Kontakt
  • SearchIcon

Sie sind hier:StartStudienangebotMasterstudiengängeDigitale ForensikInhalte

Inhalte

Studienziele, Zielgruppe & Curriculum

Mit unseren Inhalten werden Sie zum hoch qualifizierten Spezialisten an der Schnittstelle von Recht und Informationstechnik, der interdisziplinär Projekte und Fragestellungen in Folge von Cyberdelikten bearbeiten kann. Sie lernen hochaktuelles Fachwissen, womit ein praxisorientierter Kompetenzaufbau.

Der berufsbegleitende Master wurde erstmals im Wintersemester 2010/11 angeboten und ist seitdem einer der erfolgreichsten Weiterbildungsstudiengänge in diesem Themenbereich. Das Ziel des Studienganges ist es, Sie in die Lage zu versetzen, forensische Methoden, Prozesse und Werkzeuge kritisch zu hinterfragen, zu verstehen und anzuwenden. Mit unseren qualitativ hochwertigen Modulen lernen Sie bei uns einmaliges Spezialwissen.

Digitale Forensik

Damit Straftaten im Cyberspace wirksam verfolgt werden können, müssen die oft schwer nachvollziehbaren Spuren auf digitalen Geräten bis zur Quelle nachverfolgt und so gesichert werden, dass sie auch als Beweismittel in einem Strafverfahren vor Gericht eingesetzt werden können. Die wissenschaftlich-methodischen Grundlagen dafür bilden den Kern der Digitalen Forensik. Die Digitale Forensik, häufig auch als Computerforensik oder IT-Forensik bezeichnet, wird überall dort eingesetzt, wo digitale Daten Ziel, Mittel oder Katalysator eines Strafdeliktes sind. IT-Forensik entwickelt sich immer weiter und das Anwendungsgebiet wird immer größer.

Versetzen Sie sich in die Rolle eines Hackers! Lassen Sie sich zum Digitalen Forensiker ausbilden.

Ausrichtung

Dabei richtet sich der Studiengang auch an Personen ohne Informatik-Erststudium. Das erste Semester wurde speziell konzipiert, um Studierenden ohne tiefgreifende Informatikkenntnisse eine fundierte Basis für die späteren Module bereitzustellen.

Als erfolgreicher Absolvent können Sie im komplexen Umfeld der Cyberkriminalität Sicherheitsvorfälle kriminaltechnisch aufbereiten, forensische Untersuchungen mit wissenschaftlichem Know-how durchführen und diese vor Gericht vertreten.

Auf den Punkt gebracht bestehen die Studienziele des Masterstudiengangs Digitale Forensik hauptsächlich aus der Vermittlung folgender profunder Kenntnisse und Fertigkeiten:

  • Umfassendes technisches IT-Wissen inklusive detailliertem Know-how über Computer und Netzwerke.

  • Genaue Methodenkenntnis der Digitalen Forensik inklusive spezifischer Vorgehensweisen bei der Identifikation, Sicherung und Analyse aller Arten digitaler Beweismittel.

  • Juristische Grundlagen, sodass Sie sich später in der Berufspraxis der möglichen rechtlichen Konsequenzen ihres Handelns bewusst sind.

  • Viel Praxiserfahrung, um Ihnen nach dem Studium eine schnelle Einarbeitung in die praktische Berufstätigkeit zu ermöglichen.

Grundsätzlich müssen Sie während des Studiums auf der einen Seite ein Verständnis dafür entwickeln, wie sich die verschiedenen forensischen Wissenschaften gegenseitig beeinflussen und welche ermittlungstechnische Reihenfolge dadurch bedingt ist.

Wichtig ist auf der anderen Seite für die spätere Berufspraxis auch, sich in diesem hochsensiblen Gebiet immer wieder mit Fragen der persönlichen Ethik, Moral und Professionalität auseinanderzusetzen, da Integrität und Glaubwürdigkeit essenzielle Voraussetzungen für die Tätigkeit als Experte für Digitale Forensik sind.

Die digitale Forensik findet – neben der Aufarbeitung von Vorfällen im Bereich der Computerkriminalität – auch noch in weiteren Gebieten Anwendung, zum Beispiel, um geschlossene Systeme zu überprüfen oder Fehlfunktionen aufzuspüren.

Der Masterstudiengang Digitale Forensik richtet sich an Beschäftigte der polizeilichen Strafverfolgung und Strafverteidigung, der Staatsanwaltschaften, der Steuerfahndung sowie an Zoll- und Einwanderungsbehörden, Sachverständigenbüros, IT-Unternehmen, Wirtschaftsprüfungsgesellschaften, Banken und Sicherheitsconsulting. Wenn Sie beispielsweise als Sicherheitsbeauftragter, Systemadministrator, IT-Vorfallsbehandler, Revisor, Sicherheitsberater, Ermittler oder Gutachter arbeiten und ein entsprechendes Erststudium absolviert haben, dann haben Sie die Basis für eine zukünftige Tätigkeit als Ermittlungs-Experte für Digitale Forensik schon geschaffen und erfüllen die Grundvoraussetzungen für den Masterstudiengang.

Durch unser Fernstudiengangkonzept und unsere E-Learning-Angebote, müssen unsere Studierenden nicht vor Ort sein und somit haben wir Teilnehmer aus dem kompletten Bundesgebiet, der Schweiz und Österreich.

Curriculum - Neue Version 2023

Unser Masterstudiengang Digitale Forensik bildet Sie zum hoch qualifizierten Spezialisten an der Schnittstelle von Recht und Informationstechnik aus, der interdisziplinär Projekte und Fragestellungen in Folge von Cyberdelikten bearbeiten kann. Im Studium wird von hochkarätigen Dozenten aus Wirtschaft, Informatik, Recht, Verwaltung und Forschung fundiertes Wissen der Computer-, Rechts- und Wirtschaftswissenschaften vermittelt, das Sie später sowohl in Theorie als auch in Praxis als digital forensischer Experte auszeichnet.

