http://it-forensik.fiw.hs-wismar.de/index.php?title=Vorsorge_f%C3%BCr_die_IT-Forensik&feed=atom&action=history
Vorsorge für die IT-Forensik - Versionsgeschichte
2024-03-28T12:16:09Z
Versionsgeschichte dieser Seite in IT-Forensik Wiki
MediaWiki 1.39.5
http://it-forensik.fiw.hs-wismar.de/index.php?title=Vorsorge_f%C3%BCr_die_IT-Forensik&diff=846&oldid=prev
Etduen: /* Forensischer Werkzeugkoffer */
2019-08-22T15:17:30Z
<p><span dir="auto"><span class="autocomment">Forensischer Werkzeugkoffer</span></span></p>
<table style="background-color: #fff; color: #202122;" data-mw="interface">
<col class="diff-marker" />
<col class="diff-content" />
<col class="diff-marker" />
<col class="diff-content" />
<tr class="diff-title" lang="de">
<td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">← Nächstältere Version</td>
<td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">Version vom 22. August 2019, 16:17 Uhr</td>
</tr><tr><td colspan="2" class="diff-lineno" id="mw-diff-left-l101">Zeile 101:</td>
<td colspan="2" class="diff-lineno">Zeile 101:</td></tr>
<tr><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>== Forensischer Werkzeugkoffer ==</div></td><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>== Forensischer Werkzeugkoffer ==</div></td></tr>
<tr><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><br/></td><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><br/></td></tr>
<tr><td class="diff-marker" data-marker="−"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>Für die Arbeit im Rahmen des „ersten Angriffs“ und der forensischen Datensicherung sollte ein forensischer Werkzeugkoffer <del style="font-weight: bold; text-decoration: none;">mit folgenden Inhalten </del>bereitgehalten werden<ref>nach Kuhlee, Lorenz; Völzow, Victor: Computer Forensik Hacks. Köln: O’Reilly, 2012, S. 3ff.</ref>: (siehe auch [[Forensischer Koffer]])</div></td><td class="diff-marker" data-marker="+"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div>Für die Arbeit im Rahmen des „ersten Angriffs“ und der forensischen Datensicherung sollte ein forensischer Werkzeugkoffer bereitgehalten werden<ref>nach Kuhlee, Lorenz; Völzow, Victor: Computer Forensik Hacks. Köln: O’Reilly, 2012, S. 3ff.</ref>: (siehe auch [[Forensischer Koffer]])</div></td></tr>
<tr><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><br/></td><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><br/></td></tr>
<tr><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>== Umsetzung der technischen Maßnahmen gem. Richtlinie ==</div></td><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>== Umsetzung der technischen Maßnahmen gem. Richtlinie ==</div></td></tr>
</table>
Etduen
http://it-forensik.fiw.hs-wismar.de/index.php?title=Vorsorge_f%C3%BCr_die_IT-Forensik&diff=845&oldid=prev
Etduen am 22. August 2019 um 15:16 Uhr
2019-08-22T15:16:55Z
<p></p>
<table style="background-color: #fff; color: #202122;" data-mw="interface">
<col class="diff-marker" />
<col class="diff-content" />
<col class="diff-marker" />
<col class="diff-content" />
<tr class="diff-title" lang="de">
<td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">← Nächstältere Version</td>
<td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">Version vom 22. August 2019, 16:16 Uhr</td>
</tr><tr><td colspan="2" class="diff-lineno" id="mw-diff-left-l101">Zeile 101:</td>
<td colspan="2" class="diff-lineno">Zeile 101:</td></tr>
<tr><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>== Forensischer Werkzeugkoffer ==</div></td><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>== Forensischer Werkzeugkoffer ==</div></td></tr>
<tr><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><br/></td><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><br/></td></tr>
<tr><td class="diff-marker" data-marker="−"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>Für die Arbeit im Rahmen des „ersten Angriffs“ und der forensischen Datensicherung sollte ein forensischer Werkzeugkoffer mit folgenden Inhalten bereitgehalten werden<ref>nach Kuhlee, Lorenz; Völzow, Victor: Computer Forensik Hacks. Köln: O’Reilly, 2012, S. 3ff.</ref>:</div></td><td class="diff-marker" data-marker="+"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div>Für die Arbeit im Rahmen des „ersten Angriffs“ und der forensischen Datensicherung sollte ein forensischer Werkzeugkoffer mit folgenden Inhalten bereitgehalten werden<ref>nach Kuhlee, Lorenz; Völzow, Victor: Computer Forensik Hacks. Köln: O’Reilly, 2012, S. 3ff.</ref>: <ins style="font-weight: bold; text-decoration: none;">(siehe </ins>auch <ins style="font-weight: bold; text-decoration: none;">[[Forensischer Koffer]]</ins>)</div></td></tr>
