Vorsorge für die IT-Forensik
Teil der strategischen Vorbereitung forensischer Maßnahmen ist auch die organisatorische und technische Vorsorge für die IT-Forensik. Dabei sind Prozesse und Prozeduren so vorzubereiten, dass die Organisation einen Informationssicherheitsvorfall auch zeitnah IT-forensisch untersuchen kann. Die Vorsorgemaßnahmen wirken sich auf alle Phasen der IT-Forensik aus und ermöglichen eine effiziente, rasche und zielgerichtete Ermittlung; dabei sollen auch Compliance-Verstöße und eine fehlerhafte Beweissicherung durch entsprechende Maßnahmen vermieden werden.
Organisatorische Vorsorgemaßnahmen
Identifikation der rechtlichen Rahmenbedingungen
Hierfür sollten alle relevanten gesetzlichen (auch ggf. andere Rechtsordnungen!), regulatorischen und internen Vorgaben, die Einfluss auf IT-forensische Maßnahmen haben identifiziert und in einem Rechtskataster o.ä. so dokumentiert werden, dass auch die entsprechenden Implikationen dargestellt sind. Hierzu sollten insbesondere Betriebs- bzw. Personalrat und der Datenschutzbeauftragte einbezogen werden. (siehe auch Datenschutz in der IT-Forensik)
Abschluss einer Betriebs- bzw. Dienstvereinbarung
Um eine rechtliche Grundlage für IT-forensische Maßnahmen in der Organisation zu schaffen, sollte eine Betriebs- bzw. Dienstvereinbarung abgeschlossen werden (siehe Datenschutz in der IT-Forensik).
Erstellung von internen Vorgaben für IT-forensische Untersuchungen
Grundlegend sollte eine Richtlinie erstellt werden, die insbesondere folgende Inhalte umfasst:
- Rollen und Verantwortungen im Rahmen der IT-Forensik
- Prozessbeschreibungen für die jeweiligen Phasen der Untersuchung
- Festlegung von rechtlichen Rahmenbedingungen (und daraus abgeleiteten Do‘s und Dont’s)
- Bestimmung von Erstmaßnahmen bei einem Vorfall zur Verhinderung einer Zerstörung von Spuren
- Festlegung von Schwellen bzw. Kriterien für eine Initiierung von IT-forensischen Maßnahmen (z. B. Schadenhöhe)
- Vorgaben für die Festlegung des Arbeitsauftrages
- (technische) Vorgaben in Bezug auf die Beweiserhebung, Beweissicherung, Chain of Custody (auch Transporte von Beweismitteln!) und Dokumentation sowie zur Erhaltung bzw. Löschung / Vernichtung von Beweismitteln
- Technisch-organisatorische Maßnahmen zur Sicherstellung der Integrität, Verfügbarkeit und Vertraulichkeit der Beweismittel
- Vorgaben zur Berichterstattung, Informationsflüssen und Entscheidungsbefugnissen (z. B. in Bezug auf Strafanzeigen) sowie zur Sicherstellung der Betroffenenrechte gem. Art. 12ff. DS-GVO
- Vorgaben zur Qualifizierung des Personals, das für IT-forensische Maßnahmen eingesetzt wird
- Maßnahmen zur kontinuierlichen Verbesserung
- Vorlagen, Muster und Templates sowie Checklisten für Routinetätigkeiten (s. u.)
Für alle Mitarbeiter sollte ein vereinfachter Leitfaden in Bezug auf die Erstmaßnahmen veröffentlich werden.
Weiterhin sollten auf Basis einer Risiko- und Schutzbedarfsanalyse der eingesetzten IT-Systeme auch Szenarien vorgeplant und dokumentiert werden, um
- eine Auswahl und Reihenfolge der zu sichernden Beweismittel sowie der forensisch relevanten Daten festzulegen,
- den Einsatz geeigneter forensischer Werkzeuge vorzuplanen und für die wahrscheinlichsten Anwendungsfälle Leitfäden bereitzustellen,
- Tätigkeiten für die Sammlung, Speicherung und Bearbeitung von Daten zu bestimmen (Checklisten) und
- Spezifika und Handlungsanleitungen für die jeweiligen Systeme zu bestimmen.
