Forensic Readiness

Forensic Readiness

Forensic Readiness ist Teil der strategischen Vorbereitung in dem Prozesse geplant und aufgebaut werden, die es einer Institution ermöglichen während eines IT-Sicherheitsvorfalls angemessen zu reagieren. Das heißt, bei Forensic Readiness geht es um präventive Maßnahmen für eine mögliche spätere IT-forensische Untersuchung. Werden Daten bei einem IT-Sicherheitsvorfall nicht schnell genug oder falsch gesichert, schränkt dies nicht nur die Beweiskraft und damit auch die Verwertbarkeit vor Gericht der Daten ein, sondern auch das Ergebnis einer IT-forensischen Untersuchung.

Forensic Readiness besteht aus den drei Pfeilern der organisatorischen, personellen und technischen Maßnahmen und Methoden. Diese werden von rechtlichen Vorgaben beeinflusst.

Gemäß des IT-Grundschutzkompendiums [1] müssen die folgenden technische und organisatorische Anforderungen durch Institutionen erfüllt werden:

  • Bevor Daten im Rahmen einer forensischen Untersuchung erfasst werden, müssen die rechtlichen und regulatorischen Rahmenbedingungen zur Erfassung und Auswertbarkeit geprüft und während der forensischen Untersuchung auch eingehalten werden.
  • Es muss ein Leitfaden für Erstmaßnahmen bei einem IT-Sicherheitsvorfall erstellt werden. Für die genutzten IT-Systeme muss beschrieben werden, wann welche Maßnahmen bei einem IT-Sicherheitsvorfall durchgeführt werden müssen damit potentielle Spuren nicht vernichtet werden.
  • Besitzt eine Institution keine eigenen IT-Forensiker müssen bereits im Vorfeld geeignete Dienstleister dokumentiert und möglicherweise Rahmenverträge abgeschlossen werden.

Folgende Anforderungen sollten grundsätzlich ebenfalls erfüllt werden:

  • Schnittstellen zwischen IT-forensischen Untersuchungen und dem Krisen- und Notfallmanagement sollten festgelegt werden.
  • Es sollte ein Leitfaden erstellt werden, wie die Beweissicherungsmaßnahme bei IT-Sicherheitsvorfällen erfolgen soll. Auch sollte die Auswahl und Reihenfolge der zu sichernden Beweismittel festgelegt werden.
  • Verantwortliche Mitarbeiter sollten für Umsetzung der forensischen Sicherung geschult werden.
  • Bereits im Vorfeld sollten geeignete forensische Werkzeuge ausgewählt und getestet werden.
  • Es sollte festgelegt werden, wie der Umgang mit sekundären Daten ist. Das heißt, wie lange und auf welche Art und Weise sollen diese Daten vorrätig gehalten werden.
  • Sobald forensische Beweise gesichert werden, sollten die ausgeführten Schritte und verwendete Methoden dokumentiert werden.
  • Originaldatenträger und Beweismittel sollten sicher verwahrt werden. Es sollten ausschließlich autorisierte Personen Zugriff haben.

Diese Anforderungen können im Rahmen einer Forensic Readiness Policy erarbeitet werden. Bei Institutionen in denen Assets einen erhöhten Schutzbedarf aufweisen, sollten diese bereits im Vorfeld Rahmenverträge mit externen IT-Forensik Dienstleistern abschließen, um eine schnellere IT-forensische Untersuchung zu ermöglichen. Auch empfiehlt es sich bereits Standardverfahren für die Beweissicherung zu etablieren und Übungen bezüglich der Beweissicherung durchzuführen.