT-Forensik bin ich jedoch "raus"

Stimmt. An diese Aspekte habe ich noch garnicht gedacht. Sind auf jeden Fall interessante Gedanken, die ich auch berücksichtigen werde

Im Endeffekt stellt sich die Frage, ob eine nicht in der IT-Forensik ausgebildete Fachkraft, sowas überhaupt durchführen sollte. Wenn man bedenkt, dass man darin den Master machen kann, finde ich persönlich es etwas "wenig" wenn man nur paar Bücher liest.

Zitat:

Zitat von Sinuss

Im Endeffekt stellt sich die Frage, ob eine nicht in der IT-Forensik ausgebildete Fachkraft, sowas überhaupt durchführen sollte.

Das kommt drauf an, was man sich als Ziel von der Aufgabenstellung erhofft. Ich denke nicht, dass die Erwartungshaltung dahingehend sein wird, eine perfekte Aufgabenlösung zu erwarten. Ist aber nur eine Vermutung

Was hast du denn genau für einen Ausbildungsberuf? Mir fällt da einer ein, bei dem ich meine, dass er einen derartigen Sachverhalt zumindest grob darstellen können sollte.

Wobei es dann aber nicht darum geht, in die Tiefe abzutauchen. Das ist in vielen Situationen oft auch garnicht gefordert bzw. auch nicht wünschenswert, weil du dich sonst nur in unnötigen Details verlierst, was zumindest eine erste Einwertung betrifft.

Wenn es an's Eingemachte geht, brauchst du dann natürlich Detailwissen oder greifst auf Leute im UN zurück, die das haben. Wenn beides nicht gegeben ist, wird das Know-How zugekauft.

EDIT: Und immer vor Augen halten: Du wächst mit deinen Herausforderungen :-)

Zitat:

Zitat von _sTaNlEy_

Das kommt drauf an, was man sich als Ziel von der Aufgabenstellung erhofft. Ich denke nicht, dass die Erwartungshaltung dahingehend sein wird, eine perfekte Aufgabenlösung zu erwarten. Ist aber nur eine Vermutung

Was hast du denn genau für einen Ausbildungsberuf? Mir fällt da einer ein, bei dem ich meine, dass er einen derartigen Sachverhalt zumindest grob darstellen können sollte.

Wobei es dann aber nicht darum geht, in die Tiefe abzutauchen. Das ist in vielen Situationen oft auch garnicht gefordert bzw. auch nicht wünschenswert, weil du dich sonst nur in unnötigen Details verlierst, was zumindest eine erste Einwertung betrifft.

Wenn es an's Eingemachte geht, brauchst du dann natürlich Detailwissen oder greifst auf Leute im UN zurück, die das haben. Wenn beides nicht gegeben ist, wird das Know-How zugekauft.

EDIT: Und immer vor Augen halten: Du wächst mit deinen Herausforderungen :-)

Also ich lerne den Informatikkaufmann. Da ist halt irgendwie alles drin, aber nichts so richtig

Du hast schon recht. Als ich mich in die Thematik eingelesen habe, habe ich gemerkt, dass mit der Zeit immer mehr Details auftauchten und es richtig kompliziert wurde.
Im Moment konzentriere ich mich aber erstmal auf die benötigte Hardware und Software.

Wenn es dann soweit ist, sieht man dann wie es weitergeht. Wir wollen in dem Unternehmen eine Forensikstation etablieren. Dazu muss dann aber erstmal die Hardware und Software für angeschafft werden. Das Know-How würde später hinzukommen, wenn es soweit ist

Sehe ich zwar eher kritisch, wenn ohne entsprechendes Fachwissen eine derartige Station aufgebaut wird. Vielleicht bewerte ich "IT-Forensik" aber auch einfach über und es verbirgt sich schlussendlich nicht soviel dahinter, wie ich meine. Aber das ist nur meine Meinung dazu und soll dich von deinem weiteren Vorhaben nicht abhalten.

IT-Kaufmann ist zumindest - was das grundsätzliche angeht - passend :-)

Wünsche dir viel Erfolg bei deinem weiteren Vorhaben. Evtl. meldet sich hier noch jemand, der Detailwissen in der Materie hat.

Danke Bin gespannt wie das hier enden wird


Finde das Thema selbst auch ziemlich anspruchsvoll. Immerhin kann man ja den Master in IT-Forensik machen. Dennoch ist es auch sehr interessant.
Und da ist die Frage, wie weit ich mit meinem Wissen vom 1. Ausbildungsjahr und 2 Semestern Wirtschaftsinformatik komme