<tr><td class="diff-marker" data-marker="−"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div> </div></td><td colspan="2" class="diff-side-added"></td></tr>
<tr><td class="diff-marker" data-marker="−"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div><del style="font-weight: bold; text-decoration: none;">* Kamera zur Dokumentation der Umgebung und des Zustandes des zu untersuchenden Computers</del></div></td><td colspan="2" class="diff-side-added"></td></tr>
<tr><td class="diff-marker" data-marker="−"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div><del style="font-weight: bold; text-decoration: none;">* Verpackungsmaterialien zum Schutz der elektronischen Komponenten vor äußeren Einflüssen, ggf. </del>auch <del style="font-weight: bold; text-decoration: none;">Umzugkartons</del></div></td><td colspan="2" class="diff-side-added"></td></tr>
<tr><td class="diff-marker" data-marker="−"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div><del style="font-weight: bold; text-decoration: none;">* Handschuhe aus hygienischen Gründen und zur Vermeidung einer Kontamination von Beweismitteln</del></div></td><td colspan="2" class="diff-side-added"></td></tr>
<tr><td class="diff-marker" data-marker="−"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div><del style="font-weight: bold; text-decoration: none;">* Taschenlampe (mit Ersatzbatterien)</del></div></td><td colspan="2" class="diff-side-added"></td></tr>
<tr><td class="diff-marker" data-marker="−"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div><del style="font-weight: bold; text-decoration: none;">* Aufkleber und Umhängeschilder zur Kennzeichnung von Komponenten (Nummerierung!)</del></div></td><td colspan="2" class="diff-side-added"></td></tr>
<tr><td class="diff-marker" data-marker="−"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div><del style="font-weight: bold; text-decoration: none;">* Schraubendreherset / Werkzeug</del></div></td><td colspan="2" class="diff-side-added"></td></tr>
<tr><td class="diff-marker" data-marker="−"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div><del style="font-weight: bold; text-decoration: none;">* Schreibschutzadapter (Write-Blocker)</del></div></td><td colspan="2" class="diff-side-added"></td></tr>
<tr><td class="diff-marker" data-marker="−"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div><del style="font-weight: bold; text-decoration: none;">* Boot-DVDs und Software</del></div></td><td colspan="2" class="diff-side-added"></td></tr>
<tr><td class="diff-marker" data-marker="−"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div><del style="font-weight: bold; text-decoration: none;">* Speichermedien („clean“)</del></div></td><td colspan="2" class="diff-side-added"></td></tr>
<tr><td class="diff-marker" data-marker="−"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div><del style="font-weight: bold; text-decoration: none;">* WLAN-Sniffer/-Scanner</del></div></td><td colspan="2" class="diff-side-added"></td></tr>
<tr><td class="diff-marker" data-marker="−"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div><del style="font-weight: bold; text-decoration: none;">* Formulare</del></div></td><td colspan="2" class="diff-side-added"></td></tr>
<tr><td class="diff-marker" data-marker="−"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div><del style="font-weight: bold; text-decoration: none;">* Kabel (z. B. Netzwerk-, Cross-over-Kabel</del>)</div></td><td colspan="2" class="diff-side-added"></td></tr>
<tr><td class="diff-marker" data-marker="−"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div><del style="font-weight: bold; text-decoration: none;">* Erdungs-/Anti-Statik-Armband</del></div></td><td colspan="2" class="diff-side-added"></td></tr>
<tr><td class="diff-marker" data-marker="−"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div><del style="font-weight: bold; text-decoration: none;">* Funkuhr zur Dokumentation der Maßnahmen</del></div></td><td colspan="2" class="diff-side-added"></td></tr>
<tr><td class="diff-marker" data-marker="−"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div><del style="font-weight: bold; text-decoration: none;">* Stift und Papier, Schreib- und Büromaterial, Büroklammer</del></div></td><td colspan="2" class="diff-side-added"></td></tr>
