Cybersecurity IT Forensik
Vorfälle & Reaktion

Nach dem Angriff: Beweise sichern, Ursachen klären.

Wir analysieren kompromittierte Systeme, rekonstruieren den Angriffsverlauf lückenlos und sichern gerichtsverwertbare Beweise. Von Endpunkten über Cloud bis zu mobilen Geräten.

Erstgespräch vereinbaren
Fallakte FA-2024-0847 AKTIV
Geräte in Bearbeitung
HP EliteBook 845 G8
Beweisstück 0847-A · Laptop
IMAGING
72%
Disk-Image · write-blocked · SHA-256 ausstehend
iPhone 14 Pro
Beweisstück 0847-B · Smartphone
GESICHERT
100%
Extraktion abgeschlossen · Hash verifiziert · gerichtsverwertbar
Dell Server R740
Beweisstück 0847-C · Server
WARTESCHLANGE
-
Geplant: RAM-Dump + Netzwerk-Logs + Event-Log
ISO 27037
Standard
3 Geräte
Beweisstücke
Aktiv
Chain of Custody
Forensik-Leistungen Ablauf Warum ITanic FAQ
Das Problem

Was nach einem Angriff passiert, entscheidet mehr als der Angriff selbst.

Die ersten Stunden nach einem Sicherheitsvorfall sind entscheidend. Falsch gesicherte Beweise sind vor Gericht wertlos. Unvollständige Analysen lassen Einfallstore offen. Und ohne klare Ursachenanalyse passiert dasselbe wieder.

Viele Unternehmen reagieren auf einen Angriff intuitiv: Systeme neu starten, Daten prüfen, Passwörter zurücksetzen. Jede dieser Handlungen kann Beweise vernichten und rechtliche Schritte dauerhaft unmöglich machen.

72h
NIS2-Meldepflicht nach Vorfallserkennung
60%
der forensischen Erstmaßnahmen werden falsch durchgeführt

Beweise falsch gesichert

Wer ohne forensische Methodik vorgeht, zerstört Beweise. Live-Systeme neu starten, Logs überschreiben, Dateien kopieren: all das macht gerichtliche Schritte unmöglich.

Ursache bleibt unklar

Ohne vollständige Analyse bleibt der initiale Einstiegspunkt oft unbekannt. Das Einfallstor bleibt offen und der nächste Angriff kann jederzeit folgen.

Behörden und Versicherung brauchen Nachweise

NIS2-Meldepflichten, Cyber-Versicherungen und strafrechtliche Verfolgung erfordern lückenlose, nachweisbar korrekte Dokumentation nach anerkannten Standards.

01 Forensik-Leistungen

Vollständige Analyse. Gerichtsverwertbare Dokumentation.

Wir sichern und analysieren digitale Spuren nach anerkannten forensischen Standards. Jeder Schritt ist dokumentiert, jeder Befund nachvollziehbar und gerichtsverwertbar.

Endpoint & Server
Windows · Linux · macOS · Timeline
Cloud-Forensik
Microsoft 365 · Azure · AWS · Logs
Mobile & IoT
Smartphones · Tablets · Wearables · IoT
Netzwerk & Logs
Firewalls · Server-Logs · Traffic · SIEM
Sicherung
RAM-Dump vor Systemabschaltung
Forensische Disk-Images (write-blocked)
Kryptographische Hash-Verifikation
Analyse
Vollständige Angriffs-Timeline
Identifikation des Einstiegspunkts
Lateral Movement Rekonstruktion
Dokumentation
Forensischer Bericht nach ISO 27037
Verwendbar für Behörden & Gerichte
NIS2-Meldepflicht Dokumentation
Chain of Custody: Beweissicherung Schritt für Schritt
EVD-01
Gerät sichern
Netzwerk trennen, nichts löschen, RAM-Dump
EVD-02
Disk-Image
Write-blocked, forensische Kopie erstellt
EVD-03
Hash-Verifikation
SHA-256, Integrität lückenlos belegt
EVD-04
Analyse
Timeline, Einstieg, Ausbreitung rekonstruiert
EVD-05
Bericht
ISO 27037, gerichtsverwertbar
Lückenlose Beweiskette
Kryptographisch verifiziert
Vor Gericht verwendbar
ISO 27037 konform
Akuter Vorfall? Rufen Sie uns jetzt an.
Telefonische Erstbegleitung sofort. Keine Warteschleife, kein Ticketsystem.
02 Ablauf

Von der ersten Meldung bis zum gerichtsverwertbaren Bericht.

Forensische Untersuchungen folgen einem klar definierten Prozess. Jede Abweichung kann Beweise vernichten und rechtliche Schritte unmöglich machen.

Forensischer Untersuchungsablauf

01

Erstmeldung & Erstabsicherung

Sie melden den Vorfall. Wir geben sofort telefonische Anleitung was zu tun ist und was auf keinen Fall getan werden darf.

0–2 Stunden
02

Geräteübernahme per Einschicken

Sie übergeben oder schicken uns die betroffenen Geräte physisch gesichert mit Übergabeprotokoll. Die Verpackung und der Transport erfolgen nach forensischen Anforderungen damit die Chain of Custody lückenlos bleibt.

Nach Absprache
03

Forensische Sicherung im Labor

RAM-Dumps, write-blocked Disk-Images und Logdaten werden kryptografisch gesichert. SHA-256-Hashwerte belegen die Unverfälschtheit aller Beweisstücke vor Gericht.

