Überblick
Wer in der IT-Sicherheit ernsthaft arbeitet, braucht beide Perspektiven: die des Angreifers und die des Ermittlers. Ethical Hacking zeigt, wie Systeme kompromittiert werden; digitale Forensik zeigt, was dabei zurückbleibt — und wie diese Spuren gerichtsverwertbar gesichert und ausgewertet werden. Dieser Kurs verbindet beide Disziplinen in einem strukturierten Programm: Der Certified Ethical Hacker (CEH) von EC-Council legt die offensive Grundlage, der Computer Hacking Forensic Investigator (CHFI), ebenfalls von EC-Council, die investigative. Azure AI Fundamentals (AI-900) ergänzt das Programm um ein Verständnis dafür, wie KI-Werkzeuge forensische Analysen bei der Auswertung großer Datenmengen unterstützen können. Im Unterschied zum Geschwisterkurs Ethical Hacking und Malware-Analyse liegt hier der Schwerpunkt nicht auf der technischen Innenwelt von Schadsoftware, sondern auf dem Nachweis von Angriffen: Wie wird eine Kompromittierung forensisch nachvollzogen? Wie werden Beweise integer gesichert, um interne Eskalation oder behördliche Meldungen zu unterstützen?
Kursinhalte & Lernziele
Modul 1 — Grundlagen der IT-Sicherheit und digitalen Forensik Dieses Einführungsmodul legt die konzeptionelle Basis für das gesamte Programm. Teilnehmende erarbeiten die Schnittmenge aus IT-Sicherheit und digitaler Forensik: Was unterscheidet einen forensischen Ansatz von einer klassischen Sicherheitsanalyse? Wie beeinflusst die forensische Perspektive schon die Art, wie ein Penetrationstest durchgeführt und protokolliert wird? Praktisch steht der Aufbau einer isolierten Testumgebung im Vordergrund — Grundvoraussetzung für alle späteren Übungen.
- Netzwerk- und Systemsicherheit nach CompTIA Security+ SY0-701 als inhaltliche Basis
- Einführung in digitale Forensik: Ziele, Prinzipien, gesetzliche Rahmenbedingungen unter DSGVO und StPO
- Beweissicherungskette (Chain of Custody): Bedeutung, Umsetzung, typische Fehler und ihre Konsequenzen
- Aufbau forensischer Testumgebungen: Arbeit mit Live-Systemen vs. offline gesicherten Disk-Images
- Überblick der Zertifizierungsrahmen CEH und CHFI: Inhalte, Prüfungsvoraussetzungen, Anerkennungswert
Modul 2 — Ethical Hacking nach CEH-Standard Der Kern dieses Moduls ist das strukturierte Verständnis von Angriffstechniken nach CEH-Standard. Teilnehmende führen simulierte Angriffe in der Testumgebung durch und üben, jede Aktion so zu protokollieren, dass sie anschließend forensisch nachvollziehbar bleibt. Der Brückenschlag zur Forensik ist permanent präsent: Wer einen Angriff durchführt, hinterlässt Spuren in Logs, Prozesslisten und Netzwerk-Traces — und diese Spuren zu kennen ist die Grundlage forensischer Arbeit.
- Phasen eines Ethical-Hacking-Engagements: Reconnaissance, Scanning, Exploitation, Post-Exploitation, Reporting
- Werkzeuge und ihre Spuren: Nmap-Scans in Firewall-Logs, Metasploit-Artefakte in System-Events, Netcat-Verbindungen in NetFlow
- Schwachstellenanalyse und -priorisierung nach CVSS v3: technische Tiefe, Ausnutzbarkeit, Auswirkung
- Social Engineering als Angriffsfläche: Phishing-Tests durchführen und protokollieren
- Rechtliche und vertragliche Grundlagen: Scope-Management, Genehmigungsdokumentation, Haftungsaspekte
Modul 3 — IT-Forensik nach CHFI-Methodik Hier wechselt die Perspektive vollständig auf die investigative Seite. Teilnehmende lernen, wie forensische Untersuchungen strukturiert werden — von der Erstreaktion am Tatort (First Response) bis zur Abschlussdokumentation. CHFI-Inhalte decken Dateisystemforensik, Netzwerkforensik und Speicheranalyse ab. Praktische Übungen umfassen die Untersuchung vorab kompromittierter Disk-Images mit Autopsy, FTK Imager und Volatility.