<tr><td class="diff-marker" data-marker="−"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div><del style="font-weight: bold; text-decoration: none;">* Eisspray für die Sicherung des Hauptspeichers</del></div></td><td colspan="2" class="diff-side-added"></td></tr>
<tr><td class="diff-marker" data-marker="−"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div><del style="font-weight: bold; text-decoration: none;">* ggf. Diktiergerä''t''</del></div></td><td colspan="2" class="diff-side-added"></td></tr>
<tr><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><br/></td><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><br/></td></tr>
<tr><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>== Umsetzung der technischen Maßnahmen gem. Richtlinie ==</div></td><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>== Umsetzung der technischen Maßnahmen gem. Richtlinie ==</div></td></tr>
</table>
Etduen
http://it-forensik.fiw.hs-wismar.de/index.php?title=Vorsorge_f%C3%BCr_die_IT-Forensik&diff=766&oldid=prev
St181559: /* Quellen */
2019-08-15T11:27:32Z
<p><span dir="auto"><span class="autocomment">Quellen</span></span></p>
<table style="background-color: #fff; color: #202122;" data-mw="interface">
<col class="diff-marker" />
<col class="diff-content" />
<col class="diff-marker" />
<col class="diff-content" />
<tr class="diff-title" lang="de">
<td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">← Nächstältere Version</td>
<td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">Version vom 15. August 2019, 12:27 Uhr</td>
</tr><tr><td colspan="2" class="diff-lineno" id="mw-diff-left-l133">Zeile 133:</td>
<td colspan="2" class="diff-lineno">Zeile 133:</td></tr>
<tr><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div><references /></div></td><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div><references /></div></td></tr>
<tr><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><br/></td><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><br/></td></tr>
<tr><td class="diff-marker" data-marker="−"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div><del style="font-weight: bold; text-decoration: none;"># </del>Bundesamt für Sicherheit in der Informationstechnik: IT-Grundschutz-Kompendium. 2. Edition. Köln: Reguvis, 2019, Prozess-Baustein DER.2.2</div></td><td class="diff-marker" data-marker="+"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;">* </ins>Bundesamt für Sicherheit in der Informationstechnik: IT-Grundschutz-Kompendium. 2. Edition. Köln: Reguvis, 2019, Prozess-Baustein DER.2.2</div></td></tr>
<tr><td class="diff-marker" data-marker="−"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div><del style="font-weight: bold; text-decoration: none;"># </del>Bundesamt für Sicherheit in der Informationstechnik: Leitfaden IT-Forensik. Version 1.0.1 (März 2011), S. 43ff.</div></td><td class="diff-marker" data-marker="+"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;">* </ins>Bundesamt für Sicherheit in der Informationstechnik: Leitfaden IT-Forensik. Version 1.0.1 (März 2011), S. 43ff.</div></td></tr>
<tr><td class="diff-marker" data-marker="−"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div><del style="font-weight: bold; text-decoration: none;"># </del>NIST Special Publication 800-86 (August 2006), Guide to Integrating Forensic Techniques into Incident Response, Gaithersburg, MD: National Institute of Standards and Technology</div></td><td class="diff-marker" data-marker="+"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;">* </ins>NIST Special Publication 800-86 (August 2006), Guide to Integrating Forensic Techniques into Incident Response, Gaithersburg, MD: National Institute of Standards and Technology</div></td></tr>
<tr><td class="diff-marker" data-marker="−"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div><del style="font-weight: bold; text-decoration: none;"># </del>ISO/IEC 27002:2013 + Cor 1:2014 + Cor 2:2015, deutsche Fassung DIN EN ISO/IEC 27002:2017, Informationstechnik – Sicherheitsverfahren – Leitfaden für Informationssicherheitsmaßnahmen, Berlin: Beuth, S. 97</div></td><td class="diff-marker" data-marker="+"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;">* </ins>ISO/IEC 27002:2013 + Cor 1:2014 + Cor 2:2015, deutsche Fassung DIN EN ISO/IEC 27002:2017, Informationstechnik – Sicherheitsverfahren – Leitfaden für Informationssicherheitsmaßnahmen, Berlin: Beuth, S. 97</div></td></tr>