Überarbeitetes Curriculum 2023
Gemeinsam mit Vertretern von Ermittlungsbehörden und Leitern von Abteilungen für digitale Forensik verschiedener Unternehmen wurde ein neues Curriculum entwickelt, das 2023 erstmals angeboten wird.
 

1. Semester

Das Modul „Informatik und Programmierung“ bietet entsprechendes Basiswissen, um weiterführende Thematiken der Informatik besser verstehen zu können. Ihnen als Lernenden werden im ersten Studienbrief „Informationsverarbeitung im Computer“ Grundlagen des Bereiches Informationsverarbeitung vermittelt. Sie werden insbesondere mit computerinternen Zahlen- und Stellenwertsystemen sowie der Zeichencodierung (ASCII, Unicode) und logischen Operatoren vertraut gemacht.

Im zweiten Studienbrief „Rechnersysteme“ des Moduls erhalten Sie einen Einblick in den Aufbau von Computersystemen und deren Bestandteile. Sie sollen Kenntnisse über grundlegende Prinzipien der Datenund Informationsverarbeitung als abstraktes Schema eines Rechners sowie die elementare Struktur und das Zusammenwirken verschiedener Bestandteile von Computern erwerben.

Im dritten Studienbrief „Rechnernetzwerke“ des Moduls werden Grundverständnisse für Netzwerke und die elektronische Kommunikation vermittelt. Zunächst erfassen Sie Begriffe der Netzwerktechnik und im weiteren Verlauf erlangen Sie insbesondere Kenntnisse über das Internet, Adressierung und Kommunikationsabläufe.

Im vierten Studienbrief „Einführung in die Programmierung“ wird in die Grundlagen der Programmierung eingeführt. Anhand von abstrakten allgemeingültigen Aussagen werden verschiedene Konzepte vermittelt.

Der letzte Studienbrief „IT-Sicherheit“ vermittelt einen allgemeinen Überblick über die grundlegenden Begriffe der IT-Sicherheit und stellt exemplarisch einige Sicherheitsvorfälle vor. Dadurch können Schwachstellen eingeschätzt werden und welche Bereiche eines Systems verletzt worden sind.

Nach Durcharbeiten des Moduls sind Sie mit Fachtermini vertraut und besitzen grundlegende Kenntnisse in den Bereichen Informationsverarbeitung, Computerhardware, Programmierung und IT-Sicherheit.

Mit den Kenntnissen von Modul 102 werden Sie in die Lage versetzt, innerhalb konkreter Betriebssystemumgebungen schnell und effektiv zu arbeiten sowie Programme zu erstellen, welche die Arbeitsumgebung steuern. Zentral hierfür ist das Arbeiten auf der so genannten Kommandozeile und mittels Kommandointerpretern (Shells). Die hierbei erstellten Programme nennt man „Skripte“. Solche Programme sind in der Praxis wichtig, um wiederkehrende Aufgaben zu automatisieren, etwa im Rahmen der Auswertung großer Datenmengen. Nach der Bearbeitung dieses Moduls sind Sie in der Lage, Gemeinsamkeiten und Unterschiede der verschiedenen Skriptprogrammierungsarten zu erkennen und Betriebssysteme durch den Einsatz von Skripten an die eigenen Bedürfnisse anzupassen. Das Modul „Einführung in Betriebssysteme und Methoden der Informatik“ steht in Bezug zu den weiteren Modulen 104 Programmieren im Forensik-Umfeld und 107 Betriebssysteme und Betriebssystemforensik, wo die Sicht auf Betriebssysteme und deren Nutzung vertieft wird.

Das Modul „Webtechnologien und Internetdienste“ führt den Leser vom ersten Überblick über Zusammenhänge und Entstehung des World Wide Webs bis hin zur Verwendung neuester Webtechnologien. Dem Lernenden werden Kenntnisse über die Verwendung von Webbrowser und Webserver sowie deren Kommunikation vermittelt. Dazu wird auf die gebräuchlichsten Internetprotokolle (HTTP, HTTPS) näher eingegangen.

Die Hauptaufgabe des World Wide Webs dient der visuellen Darstellung von Informationen und unterschiedlichen Inhalten. Eine standardisierte Struktur- bzw. Auszeichnungssprache zur Erstellung von Inhalten ist HTML. Hierzu soll der Lernende grundlegende Kenntnisse der HTML-Syntax erlangen und in Form von Übungen anwenden.

Moderne erweiterte Inhalte spielen im Internet eine wichtige Rolle. Diese erlauben es dem Benutzer, mit Internetseiten zu interagieren. Erläuterungen zu JavaScript sollen dem Lernenden helfen, die wesentlichen Aspekte der dynamischen Websitegestaltung zu verstehen. Auch aktuelle Entwicklungen im Webbereich, wie beispielsweise das HTTP/3-Protokoll werden aufgegriffen.

Der Lernende soll mit Fachbegriffen vertraut werden und grundlegende Kenntnisse im Bereich der Internetkommunikation und -darstellung aufbauen.

2. Semester

Was wird Ihnen vermittelt?
Das Modul „Programmieren und Datenanalyse in der Forensik“ behandelt die Methodik der Programmentwicklung und der Programmanalyse für forensische Zwecke auf verschiedenen Sprachebenen. Sie lernen u. a. die Ablage von Programmcode und Programmdaten auf verschiedenen Abstraktionsebenen im Hauptspeicher (anhand der Programmiersprachen Assembler, C und Python) kennen.
 

