Memory Forensics (RAM-Forensik / Volatile Memory Analysis)

Memory Forensics bezeichnet die Analyse des flüchtigen Arbeitsspeichers (RAM) eines Computersystems nach einem Sicherheitsvorfall, um dort hinterlassene Spuren von Schadsoftware, Verschlüsselungsschlüssel, Prozessstrukturen und Netzwerkverbindungen zu sichern. Da RAM-Inhalte beim Ausschalten verloren gehen, muss die Sicherung unmittelbar nach Entdeckung des Vorfalls erfolgen; spezialisierte Tools wie Volatility oder Rekall ermöglichen die Analyse von Speicherabbildern. In IT-Vergaben für SOC- und Incident-Response-Dienste sollten Auftraggeber Memory-Forensik-Fähigkeiten und die Durchführung von RAM-Dumps als Teil der Incident-Response-Prozesse fordern.