<tr><td class="diff-marker" data-marker="−"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div><del style="font-weight: bold; text-decoration: none;"># </del>ISO/IEC 27043:2015, deutsche Fassung DIN EN ISO/IEC 27043:2016, Informationstechnik – IT-Sicherheitsverfahren – Grundsätze und Prozesse für die Untersuchung von Vorfällen, Berlin: Beuth</div></td><td class="diff-marker" data-marker="+"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;">* </ins>ISO/IEC 27043:2015, deutsche Fassung DIN EN ISO/IEC 27043:2016, Informationstechnik – IT-Sicherheitsverfahren – Grundsätze und Prozesse für die Untersuchung von Vorfällen, Berlin: Beuth</div></td></tr>
<tr><td class="diff-marker" data-marker="−"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div><del style="font-weight: bold; text-decoration: none;"># </del>Basar, Eren: Die Durchsuchung der IT: Welche Rechte bestehen im Ernstfall? Präsentation im Rahmen der Bitkom Akademie, 15.11.2018</div></td><td class="diff-marker" data-marker="+"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;">* </ins>Basar, Eren: Die Durchsuchung der IT: Welche Rechte bestehen im Ernstfall? Präsentation im Rahmen der Bitkom Akademie, 15.11.2018</div></td></tr>
</table>
St181559
http://it-forensik.fiw.hs-wismar.de/index.php?title=Vorsorge_f%C3%BCr_die_IT-Forensik&diff=765&oldid=prev
St181559: /* Abschluss einer Betriebs- bzw. Dienstvereinbarung */
2019-08-15T11:26:30Z
<p><span dir="auto"><span class="autocomment">Abschluss einer Betriebs- bzw. Dienstvereinbarung</span></span></p>
<table style="background-color: #fff; color: #202122;" data-mw="interface">
<col class="diff-marker" />
<col class="diff-content" />
<col class="diff-marker" />
<col class="diff-content" />
<tr class="diff-title" lang="de">
<td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">← Nächstältere Version</td>
<td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">Version vom 15. August 2019, 12:26 Uhr</td>
</tr><tr><td colspan="2" class="diff-lineno" id="mw-diff-left-l9">Zeile 9:</td>
<td colspan="2" class="diff-lineno">Zeile 9:</td></tr>
<tr><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>== Abschluss einer Betriebs- bzw. Dienstvereinbarung ==</div></td><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>== Abschluss einer Betriebs- bzw. Dienstvereinbarung ==</div></td></tr>
<tr><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><br/></td><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><br/></td></tr>
<tr><td class="diff-marker" data-marker="−"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>Um eine rechtliche Grundlage für IT-forensische Maßnahmen in der Organisation zu schaffen, sollte eine Betriebs- bzw. Dienstvereinbarung abgeschlossen werden (siehe <del style="font-weight: bold; text-decoration: none;">Verweis</del>).</div></td><td class="diff-marker" data-marker="+"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div>Um eine rechtliche Grundlage für IT-forensische Maßnahmen in der Organisation zu schaffen, sollte eine Betriebs- bzw. Dienstvereinbarung abgeschlossen werden (siehe <ins style="font-weight: bold; text-decoration: none;">[[Datenschutz in der IT-Forensik]]</ins>).</div></td></tr>
<tr><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><br/></td><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><br/></td></tr>
<tr><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>== Erstellung von internen Vorgaben für IT-forensische Untersuchungen ==</div></td><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>== Erstellung von internen Vorgaben für IT-forensische Untersuchungen ==</div></td></tr>
</table>
St181559
http://it-forensik.fiw.hs-wismar.de/index.php?title=Vorsorge_f%C3%BCr_die_IT-Forensik&diff=627&oldid=prev
St181071: Die Seite wurde neu angelegt: „Teil der strategischen Vorbereitung forensischer Maßnahmen ist auch die organisatorische und technische '''Vorsorge für die IT-Forensik'''. Dabei sind Prozes…“
2019-07-30T18:01:20Z
<p>Die Seite wurde neu angelegt: „Teil der strategischen Vorbereitung forensischer Maßnahmen ist auch die organisatorische und technische '''Vorsorge für die IT-Forensik'''. Dabei sind Prozes…“</p>
<p><b>Neue Seite</b></p><div>Teil der strategischen Vorbereitung forensischer Maßnahmen ist auch die organisatorische und technische '''Vorsorge für die IT-Forensik'''. Dabei sind Prozesse und Prozeduren so vorzubereiten, dass die Organisation einen Informationssicherheitsvorfall auch zeitnah IT-forensisch untersuchen kann. Die Vorsorgemaßnahmen wirken sich auf alle Phasen der IT-Forensik aus und ermöglichen eine effiziente, rasche und zielgerichtete Ermittlung; dabei sollen auch Compliance-Verstöße und eine fehlerhafte Beweissicherung durch entsprechende Maßnahmen vermieden werden.<br />