Programmierkenntnisse in Assembler erschließen dem Forensiker die Möglichkeit, spezielle Abläufe in der Programmausführung, wie sie bei Schadcode auftreten, nachvollziehen zu können. Auch für Reverse Engineering fremder Programme sind Assembler-Kenntnisse unerlässlich.

Die Sprache C ist nach wie vor eine der am häufigsten eingesetzten Sprachen. Auch aufgrund der Sicherheitsrisiken von C ist es erforderlich, dass Forensiker sich mit dieser Sprache auseinandersetzen. Gerade die potentielle Möglichkeit in C, einen Speicherüberlauf zu erzeugen - sei es wegen eines fehlerhaften Entwurfs oder aber willentlich im Zuge eines Angriffs - wird in diesem Modul untersucht und selbst angewendet.

Die Sprache Python wird im Forensik-Umfeld aufgrund ihrer Spracheigenschaften und mächtigen Bibliotheken häufig eingesetzt. Mittels Python können in kurzer Zeit Anwendungen für komplexe Such- und Auswertevorgänge für forensische Untersuchungen entwickelt werden. Zudem wird Python auch für Angriffssoftware verwendet, weswegen Analysekenntnisse von Python-Code sehr wichtig sind.

Was können Sie nach erfolgreichem Abschluss des Moduls?
Die Studierenden verfügen nach erfolgreichem Abschluss des Moduls über grundlegende Kenntnisse in verschiedenen Programmierparadigmen und im Programmieren. Sie können einzelne Befehle und Funktionen verschiedenen Programmiersprachen wie Assembler (Maschinensprache), C (prozeduraler Ebene), sowie Python (objektorientierte Skriptsprache aus dem Forensik-Umfeld) zuordnen und sind in der Lage, Programmcodes zu analysieren und kleinere Teile zu erstellen. Die Studierenden haben Kenntnisse über programmbasierte Sicherheitsschwachstellen sowie einfache und komplexere Angriffsmechanismen aufgebaut und sind in der Lage, diese mit entsprechenden Werkzeugen nachzuvollziehen. Die Studierenden können Programme erstellen, die für die Analysen im Dienste der Digitalen Forensik wichtig sind.

Dieses Modul dient zum einen als Einführung in die forensischen Wissenschaften im Allgemeinen und zum anderen in die digitale Forensik im Speziellen. Sie kennen die generelle Terminologie des Gebietes und besitzen einen Überblick über die Gemeinsamkeiten und Unterschiede zwischen klassischer (nicht-digitaler) und digitaler Forensik. Sie können juristische Fragestellungen in technische Fragestellungen übersetzen und Ermittlerfragen anhand von Assoziationen dekonstruieren. Sie wissen, worauf Sie bei der Behandlung digitaler Spuren achten müssen und wie man eine verständliche und nachvollziehbare Dokumentation Ihres Vorgehens anfertigen kann.

Das Modul „Incident Response“ führt den Leser von den grundlegenden Prinzipien über die IT-Sicherheitsthematik bis hin zu Verfahren und Prozessmodellen zur sicheren Implementierung von Software. Dem Lernenden werden dabei insbesondere die Bedrohungen im IT-Umfeld vermittelt. Es werden Taxonomien aufbereitet und dargestellt, die für die Arbeit und Analyse als Netzwerk- und Datenforensiker von großer Relevanz sind.

Im ersten Studienbrief „Einführung in die IT-Sicherheit“ werden grundlegende Begriffe der IT-Sicherheit behandelt. Zusätzlich wird aufgezeigt welche grundsätzlichen Ziele mit IT-Sicherheit verfolgt werden bzw. welche schützenswerte Bereiche es gibt. Des Weiteren werden die häufigsten Schwachstellen und Bedrohungen näher betrachtet sowie Möglichkeiten dargestellt, wie diese mittels Hilfsmitteln (Prozesse) eine Einordnung und Analyse einer Gefährdungssituation vorzunehmen ist.

Im zweiten Studienbrief „Security Engineering“ werden die einzelnen Phasen des Security Engineerings und die konkrete Anwendung analysiert. Verschiedene Verfahren zur Einordnung von Risiko, Bedrohung und Schutzbedarf werden behandelt und es werden Maßnahmen vorgestellt, welche bei der sicheren Entwicklung von Software notwendig sind. Des Weiteren werden formale Prozesse zur Reaktion auf Sicherheitsvorfälle und der Erkennung und Analyse von Schadsoftware erläutert. Der Studienbrief schließt mit aktuellen Entwicklungen und einer Einführung in das Maschinelle Lernen mit Bezug zur IT-Sicherheit ab.

Im dritten Studienbrief „IT-Bedrohungen“ werden die verbreitetsten Bedrohungen im IT-Umfeld und die Unterschiede zwischen Viren, Würmern und Trojanern mit entsprechenden Beispielen vorgestellt. Zudem werden verschiedene Angriffsmethodiken und -szenarien anhand des OSI-Schichtenmodells bewertet und eingeordnet.

Im letzten Studienbrief „Penetration Testing“ wird das Grundverständnis für die methodische Vorgehensweise des Penetration Testing erläutert und die einzelnen Phasen an Hand von konkreten Fallbeispielen vorgestellt. Es wird aufgezeigt zu welchen Zwecken Penetrationtests durchgeführt werden und welche Bereiche des zu untersuchenden Gegenstands geprüft werden. Zudem wird ein Überblick über die rechtlichen Gesichtspunkte des Penetration Testings und eine Einschätzung, welche Werkzeuge und Praktiken unter welchen Umständen einen Straftatbestand darstellen, gegeben.