- Dateisystemforensik: NTFS-Metadaten, $MFT-Analyse, gelöschte Dateien wiederherstellen, Zeitstempel-Interpretation
- Netzwerkforensik: Paketanalyse mit Wireshark, Rekonstruktion von Datenflüssen, laterale Bewegungen nachverfolgen
- Speicherforensik: RAM-Dumps erstellen und mit Volatility analysieren, injizierte Prozesse und Rootkit-Artefakte erkennen
- Malware-Spuren in forensischen Untersuchungen: Persistenz-Mechanismen in Registry, Scheduled Tasks, WMI-Abonnements
- Forensische Berichterstellung: Struktur, Zielgruppen (technisch/juristisch), Anforderungen an Beweissicherheit
Modul 4 — Verzahnung von Angriffspfad und forensischer Nachverfolgung In diesem Integrationsmodul führen Teilnehmende vollständige Szenarien durch: Ein simulierter Angriff wird gestartet, und die Aufgabe besteht darin, den gesamten Angriffspfad forensisch nachzuverfolgen. Dieser Ansatz schärft das Bewusstsein dafür, welche Artefakte ein Angreifer hinterlässt — und wie man sie auch dann findet, wenn Verschleierungsversuche stattgefunden haben.
- Attack-Timeline vs. Evidence-Timeline: Gegenüberstellung von Angriffspfad und forensischer Spur
- Antiforensische Techniken erkennen und bewerten: Zeitstempel-Manipulation (Timestomping), Log-Clearing, Steganographie
- IoC-Extraktion und Integration in Threat-Intelligence-Plattformen
- Vollständige Fallbearbeitung von der Kompromittierung bis zum forensischen Abschlussbericht
- Abstimmung mit Incident-Response-Teams und behördlichen Meldepflichten (BSI, Datenschutzbehörden, DSGVO Art. 33)
Modul 5 — KI-Grundlagen im forensischen Kontext (AI-900) Dieses Abschlussmodul ordnet KI-Werkzeuge in den forensischen Alltag ein. Anhand des Azure-AI-Fundamentals-Rahmens verstehen Teilnehmende, welche KI-Dienste — Anomaly Detection, Natural Language Processing, Computer Vision — in forensischen und sicherheitsoperativen Workflows sinnvoll einsetzbar sind und wo ihre Grenzen liegen. Der Azure-AI-900-Baustein ergänzt das Programm um eine Perspektive auf die wachsende Automatisierung in Forensik und SOC-Betrieb.
- Grundkonzepte maschinellen Lernens: Klassifikation, Clustering, Anomalie-Erkennung
- KI-gestützte Mustererkennung in großen Log-Datenmengen (SIEM-Kontext)
- Automatisierte Klassifikation verdächtiger Artefakte mit Azure Cognitive Services
- Chancen und Grenzen von KI in der forensischen Beweisbewertung: Erklärbarkeit, False-Positive-Rate, Akzeptanz vor Gericht
Praxiseinheiten (kursbegleitend)
- Aufbau und Betrieb einer isolierten virtuellen Forensik-Laborumgebung (VMware/VirtualBox, Netzwerkisolation)
- Durchführung eines vollständigen CEH-Engagements mit simultaner forensischer Protokollierung aller Aktionen
- Forensische Untersuchung eines vorab kompromittierten Disk-Images mit Autopsy und FTK Imager
- RAM-Dump-Analyse mit Volatility: Prozessbaum extrahieren, injizierte DLLs und Rootkit-Spuren identifizieren
- Netzwerk-Traffic-Aufzeichnung mit Wireshark während eines simulierten Angriffs und anschließende Rekonstruktion des Angriffspfads
- Erstellung einer vollständigen Chain-of-Custody-Dokumentation für gesicherte forensische Beweise
- Dateisystemforensik: $MFT-Analyse, Zeitstempel-Interpretation, gelöschte Dateien wiederherstellen
- Registry-Forensik auf kompromittierten Windows-Systemen: Autorun-Einträge, zuletzt verwendete Dateien, Shellbags
- Erkennen antiforensischer Manipulationen: Timestomping mit Zeitstempel-Vergleich aufdecken, Log-Gaps identifizieren
- KI-gestützte Logfile-Analyse: Azure Anomaly Detector in einer Übungsumgebung anwenden
- Verfassen eines professionellen forensischen Abschlussberichts mit Chain-of-Custody, Befunden und IoC-Liste
- Abschluss-Szenario: Vollständiger Angriff + forensische Nachverfolgung von der Erstreaktion bis zum Abschlussbericht
Die Praxiseinheiten sind konsequent in die Modulstruktur eingebettet. Jede neue Technik wird unmittelbar in einer kontrollierten Laborumgebung angewendet, bevor der nächste konzeptionelle Schritt folgt.
