Cloud-Forensik
Was ist Cloud-Forensik?
Cloud-ForensikForensische Untersuchung cloudgehosteter Infrastruktur, Anwendungen und SaaS-Dienste mittels Provider-APIs, Audit-Logs und ephemerer Ressourcen.
Cloud-Forensik überträgt klassische Prinzipien in mandantenfähige, elastische, API-getriebene Umgebungen. Ermittler stützen sich auf Anbieter-Audit-Logs (AWS CloudTrail, Azure Activity/Sign-in, Google Cloud Audit Logs), Control-Plane-Events, Identity-Logs (Entra ID, Okta), VPC Flow Logs und Storage-Access-Logs sowie auf Gastebenenartefakte aus EC2/Compute-VMs oder Kubernetes-Knoten. Die Sicherung umfasst Snapshots von EBS oder verwalteten Datenträgern, Object-Storage-Exporte und Live-Memory-Sammlung über SSM/AVML. Herausforderungen: Shared Responsibility, Datenresidenz, Log-Aufbewahrungslücken, schnelle Ressourcenlöschung. NIST IR 8006, ISO/IEC 27050 und CSA-Vorgaben prägen reproduzierbare Prozesse.
● Beispiele
- 01
Rückverfolgung einer AWS-Kontoübernahme via CloudTrail bis zu einem gestohlenen IAM-Schlüssel.
- 02
Snapshot der Disk einer Azure-VM und Live-Memory-Erfassung über Run Command zur Analyse.
● Häufige Fragen
Was ist Cloud-Forensik?
Forensische Untersuchung cloudgehosteter Infrastruktur, Anwendungen und SaaS-Dienste mittels Provider-APIs, Audit-Logs und ephemerer Ressourcen. Es gehört zur Kategorie Forensik und Incident Response der Cybersicherheit.
Was bedeutet Cloud-Forensik?
Forensische Untersuchung cloudgehosteter Infrastruktur, Anwendungen und SaaS-Dienste mittels Provider-APIs, Audit-Logs und ephemerer Ressourcen.
Wie schützt man sich gegen Cloud-Forensik?
Schutzmaßnahmen gegen Cloud-Forensik kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Cloud-Forensik?
Übliche alternative Bezeichnungen: Cloud-Incident-Forensik, SaaS-Forensik.