Nach erfolgreichem Abschluss des Moduls hat sich der Studierende grundlegende Kenntnisse im Bereich der IT-Sicherheit angeeignet und kann verschiedenen Szenarien einordnen sowie klassifizieren. Der Studierende ist in der Lage, allgemeine Empfehlungen zum Betrieb eines Rechners aufzuzählen und Werkzeuge zur Überprüfung der Sicherheit von IT-Systemen zu benennen und deren Einsatz zu erläutern. Des Weiteren erlangten die Studierenden einen ersten Einblick in die Praxis verbreiteter Werkzeuge. Sie sind sich bewusst, dass sich Penetrationtests nicht nur gegen IT-Systeme, sondern auch gegen den Faktor Mensch, durchführen lassen.

3. Semester

Was wird Ihnen vermittelt?
Im Modul 102 „Betriebssysteme und Shell-Programmierung“ haben Sie bereits gelernt innerhalb konkreter Betriebssystemumgebungen schnell und effektiv zu arbeiten, sowie kleine Skripte zu erstellen, wiederkehrende Aufgaben zu automatisieren, Anpassungen am Betriebssystem vorzunehmen und Informationen zu extrahieren.

Auf dieser Basis aufbauend werden Ihnen im vorliegenden Modul grundsätzliche Prinzipien und Aufgaben (aus Systemsicht) von Betriebssystemen vermittelt. Insbesondere betrachten wir dabei das MS-Windows Betriebssystem.

Folgende Lehrziele sollen erreicht werden:

Sie sollen...

  • Ziele, Aufgaben und Arten der aktuellen Betriebssysteme erfassen.
  • nebenläufige Objekte wie Prozesse und Threads verstehen und beobachten können.
  • Methoden der Interprozesskommunikation kennen und im Ansatz anwenden können.
  • nachvollziehen wie ein Betriebssystem arbeitet und Ressourcen wie Speicher, Geräte und Dateien verwaltet werden.
  • die Relevanz und Mechanismen des Betriebssystems für die Sicherheit erkennen.
  • Informationen zum Rechnersystem und zu Nutzeraktivitäten mit Hilfe des Betriebssystems für forensische Zwecke extrahieren können.
  • die Systemarchitektur von Microsoft Windows verstehen können.
  • die wichtigsten Systemprozesse und -komponenten von Microsoft Windows benennen können.
  • anhand des Betriebssystems Windows Logdateien, System- und Benutzerverzeichnisse sowie die Registry auf forensische Informationen analysieren und auswerten können.

Was können Sie nach erfolgreichem Abschluss des Moduls?
Mit diesen Kenntnissen und Fähigkeiten sind Sie in der Lage Betriebssysteme zu beurteilen und sowohl aus Benutzersicht als auch aus Systemsicht anzuwenden. Insbesondere sind Sie mit dem Betriebssystem Microsoft Windows vertraut. Sie verstehen die Auswirkungen des Betriebssystems auf die Systemsicherheit und kennen sicherheitsrelevante Schwächen und Eigenheiten der Betriebssysteme sowie Möglichkeiten zur Konfiguration von Betriebssystemen, welche die Sicherheit erhöhen. Zudem sind Ihnen die Mechanismen des Zusammenspiels von Hardware und dem Betriebssystem bekannt. Sie können betriebssystemspezifische Informationen von forensischer Bedeutung erfassen, analysieren und deuten.

In den grundlegenden Modulen haben Sie ausgewählte Aspekte von Rechnernetzen, wie Topologien, Kommunikationsarten und Protokolle (Modul 101), die Programmierung (Modul 104) sowie IT-Sicherheit von Rechnern und Netzen (Modul 106), kennengelernt.

Was wird Ihnen vermittelt?
Auf dieser Basis aufbauend, lernen Sie in diesem Modul die Technik der Rechnernetze näher kennen und wissen, wie Rechnernetze konzipiert und konfiguriert werden. Sie lernen Analysemethoden zur Nachverfolgung von Nachrichten kennen und können forensische Daten aus Netzwerkkomponenten extrahieren. In Studienbrief 4 können Sie anhand des virtuellen Routers IPFire forensische Analysen nachvollziehen.

Mit diesem Modul sollen folgende Lehrziele erreicht werden.

Sie sollen ...

  • Grundbegriffe der Informationsübertragung erfassen und typische Kenngrößen der Übertragung bestimmen können.
  • Hardware- und Softwarekomponenten von Rechnernetzen kennenlernen.
  • vertiefte Kenntnisse der Schichtenarchitektur mit den wichtigsten Protokollen und Formaten erhalten.
  • Ihre Kenntnisse von der Technologie Ethernet und den LAN-Protokollen TCP/IP erweitern und Datenströme analysieren sowie nachverfolgen.
  • Kenntnisse über wichtige Dienste wie E-Mail, HTTP, DNS erwerben und deren Nutzung analysieren.
  • Methoden des Netzwerkmanagements, insbesondere unter dem Sicherheits-Aspekt, kennenlernen und anwenden.
  • Zielnetzwerke und Netzdienste auswerten.
  • in die Lage versetzt werden, Informationen zum Rechnersystem und zu Nutzeraktivitäten aus den Vorgängen über die Netzwerke für forensische Zwecke extrahieren zu können.
  • Einblicke in Datengewinnung aus verschiedenen Netzwerkkomponenten erhalten.
  • das Vorgehensmodell des „Network Security Monitoring“ verstehen und anwenden können.