Lernziele:
- Sie verstehen den vollständigen Angriffszyklus aus Angreifer- und Verteidigerperspektive und können Angriffspfade systematisch rekonstruieren
- Sie wenden CEH-konforme Penetrationstestmethoden an und dokumentieren Ergebnisse so, dass sie forensisch nachvollziehbar bleiben
- Sie beherrschen die Grundsätze gerichtsfester Beweissicherung: Chain of Custody, integer gesicherte Disk-Images, RAM-Dumps, Log-Sicherung
- Sie analysieren kompromittierte Dateisysteme mit NTFS-Forensik-Werkzeugen (Autopsy, FTK Imager) nach CHFI-Methodik
- Sie führen Speicher-Forensik durch: RAM-Dumps mit Volatility analysieren, laufende Prozesse und injizierte Artefakte identifizieren
- Sie rekonstruieren Netzwerkkommunikation aus Paket-Captures und erkennen verdächtige Datenflüsse
- Sie unterscheiden zwischen Live-Forensik und Post-Mortem-Analyse und wählen je nach Szenario das richtige Vorgehen
- Sie erstellen professionelle forensische Abschlussberichte, die als Grundlage für interne Eskalation, Versicherungsmeldungen oder Strafverfolgung geeignet sind
- Sie verknüpfen Angriffspfade mit forensischen Indikatoren (Indicators of Compromise, IoC) und leiten daraus Ursachenanalysen ab
- Sie erkennen antiforensische Techniken wie Zeitstempel-Manipulation, Log-Clearing und Steganographie und schlagen geeignete Gegenmaßnahmen vor
- Sie ordnen KI-Dienste nach dem Azure-AI-Fundamentals-Framework (AI-900) in forensische Workflows ein und beurteilen deren Nutzen und Grenzen
Zielgruppe & Voraussetzungen
Dieser Kurs richtet sich an IT-Fachkräfte mit soliden Grundlagenkenntnissen in Netzwerken und Betriebssystemen, die sich auf forensisch fundierte Sicherheitsarbeit spezialisieren möchten.
- IT-Sicherheitsfachkräfte, die ihre offensive Methodik durch forensisches Ermittlungs-Know-how ergänzen wollen
- Systemadministratoren und Netzwerktechniker, die Sicherheitsvorfälle eigenständig untersuchen müssen
- Incident Responder, die ihr Handwerk mit strukturierten forensischen Untersuchungsmethoden vertiefen wollen
- IT-Prüfer und Auditoren, die Sicherheitsvorfälle im Rahmen von Audits selbstständig nachvollziehen müssen
- Berufswechsler aus verwandten IT-Bereichen mit nachgewiesener technischer Grundkompetenz
Grundlegende Kenntnisse in Netzwerktechnologien (TCP/IP, DNS, HTTP), Betriebssystemen (Windows und Linux) sowie allgemeiner IT-Sicherheit werden vorausgesetzt. Erfahrung mit der Kommandozeile ist erforderlich. Das inhaltliche Eintrittsniveau entspricht dem, was CompTIA Security+ (SY0-701) repräsentiert — eine eigene Zertifizierung ist nicht zwingend nötig, inhaltlich gleichwertige Praxis aber schon. Englischkenntnisse auf B1-Niveau sind sinnvoll, da Referenzmaterialien und Werkzeugdokumentationen überwiegend englischsprachig sind.
Ablauf & Abschluss
Das Programm findet im Combined-Learning-Format statt — interaktiver Live-Unterricht im virtuellen Klassenzimmer wird mit eigenständigen Laborübungen kombiniert. Der Live-Anteil umfasst Demonstrationen, moderierte Fallbesprechungen und gemeinsame Szenario-Analysen; im selbstständigen Teil arbeiten Teilnehmende in ihrer virtuellen Laborumgebung und vertiefen Techniken durch wiederholte Anwendung. Das Programm wird sowohl in Vollzeit als auch in Teilzeit angeboten. Dozenten bringen praktische Erfahrung aus realen Sicherheits- und Forensik-Engagements mit.
Das Programm wird sowohl in Vollzeit als auch in Teilzeit angeboten. Ein Vollzeitdurchlauf dauert typischerweise mehrere Wochen bis zu drei Monaten; Teilzeitvarianten laufen entsprechend länger. Die genaue Semesterlänge variiert je nach gewählter Modulkombination. Aktuelle Termine sind beim Anbieter erhältlich.
Der Kurs bereitet auf drei externe Zertifizierungsprüfungen vor: Certified Ethical Hacker (CEH) von EC-Council, Computer Hacking Forensic Investigator (CHFI) ebenfalls von EC-Council sowie Azure AI Fundamentals (AI-900) von Microsoft. Alle drei Prüfungen werden von den jeweiligen Herstellern abgenommen und sind international anerkannt. CEH und CHFI gelten als Industriestandard in der IT-Sicherheit und digitalen Forensik; AI-900 ist eine Einstiegszertifizierung im Azure-KI-Ökosystem. Zusätzlich wird eine qualifizierte Teilnahmebescheinigung ausgestellt.