Dokumentation der IT-Systeme
Die in der Organisation eingesetzten IT-Systeme sollten in ausreichender Form und in stets aktuell dokumentiert vorgehalten werden, sowohl um die operationale Vorbereitung zu erleichtern als auch Durchsuchungen durch Strafverfolgungsbehörden zu verkürzen:
- Netzwerk-(Segment-)Pläne
- Systeminventar / CMDB (Datenbank aller IT-Systeme mit entsprechenden Konfigurationsständen und Softwareausstattung sowie ggf. Muster-Hash-Werten von Programmen und Daten)
- Vorgaben an Datenspeicherung /-sicherung und Verschlüsselungsmechanismen
- Dokumentation aller externen Datenträger
- Bereithaltung von versiegelten Master-Passwörtern
- Berechtigungs- / Rollenpläne, Liste von Accounts
Diese Informationen sollten so bereitgehalten werden, dass auch bei einem Totalausfall der zentralen IT-Systeme darauf zugegriffen werden kann (z. B. wöchentliches Backup auf einem externen Datenträger).
Schulung des Personals
Mitarbeiter, die IT-forensische Maßnahmen durchführen sollen, sind mit den Vorgaben der Forensik-Richtlinie und anderer Dokumente vertraut zu machen und sollten in Bezug auf die korrekte Durchführung von Untersuchungen und den richtigen Einsatz von forensischen Werkzeugen geschult werden.
Einbindung externer Dienstleister
Sofern nicht alle benötigten Fähigkeiten und Ressourcen bereitgehalten werden können, sollten geeignete „Forensic Service“-Dienstleister identifiziert und auch „Notrufnummern“ hinterlegt werden; bei häufiger Inanspruchnahme bietet sich der Abschluss einer Rahmenvereinbarung an.
Ebenfalls sollten spezialisierte Anwälte identifiziert und die entsprechenden Kontaktdaten bereitgehalten werden.
Technische Vorsorgemaßnahmen
Allgemeine Ausrichtung der IT in Bezug auf potenzielle Vorfälle
Um die forensische Untersuchung von Vorfällen zu vereinfachen und Möglichkeiten zur Generierung von entsprechenden Spuren und Beweismitteln zu schaffen, sollte die IT diesbezüglich notwendige technische Maßnahmen planen und umsetzen, z. B.
- Einschaltung von Logs / Systemmonitoring
- Monitoring- und Alarmierungskonzept
- Datensicherungskonzept
- Patch- und Updatemanagement
- Rechte- und Rollenkonzept mit individuellen Accounts, insbesondere für Rollen mit administrativen bzw. privilegierten Rechten
- Überwachung des Netzwerks durch Intrusion Detection System (IDS)
- Betrieb eines Security Incident and Event Management-Systems (SIEM) mit Sensoren an entsprechend exponierten Stellen bzw. Systemen mit hohem Schutzbedarf
- Überwachung des Daten- und Informationsflusses durch ein Data Loss Prevention-System (DLP)
Etablierung eines zentralen Loggings
Um die Sammlung und Analyse von Systemlogs zu vereinfachen und zugleich das Fingieren von Spuren zu erschweren, sollte ein zentraler Log-Server betrieben werden, auf welchem alle Logs zur sicheren Speicherung abgelegt werden (über Pull- oder Push-System). Dabei ist darauf zu achten, dass das System über ausreichend Speicherplatz verfügt und entsprechend besonders gesichert ist (u. a. eingeschränkte Zugriffsrechte, Protokollierung aller Zugriffe, starke Authenisierungsmechanismen, Backups bzw. Redundanzen, Betrieb in einem gesonderten Netzsegment). Weiterhin sind die datenschutzrechtlichen Vorgaben sowie die Mitbestimmungsrechte des Betriebsrates (technische Einrichtung mit der Möglichkeit der Verhaltens- und Leistungskontrolle, § 87 Abs. 1 Nr. 6 BetrVG) einzuhalten.