Was können Sie nach erfolgreichem Abschluss des Moduls?
Mit diesen Kenntnissen und Fähigkeiten sind Sie in der Lage, Datenübertragungen und Kommunikationsvor gänge in Rechnernetzen zu verstehen und zu analysieren. Sie können Rechnernetze einrichten und verwalten. Sie können einschätzen, welche forensisch wertvollen Informationen auf unterschiedlichen Netzwerkkomponenten gespeichert werden können. Des Weiteren wissen Sie, mit welchen Methoden ein Netzwerk überwacht und Netzwerkaufzeichnungen ausgewertet werden können.

Gute Voraussetzungen haben Sie, wenn Sie in Ihrem beruflichen Umfeld bereits mit juristischen Fragestellungen zu tun haben oder an juristischen Fragestellungen des Alltags interessiert sind.

Ziel dieser Grundlagenveranstaltung Informationsrecht ist, Ihnen einen Überblick über die wesentlichen Inhalte und Rechtsfragen der digitalen Forensik zu geben. Die Teilnehmer sollen dadurch in die Lage versetzt werden, die Problempunkte zu erkennen und ggf. durch entsprechende vertragliche Gestaltung Vorsorge zu treffen. Wichtig sind: der Erwerb von juristischen Grundlagen; Begriffe und Konzepte, Funktionen und Erscheinungsformen des Rechts; Rechtsanwendung und -durchsetzung; Einblick in juristische Methoden. Sie sollen befähigt werden, juristische Fachbegriffe zu identifizieren und einzuordnen.

Der strafrechtliche Rahmen wird in fortgeschrittenen Semestern mit den Modulen „Cyberkriminalität und Computerstrafrecht“, „Cyberkriminalität und Computerstrafprozessrecht“ sowie „Wirtschaftskriminalität“ konkretisiert und vertieft werden.

Die wesentlichen Ziele des Moduls Informationsrecht sind:

  • Vermittlung der juristischen Arbeitsmethode: Im Rahmen der Präsenzveranstaltung wird auch auf die juristische Methodik eingegangen werden, z.B. das Lesen von Gesetzen, Rechtsprechung und juristischer Literatur, Subsumtion, Auslegung von Rechtsnormen und anderen Texten, Recherche in juristischen Datenbanken u.a.
  • Überblick über das Recht und rechtliche Zusammenhänge
  • Überblick über die relevante aktuelle Rechtsprechung und Literatur
  • Vermittlung des erforderlichen Know-How, um im beruflichen und geschäftlichen Umfeld mit den juristischen Notwendigkeiten vertraut zu sein

4. Semester

Ein regelmäßiger Untersuchungsgegenstand in der digitalen Forensik ist unbekannte Software, deren Funktionsweise analysiert werden soll. Im Gegensatz zum „Software Engineering“, bei dem es um die Übersetzung von Anforderungen in Code geht, muss hier der umgekehrte Weg gegangen werden, also das Herauslesen von Anforderungen und Intentionen aus Software. Man spricht deshalb von „Software Reverse Engineering“, oder einfach nur kurz „Reverse Engineering“. In diesem Modul werden Sie mit dem Thema „Reverse Engineering“ bei der Softwareanalyse vertraut gemacht.

In der Praxis hat man es standardmäßig mit Software zu tun, deren Quellcode nicht verfügbar ist, die also nur in Binärform vorliegt. Hierauf, insbesondere im Hinblick auf die 32-Bit-Intel-Architektur IA-32 der x86-Prozessorfamilie und das Windows-Betriebssystem, spezialisiert sich auch dieses Modul. Sie werden nach Abschluss dieses Moduls in der Lage sein, einfache ausführbare Programme unter Windows mit entsprechenden Werkzeugen (im Wesentlichen IDA und OllyDbg) zu analysieren.

Zunächst wird Reverse Engineering definiert und in sein begriffliches Umfeld eingeordnet. Es wird aufgezeigt, welche Anwendungsfälle es für Reverse Engineering gibt. Es wird aber auch verdeutlicht, mit welchen Schwierigkeiten Reverse Engineering zu kämpfen hat und wo seine Grenzen liegen.

In den Studienbriefen 2 bis 4 werden die Grundlagen vermittelt, die ein Reverse Engineer beherrschen muss. Im Mittelpunkt dieses Moduls steht die Binärcodeanalyse, also die Analyse von Maschinenprogrammen. Um diese verstehen zu können, müssen die Hardware-technischen Details einer ausführenden Rechnerarchitektur bekannt sein. Ebenso muss der Reverse Engineer die Assemblerprogrammierung verinnerlicht haben. In Studienbrief 2 werden Aufbau und Programmierung von IA-32 eingehend behandelt, weil diese die heute dominierende Plattform im Bereich der Arbeitsplatzrechner ist. Sie sollten nach der Durcharbeitung dieses Studienbriefes in der Lage sein, Assemblerprogramme für IA-32 zu erstellen und zu verstehen. In diesem Studienbrief werden die Inhalte der Module M101 und M104 wieder aufgenommen und nochmals vertieft.

In Studienbrief 3 werden die allgemeinen Eigenschaften von Betriebssystemen wiederholt. Die erworbenen Kenntnisse knüpfen an die Module M102 und M107 an und vertiefen diese im Bereich Microsoft Windows. Windows wird daraufhin näher betrachtet. Es werden die wesentlichen Elemente von Windows detailliert vorgestellt, die für eine Programmanalyse wichtig sind. Dieser Studienbrief soll Ihnen die Fähigkeit vermitteln, Ablauf und Aufbau von Programmen und Verwaltungsstrukturen unter Windows zu verstehen und zu analysieren.

Im anschließenden Studienbrief 4 wird gezeigt, welche Codesequenzen auf Maschinenebene bei der Kompilierung von Hochsprachenprogrammen entstehen. Die erforderlichen Fähigkeiten zur Erkennung und Rekonstruktion von Hochsprachenkonstrukten in Assembler werden Ihnen vermittelt.