Nutzen & Perspektiven
Auf dem Arbeitsmarkt für IT-Sicherheitsfachkräfte entstehen zunehmend Rollen, die offensive und investigative Kompetenz vereinen — etwa in spezialisierten Forensik-Dienstleistern, in internen Sicherheitsteams großer Unternehmen oder in Behörden mit Cybercrime-Zuständigkeit. Wer Angriffe nicht nur durchführen, sondern forensisch lückenlos nachverfolgen und dokumentieren kann, besetzt eine Nische, die für diese Arbeitgeber besonders attraktiv ist. Der CEH-CHFI-Doppelabschluss ist genau dieses Qualifikationssignal. Die Integration von AI-900 ist strategisch sinnvoll: Forensische Analysen erzeugen heute Datenmengen, die manuell kaum beherrschbar sind — Log-Dateien in Gigabyte-Größe, Tausende von Netzwerk-Events, umfangreiche Speicher-Images. Werkzeuge, die maschinell klassifizieren, priorisieren und Anomalien erkennen, sind im professionellen Forensik-Betrieb längst verbreitet. Das Grundlagenverständnis dieser KI-Dienste erlaubt eine qualifizierte Beurteilung und eigenständige Nutzung solcher Werkzeuge im Arbeitsalltag. Langfristig eröffnet diese Qualifikationskombination Wege in spezialisierte Rollen wie Digital Forensics Analyst, Threat Intelligence Engineer oder IT-Sicherheitsgutachter — Berufsbilder, die durch den steigenden regulatorischen Druck in Deutschland (NIS-2-Richtlinie, DORA, BSI-Anforderungen) stark nachgefragt werden. Beide EC-Council-Zertifikate sind international anerkannt und unterstützen eine Karriere bei international tätigen Unternehmen ebenso wie bei nationalen Behörden und spezialisierten Forensik-Dienstleistern.
Häufig gestellte Fragen (FAQ)
Was unterscheidet diesen Kurs vom Geschwisterkurs Ethical Hacking und Malware-Analyse?
Dieser Kurs hat seinen Schwerpunkt auf der forensischen Untersuchung und gerichtsverwertbaren Beweissicherung (CHFI-Methodik) — also darauf, was nach einem Angriff passiert. Der Malware-Analyse-Kurs fokussiert dagegen auf das technische Innenleben von Schadsoftware: Wie wurde sie gebaut, wie verhält sie sich, und wie kann sie erkannt werden?
Welche Zertifizierungen werden in diesem Kurs vorbereitet?
Das Programm bereitet auf drei externe Prüfungen vor: Certified Ethical Hacker (CEH) und Computer Hacking Forensic Investigator (CHFI) von EC-Council sowie Azure AI Fundamentals (AI-900) von Microsoft. Die Prüfungen werden separat abgelegt und abgerechnet.
Welche Vorkenntnisse sind notwendig?
Grundkenntnisse in TCP/IP, Windows- und Linux-Administration sowie allgemeiner IT-Sicherheit auf Security+-Niveau werden vorausgesetzt. Kommandozeilen-Erfahrung ist Pflicht. KI-Vorkenntnisse für den AI-900-Baustein sind nicht erforderlich.
Wie werden die Inhalte vermittelt?
Der Unterricht findet im Combined-Learning-Format statt — Live-Unterricht im virtuellen Klassenzimmer wird mit selbstständiger Laborarbeit in isolierten virtuellen Umgebungen kombiniert. Jede Technik wird unmittelbar praktisch angewendet. Das Programm ist in Vollzeit und Teilzeit verfügbar.
Ist der Kurs auch für Personen ohne vorherige Forensik-Erfahrung geeignet?
Ja, sofern die technischen Grundlagen vorhanden sind. Forensik-Methodik wird von Grund auf aufgebaut. IT-Sicherheitserfahrung (z. B. als Systemadministrator oder Netzwerktechniker) ist jedoch notwendig — Einsteiger ohne technische IT-Basis sollten zuerst Grundlagenkurse absolvieren.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
Berufsbild ist branchenübergreifend einsetzbar. Karrierechancen hängen stark von zusätzlicher Spezialisierung und Region ab.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- IT-Sicherheit (grundständig)926 Stellen
- Ethical Hacker33 Stellen
- IT-Forensiker/IT-Forensikerin25 Stellen