2–8 Stunden
04

Forensische Analyse und Rekonstruktion

Vollständige Rekonstruktion des Angriffsverlaufs. Wir ermitteln Einstiegspunkt, Ausbreitung, alle betroffenen Systeme und den gesamten Schaden.

1–5 Tage
05

Forensischer Abschlussbericht

Lückenloses Dokument mit Timeline, Befunden, Beweiskette und Handlungsempfehlungen. Verwendbar für Behörden, Gerichte und Versicherungen.

1–2 Tage
06

Nachsorge und Härtung

Auf Wunsch begleiten wir die Behebung der Schwachstellen und die Härtung der Systeme damit der nächste Angriff scheitert.

optional
NIS2 verpflichtet zur Meldung innerhalb von 72 Stunden.
Unser Forensikbericht liefert alle Informationen die Behörden für die Erstmeldung benötigen.
Erstgespräch vereinbaren
Warum ITanic

Was unsere Forensik von anderen unterscheidet.

Forensik ist keine Dienstleistung bei der gut genug reicht. Fehler in der Beweissicherung sind irreversibel.

Praxiserfahrung. Keine Lehrbuchmethodik.

Ransomware-Angriffe, Insider-Bedrohungen, APT-Kampagnen: wir haben sie forensisch aufgearbeitet. Was funktioniert, wissen wir aus echten Fällen, nicht aus Zertifizierungsunterlagen.

Berichte die vor Gericht standhalten.

ISO 27037, lückenlose Beweiskette, kryptographische Verifikation. Unsere Berichte wurden bereits in strafrechtlichen Verfahren verwendet, nicht nur in internen Analysen.

72 Stunden. Wir liefern was NIS2 verlangt.

Unser Abschlussbericht ist strukturiert für die behördliche Meldepflicht. Alle Pflichtangaben für die Erstmeldung und den Folgebericht sind enthalten und fristgerecht verfügbar.

Forensik und Reaktion aus einer Hand.

Während wir Beweise sichern, kann unser IR-Team parallel den Betrieb stabilisieren. Kein Zeitverlust durch Koordination zwischen externen Teams.

FAQ

Ihre häufigsten Fragen.

Akuter Vorfall
Wir haben gerade einen Angriff. Was sollen wir jetzt sofort tun?
+
Rufen Sie uns sofort an. Schalten Sie betroffene Systeme nicht aus: ein RAM-Dump vor der Abschaltung sichert flüchtige Beweise die nach dem Neustart für immer verloren sind. Trennen Sie kompromittierte Systeme vom Netzwerk, löschen Sie aber nichts und verändern Sie keine Einstellungen bis wir Sie begleiten.
Müssen wir die betroffenen Systeme abschalten?
+
Nicht sofort und nicht ohne forensische Vorbereitung. Ein RAM-Dump muss vor der Abschaltung erstellt werden. Wir begleiten diesen Schritt telefonisch damit keine Beweise verloren gehen.
Forensischer Bericht
Ist der Bericht wirklich vor Gericht verwendbar?
+
Ja, wenn die Beweissicherung korrekt nach ISO 27037 durchgeführt wurde. Unsere Berichte dokumentieren die vollständige Beweiskette, alle Analyseschritte und die kryptographische Verifikation der Beweismittel. Sie wurden bereits in strafrechtlichen Verfahren eingesetzt.
Deckt der Bericht die NIS2-Meldepflicht ab?
+
Ja. Wir strukturieren den Bericht so dass alle Pflichtangaben für die 72-Stunden-Erstmeldung und den späteren Abschlussbericht an die zuständige Behörde enthalten sind. Auf Wunsch unterstützen wir auch direkt bei der Kommunikation mit Behörden.
Ablauf und Geräte
Welche Geräte können Sie forensisch analysieren?
+
Wir analysieren Windows, Linux und macOS Systeme, Server, Smartphones und Tablets (iOS und Android), Netzwerkgeräte, Cloud-Umgebungen (Microsoft 365, Azure, AWS) sowie IoT-Geräte und Wearables. Bei Unsicherheit ob Ihr Gerät dabei ist: einfach anrufen.
Wie schicke ich ein Gerät zur Analyse ein?
+
Nach einem kurzen Telefonat erhalten Sie von uns genaue Anweisungen für die forensisch korrekte Verpackung und den Transport. Wir stellen sicher dass die Chain of Custody vom ersten Moment an lückenlos dokumentiert ist. Die Adresse und ein Übergabeprotokoll erhalten Sie direkt von uns.
Wie lange dauert eine forensische Untersuchung?
+
Das hängt vom Umfang ab. Ein einzelnes Endgerät ist oft in einem bis zwei Tagen gesichert und analysiert. Bei mehreren Systemen, Cloud-Umgebungen oder komplexen Ransomware-Vorfällen rechnen wir mit fünf bis zehn Tagen für den vollständigen Abschlussbericht. Im Erstgespräch geben wir eine realistische Einschätzung.
Nächster Schritt
Aufgeklärt. Jetzt sicherstellen dass es nicht wieder passiert.
Detektion & Reaktion ansehen

Vorfälle klären. Beweise sichern. Weiter machen.

Im Ernstfall zählt jede Stunde. Sprechen Sie jetzt mit uns über Ihren Fall oder schicken Sie uns die betroffenen Geräte zur Analyse.

Erstgespräch vereinbaren +43 664 252 0495
Auch bei akutem Vorfall sofort erreichbar
ISO 27037 konforme Beweissicherung
NIS2-Meldepflicht abgedeckt