In Studienbrief 5 werden Ihnen Tools vorgestellt, die heute bei der Analyse von Maschinenprogrammen zum Einsatz kommen. Es werden sowohl die statische als auch die dynamische Analyse von Programmen an praktischen Beispielen vorgestellt. Nach dieser Einführung in die Benutzung der Tools sollten Sie selbstständig in der Lage sein, Reverse Engineering einfacher Programme durchzuführen.

Im abschließenden Studienbrief 6 werden wir uns etwas mit einem Haupteinsatzgebiet von Reverse Engineering beschäftigen, nämlich der Analyse von Malware. Dazu werden einige wesentliche Techniken vorgestellt, die bei realer Malware zum Einsatz kommen.

Dem Inhalt dieses Moduls sind überwiegend klassische Festplatten mit magnetischem Speichermedium zugrunde gelegt. Die Technik von modernen Solid State Drives (SSDs) wird aber ebenfalls behandelt. Da beide Technologien mit dem Serial-ATA-Standard kompatibel sind, werden Ihnen auch die Parallelen aufgezeigt.

Die Studienbriefe orientieren sich in der Methodik am Standardwerk der Datenträgerforensik „File System Forensic Analysis“ von Brian Carrier.

Studienbrief 1 befasst sich mit den Grundlagen, die für dieses Modul notwendig sind. Sie erlernen die Systematik der Datenanalyse anhand des Schichtenmodells von Carrier und die notwendigen Analyseschritte. Nachfolgend erhalten Sie einen Überblick über einige Computerforensik-Programme, die Sie auch teilweise in diesem Modul anwenden werden. Sie kennen die Technik von klassischen Festplatten und modernen SSDs und kennen darüber hinaus verborgene Datenbereiche und weitere „Verstecke“ bei Speichermedien. Abschließend erlernen Sie das Sichern von Speichermedien und können forensisch korrekte Abbilder erstellen.

In Studienbrief 2 erlernen Sie das Konzept der Partitionierung, sowie weiterführende Konzepte wie „Redundant Array of Independent Disks“ (RAID). Sie lernen den Aufbau des Master Boot Record, sowie dessen Nachfolger GPT und der Partitionstabelle kennen.

Studienbrief 3 schließt die Grundlagen mit der Analyse von Dateisystemen ab. Sie kennen die grundlegenden Eigenschaften und Aufgaben eines Dateisystems und haben die fünf Kategorien Dateisystem, Inhalt, Metadaten, Dateinamen und Anwendungen kennengelernt. Zu jeder Kategorie sind Ihnen die Möglichkeiten der Analyse und die Suchtechniken bekannt und Sie können diese anwenden.

In den nachfolgenden Studienbriefen 4 bis 6 lernen Sie die spezifischen Merkmale der einzelnen Dateisysteme und die damit verbundenen forensischen Möglichkeiten kennen. Das Referenzmodell von Carrier begleitetSie dabei durch alle drei spezifischen Studienbriefe und ermöglicht Ihnen, direkte Vergleiche zwischen den unterschiedlichen Dateisystemen zu ziehen. Nach erfolgreichem Abschluss des Moduls sind Sie in der Lage, die Analysemethodik des Referenzmodells auf bisher nicht vertraute Dateisysteme anzuwenden.

Studienbrief 4 beschäftigt sich mit den Strukturen des FAT-Dateisystems anhand des Carrier-Referenzmodells. Es wird vermittelt, wie Sie wichtige Informationen, wie z. B. Dateinamen, Inhalte von Dateien oder Verzeichniseinträge, gewinnen können. Sie können Dateien, soweit dies möglich ist, anhand von Informationen des Datenträgers, des Dateisystems, der Metadaten, der Dateinamen und der Inhaltsdaten durchsuchen und wiederherstellen. Sie können durch richtige Anwendung der gezeigten Analyseschritte bestimme Szenarien, z. B. unter Auswertung von Allokationsstrategien und Zeitstempeln, überprüfen.

Der Studienbrief 5 behandelt das Dateisystem ext. Dabei können Sie die im Studienbrief 4 angewandte Vorgehensweise auf dieses Dateisystem adaptieren. Zudem werden die forensischen Möglichkeiten aus den erweiterten Informationen der Kategorien Metadaten, Dateinamen und Anwendungen vermittelt. Analyseschritte für bestimme Szenarien können als Referenz herangezogen werden.

In Studienbrief 6 wird das Dateisystem NTFS behandelt. Neben dem bereits bekannten Referenzmodell nach Carrier, wird primär auf das Konzept der Master File Table eingegangen. Es werden die darin enthaltenen MFT-Einträge erläutert und die forensischen Möglichkeiten aufgezeigt. Die einzelnen Einträge in der Master File Table verfolgen ein weiteres Konzept, welches ebenfalls in diesem Studienbrief behandelt wird.

Was wird Ihnen vermittelt?
Das Modul »Informationsrecht« thematisierte die Grundzüge der deutschen Rechtsordnung und ihre zivil- und verwaltungsrechtlichen Ausformungen und stellte Bezüge zur Verwendung von Informationstechnologie her.

In diesem Modul lernen Sie nun die strafrechtlichen Grundzüge der deutschen Rechtsordnung und die Strafbestimmungen zu Computerstraftaten kennen.