Erzwingung von zentralen Policies
Durch die zentrale Vorgabe von Policies und deren Erzwingung sollten alle Systeme möglichst so konfiguriert werden, dass insbesondere
- die lokale Systemzeit zentral synchronisiert wird (NTP-Protokoll mit Zeitserver) und
- lokale Logs alle relevanten Ereignisse protokollieren.
Eine Veränderung bzw. Anpassung (z. B. der Zeitzone) von Systemzeit und Protokollierung sollte nur mit administrativen Rechten erfolgen dürfen und muss ebenfalls geloggt werden.
Forensische Workstations bzw. Toolkit
Für die Durchführung IT-forensischer Untersuchungen sollten gesonderte Workstations (bzw. in Abhängigkeit von möglichen Szenarien Laptops) und ggf. Toolkits (portable forensische Systeme auf USB-Stick oder DVD) vorgehalten werden; dabei ist u. a. darauf zu achten, dass
- die Systeme entsprechend hard- und softwareseitig gehärtet sind,
- die forensischen Werkzeuge stets auf dem aktuellen Stand (Patches / Updates) gehalten und entsprechend lizensiert werden,
- die jeweiligen Rechte für die einzelnen Arbeitsschritte auf das notwendige Minimum beschränkt sind,
- eine Integritätsprüfung stets möglich ist,
- die Untersuchungen mit Schreib- und anderen Schutzmaßnahmen durchgeführt werden und
- eine Heterogenität zwischen IT-forensischem Untersuchungssystem und dem jeweiligen Beweisträger (z. B. Linux- vs. Windows-Betriebssysteme) existiert.
Forensischer Werkzeugkoffer
Für die Arbeit im Rahmen des „ersten Angriffs“ und der forensischen Datensicherung sollte ein forensischer Werkzeugkoffer bereitgehalten werden[1]: (siehe auch Forensischer Koffer)
Umsetzung der technischen Maßnahmen gem. Richtlinie
Die in der Richtlinie vorgegebenen technischen Maßnahmen zur Sicherstellung der Integrität, Vertraulichkeit und Verfügbarkeit sollten umgesetzt werden, z. B. ein Safe zur Aufbewahrung der Asservate beschafft und eingebaut werden.
Planung und Durchführung von Übungen
Die definiteren Prozesse und Vorgehensweisen sowie die korrekte Funktion der technischen Maßnahmen sollte im Rahmen von Übungen in regelmäßiger Häufigkeit (z. B. halbjährlich) verprobt und entsprechende Verbesserungsmöglichkeiten identifiziert werden. Hierzu sollten entsprechende Szenarien geplant werden, um die Übungen so realitätsnah wie möglich zu gestalten.
Quellen
- ↑ nach Kuhlee, Lorenz; Völzow, Victor: Computer Forensik Hacks. Köln: O’Reilly, 2012, S. 3ff.
- Bundesamt für Sicherheit in der Informationstechnik: IT-Grundschutz-Kompendium. 2. Edition. Köln: Reguvis, 2019, Prozess-Baustein DER.2.2
- Bundesamt für Sicherheit in der Informationstechnik: Leitfaden IT-Forensik. Version 1.0.1 (März 2011), S. 43ff.
- NIST Special Publication 800-86 (August 2006), Guide to Integrating Forensic Techniques into Incident Response, Gaithersburg, MD: National Institute of Standards and Technology
- ISO/IEC 27002:2013 + Cor 1:2014 + Cor 2:2015, deutsche Fassung DIN EN ISO/IEC 27002:2017, Informationstechnik – Sicherheitsverfahren – Leitfaden für Informationssicherheitsmaßnahmen, Berlin: Beuth, S. 97
- ISO/IEC 27043:2015, deutsche Fassung DIN EN ISO/IEC 27043:2016, Informationstechnik – IT-Sicherheitsverfahren – Grundsätze und Prozesse für die Untersuchung von Vorfällen, Berlin: Beuth
- Basar, Eren: Die Durchsuchung der IT: Welche Rechte bestehen im Ernstfall? Präsentation im Rahmen der Bitkom Akademie, 15.11.2018