Mit diesem Modul sollen folgende Lehrziele erreicht werden: Sie sollen

  • die Einordnung des Strafrechts in die Gesamtrechtsordnung, seine Vorzüge, aber auch seine Nachteile im Vergleich mit zivil- und verwaltungsrechtlichen Regelungsmodellen nachvollziehen.
  • ein Verständnis für die Relevanz der Grundrechte und des Prinzips der Verhältnismäßigkeit für das Strafrecht entwickeln.
  • die mehrstufigen Voraussetzungen strafrechtlicher Verantwortlichkeit (Tatbestand, Rechtswidrigkeit und Schuld) kennen lernen.
  • computerstrafrechtlich relevante Straftatbestände einordnen und beurteilen sowie diesbezüglich in praxisrelevanten Fällen rechtmäßiges von strafrechtswidrigem Verhalten unterscheiden können.

Was können Sie nach erfolgreichem Abschluss des Moduls?
Diese Kenntnisse und Fähigkeiten sollen Ihnen ermöglichen, den Anlass und auch den Umfang forensischer Analysen für Strafverfolgungszwecke beurteilen zu können. Sie verstehen die Relevanz strafrechtlichen Verhaltens und die Brisanz strafrechtlicher Reaktion auf Verhaltensweisen. Dieses Wissen können Sie nutzen, um auch den Aspekt der Strafrechtsdurchsetzung, mithin strafprozessrechtlicher Fragestellungen, im Modul »Computerkriminalität und Cyberstrafprozessrecht« fundiert zu beleuchten.

5. Semester

Ein Großteil der Systeminteraktion erfolgt heute durch Anwendungsprogramme wie Browser, E-Mail-Clients, oder Office-Software. Die Spuren, die dadurch auf der Festplatte oder im Speicher entstehen, sind für eine Ermittlung in der Regel hochgradig relevant.

Zusätzlich zur Identifikation von interessanten Dateien, die beim Verwenden von Anwendungen angelegt, modifiziert oder gelöscht werden (vgl. M105), ist auch die Interpretation sowohl solcher Spuren als auch von konkreten Dateiinhalten essentiell, um forensische Fragestellungen zu beantworten. Hierzu zählen beispielsweise der Zeitpunkt des letzten Programmstarts, ob eine bestimmte Anwendungsaktion durch einen Benutzer ausgeführt wurde, oder ob eine zurückliegende Installation trotz Deinstallation nachgewiesen werden kann. Solche Sachverhalte lassen sich etwa mit der Ermittlung charakteristischer Spuren belegen.

In dieser Lehrveranstaltung untersucht jede/r Teilnehmer/in eigenständig eine existierende, forensisch relevante Anwendung, verfasst einen forensischen Bericht über das Untersuchungsvorgehen und die ermittelten Spuren und vertritt diese Analyse im Rahmen eines wissenschaftlichen Fachvortrages vor einem kritischen Publikum.

Ziele und Nicht-Ziele
Wir geben eine Einführung in verschiedene Techniken und Methoden der digitalen Forensik, die bei der Analyse eines “lebenden” IT-Systems benötigt werden (“Live Analyse”). Im Unterschied zur Analyse von “toten” Systemen hat man es bei der Live Analyse verstärkt mit flüchtigen digitalen Spuren zu tun sowie mit der Tatsache, dass man das untersuchte System notwendigerweise verändern muss, wenn man es untersucht.

Wir stellen diverse forensische Werkzeuge vor und erläutern ihre grundlegende Funktionsweise. Ziel dabei ist aber nicht die Schulung an speziellen forensischen Werkzeugen sondern die Vermittlung grundlegenden Verständnisses der Methoden und Vorgehensweisen der Live Analyse.

Was können Sie nach erfolgreichem Abschluss des Moduls?
Nach Abschluss dieses Moduls kennen Sie die Risiken und Chancen der Live Analyse und sind in der Lage diese im Einzelfall gegeneinander abzuwägen. Weiterhin kennen Sie verschiedene Methoden und Werkzeuge, um eine forensische Live Analyse durchzuführen, können deren Arbeitsweise erklären und sind in der Lage, sich detailliert in diese Werkzeuge einzuarbeiten. Sie kennen die Schritte, die zur Vorbereitung einer Live Analyse zur Gewinnung von öffentlich zugänglichen Informationen eingesetzt werden können. Mit Abschluss der Übungen lernen Sie, Ihr Wissen in der Praxis anzuwenden.

Was wird Ihnen vermittelt?
Das Modul »Informationsrecht« thematisierte die Grundzüge der deutschen Rechtsordnung und seine zivil- und verwaltungsrechtlichen Ausformungen in Bezug auf die Verwendung von Informationstechnologie; das Modul »E-Evidence« zeigte die materiell-strafrechtlichen Aspekte der strafrechtlichen Reaktion auf Unrecht im Internet auf. Zudem wissen Sie aus den Medien über einige öffentlichkeitswirksame Strafprozesse im nationalen Kontext, aber auch etwa in den USA Bescheid.

In diesem Modul lernen Sie nun die strafprozessrechtlichen Grundzüge der deutschen Rechtsordnung und deren europäische und internationale Überformung kennen

Was können Sie nach erfolgreichem Abschluss des Moduls?
Mit diesem Modul sollen folgende Lehrziele erreicht werden:

  • Sie entwickeln ein Verständnis für die Relevanz der Grundrechte und des Prinzips der Verhältnismäßigkeit für das Strafprozessrecht.
  • Sie verstehen den Ablauf eines Strafverfahrens und dabei die jeweilige Bedeutung des Ermittlungsund des Hauptverfahrens.
  • Sie können mit computerstrafrechtlich relevanten Ermittlungsbefugnissen umgehen und erkennen die Grenzen rechtsstaatlichen Handelns.
  • Sie erlernen, auf welche Sachverhalte deutsches Strafrecht Anwendung findet, und wie das deutsche Strafrecht auch dann durchgesetzt werden kann, wenn sich ein Beschuldigter oder Beweismittel im Ausland befinden.

Mit diesen Kenntnissen und Fähigkeiten sollen Sie die rechtlichen Rahmenbedingungen für computerforensische Analysen beurteilen können. Sie verstehen die Relevanz und Brisanz strafprozessualer Ermittlungsbefugnisse.

6. Semester

Sie verstehen den Aufbau und die Funktionsweise von den mobilen Betriebssystemen Android sowie iOS.
Sie kennen nach erfolgreichem Absolvieren dieses Moduls die grundlegenden Methoden zur Vorbereitung
einer forensischen Analyse von Android- und iOS-Mobiltelefonen und können diese auch durchführen. Die
Werkzeuge zur Analyse des Telefons sowie dessen Applikationen können sie anwenden und deren Vor- und
Nachteile sind Ihnen bekannt. Ebenso wissen Sie, wo sich auf einem Android- oder iOS-basierten Endgerät
interessante Daten für eine forensische Untersuchung befinden und wie Sie an diese gelangen können.

Im Rahmen dieses Moduls haben Sie kommerzielle wie auch Open-Source-Werkzeuge kennengelernt, die
Ihnen bei diesen Aufgaben hilfreich sein können, aber Sie wissen auch, wie diese Tools unter der Haube
funktionieren und wie Sie ähnliche Aktionen manuell durchführen können. Dies hilft Ihnen beim Erläutern
und Verteidigen von komplexen Vorgängen, die Ihnen im realen Alltag die Tools abnehmen, deren Funktion
aber oft hinterfragt wird.

Sie kennen nach Abschluss dieses Moduls die gängigen Tools und Techniken zur Analyse von potentieller
Malware basierend auf dem Android-Betriebssystems und können einfache Applikationen für Android
programmieren und analysieren und sind mit der sicherheitskritischen Betrachtung dieser Applikationen
vertraut. Sie verstehen die potentiellen Gefahren, die in mobilen Applikationen stecken können nicht nur
aus der Sicht eines Nutzers, sondern auch aus der Sicht eines Ermittlers der im Rahmen von forensischen
Analysen auf diese Applikationen stoßen kann.

Was wird Ihnen vermittelt?
In diesem Modul werden Ihnen die Grundkenntnisse und teilweise vertiefte Kenntnisse des Wirtschaftsstrafrechts vermittelt. Der vermittelte Stoff ist dabei weit gefächert und nahezu flächendeckend. Auf die Straftaten, die häufig im Zusammenhang mit digitalen Medien stehen, wird dabei besonders eingegangen.

Was können Sie nach erfolgreichem Abschluss des Moduls?
Wenn Sie dieses Modul sorgfältig durchgearbeitet haben, sind Sie in der Lage, wirtschaftsstrafrechtlich relevante Sachverhalte sicher zu erkennen und rechtlich zu lösen. Zudem weisen Sie ein fundiertes Grundwissen in den verschiedenen Materien des Wirtschaftsrechts und seiner Funktionsweise auf.

Die Methoden der digitalen Forensik werden typischerweise nach Spurenarten getrennt gelehrt und eingeübt (Datenträgeranalyse, Live Analyse etc.). In der Praxis müssen jedoch je nach Fall die richtigen Methoden aus dem zur Verfügung stehenden Spektrum ausgewählt und im Zusammenhang angewendet werden. Hierbei stehen konkrete Ermittlungsfragestellungen im Vordergrund, die zunächst auf technische Fragestellungen reduziert werden müssen. Anschließend erfolgt die Auswahl und Anwendung der Methoden. In dieser Lehrveranstaltung bearbeiten die Teilnehmer in Kleingruppen über das Semester hinweg einen komplexeren Fall und müssen dort die jeweils richtigen Methoden auswählen und anwenden. Die Erkenntnisse sollen in Form eines forensischen Berichts fixiert und im Rahmen des Präsenzwochenendes verteidigt und diskutiert werden.

7. Semester

Inhalte sind abhängig vom Thema der Master-Thesis.

Modulhandbuch (PDF) Prüfungsleistungen (PDF) Studien- und Prüfungsordnung (PDF)

Sie interessieren sich für unseren Studiengang und möchten mehr darüber erfahren?

Weitere Informationen & Anmeldung Online Info-Veranstaltung

Sie interessieren sich für unseren Masterstudiengang Digital Forensics und das Zertifikatsprogramm, sind aber noch unschlüssig oder haben noch offene Fragen? Dann nehmen Sie Kontakt mit uns auf. Nutzen Sie die Gelegenheit und lassen Sie sich Ihre Fragen zum Studienverlauf, zum Bewerbungs- und Auswahlverfahren und zur Organisation des Masterstudiengangs beantworten. Gerne senden wir Ihnen auf Anfrage auch Leseproben und einen Testzugang zu unserem E-Learning-System zu.

Darüber hinaus bieten wir regelmäßig Informationsveranstaltungen für Interessentinnen und Interessenten am berufsbegleitenden Masterstudiengang Digital Forensics an. Aufgrund des Fernstudiencharakters des Studienganges finden die Informationsveranstaltungen als Online-Meeting in MS Teams statt. Die Veranstaltung findet in einem virtuellen Konferenzraum statt. Per Chat können Sie uns alle offenen Fragen stellen. In einer ausführlichen Präsentation erfahren Sie alles Wissenswerte über das Studienangebot und haben die Möglichkeit, Antworten auf alle Fragen zum Studienablauf, zum Bewerbungs- und Auswahlverfahren und zur Organisation des Masterstudiengangs zu erhalten.

Anmeldung Online Informationsveranstaltung