<br />
= Organisatorische Vorsorgemaßnahmen =<br />
<br />
== Identifikation der rechtlichen Rahmenbedingungen ==<br />
<br />
Hierfür sollten alle relevanten gesetzlichen (auch ggf. andere Rechtsordnungen!), regulatorischen und internen Vorgaben, die Einfluss auf IT-forensische Maßnahmen haben identifiziert und in einem Rechtskataster o.ä. so dokumentiert werden, dass auch die entsprechenden Implikationen dargestellt sind. Hierzu sollten insbesondere Betriebs- bzw. Personalrat und der Datenschutzbeauftragte einbezogen werden. (siehe auch Datenschutz in der IT-Forensik)<br />
<br />
== Abschluss einer Betriebs- bzw. Dienstvereinbarung ==<br />
<br />
Um eine rechtliche Grundlage für IT-forensische Maßnahmen in der Organisation zu schaffen, sollte eine Betriebs- bzw. Dienstvereinbarung abgeschlossen werden (siehe Verweis).<br />
<br />
== Erstellung von internen Vorgaben für IT-forensische Untersuchungen ==<br />
<br />
Grundlegend sollte eine Richtlinie erstellt werden, die insbesondere folgende Inhalte umfasst:<br />
<br />
* Rollen und Verantwortungen im Rahmen der IT-Forensik<br />
* Prozessbeschreibungen für die jeweiligen Phasen der Untersuchung<br />
* Festlegung von rechtlichen Rahmenbedingungen (und daraus abgeleiteten Do‘s und Dont’s)<br />
* Bestimmung von Erstmaßnahmen bei einem Vorfall zur Verhinderung einer Zerstörung von Spuren<br />
* Festlegung von Schwellen bzw. Kriterien für eine Initiierung von IT-forensischen Maßnahmen (z. B. Schadenhöhe)<br />
* Vorgaben für die Festlegung des Arbeitsauftrages<br />
* (technische) Vorgaben in Bezug auf die Beweiserhebung, Beweissicherung, Chain of Custody (auch Transporte von Beweismitteln!) und Dokumentation sowie zur Erhaltung bzw. Löschung / Vernichtung von Beweismitteln<br />
* Technisch-organisatorische Maßnahmen zur Sicherstellung der Integrität, Verfügbarkeit und Vertraulichkeit der Beweismittel<br />
* Vorgaben zur Berichterstattung, Informationsflüssen und Entscheidungsbefugnissen (z. B. in Bezug auf Strafanzeigen) sowie zur Sicherstellung der Betroffenenrechte gem. Art. 12ff. DS-GVO<br />
* Vorgaben zur Qualifizierung des Personals, das für IT-forensische Maßnahmen eingesetzt wird<br />
* Maßnahmen zur kontinuierlichen Verbesserung<br />
* Vorlagen, Muster und Templates sowie Checklisten für Routinetätigkeiten (s. u.)<br />
<br />
Für alle Mitarbeiter sollte ein vereinfachter Leitfaden in Bezug auf die Erstmaßnahmen veröffentlich werden.<br />
<br />
Weiterhin sollten auf Basis einer Risiko- und Schutzbedarfsanalyse der eingesetzten IT-Systeme auch Szenarien vorgeplant und dokumentiert werden, um<br />
<br />
* eine Auswahl und Reihenfolge der zu sichernden Beweismittel sowie der forensisch relevanten Daten festzulegen,<br />
* den Einsatz geeigneter forensischer Werkzeuge vorzuplanen und für die wahrscheinlichsten Anwendungsfälle Leitfäden bereitzustellen,<br />
* Tätigkeiten für die Sammlung, Speicherung und Bearbeitung von Daten zu bestimmen (Checklisten) und<br />
* Spezifika und Handlungsanleitungen für die jeweiligen Systeme zu bestimmen.<br />
<br />
== Dokumentation der IT-Systeme ==<br />
<br />
Die in der Organisation eingesetzten IT-Systeme sollten in ausreichender Form und in stets aktuell dokumentiert vorgehalten werden, sowohl um die operationale Vorbereitung zu erleichtern als auch Durchsuchungen durch Strafverfolgungsbehörden zu verkürzen:<br />
<br />
* Netzwerk-(Segment-)Pläne<br />
* Systeminventar / CMDB (Datenbank aller IT-Systeme mit entsprechenden Konfigurationsständen und Softwareausstattung sowie ggf. Muster-Hash-Werten von Programmen und Daten)<br />
* Vorgaben an Datenspeicherung /-sicherung und Verschlüsselungsmechanismen<br />
* Dokumentation aller externen Datenträger<br />
* Bereithaltung von versiegelten Master-Passwörtern<br />
* Berechtigungs- / Rollenpläne, Liste von Accounts<br />
<br />
Diese Informationen sollten so bereitgehalten werden, dass auch bei einem Totalausfall der zentralen IT-Systeme darauf zugegriffen werden kann (z. B. wöchentliches Backup auf einem externen Datenträger).<br />
<br />
== Schulung des Personals ==<br />
<br />
Mitarbeiter, die IT-forensische Maßnahmen durchführen sollen, sind mit den Vorgaben der Forensik-Richtlinie und anderer Dokumente vertraut zu machen und sollten in Bezug auf die korrekte Durchführung von Untersuchungen und den richtigen Einsatz von forensischen Werkzeugen geschult werden.<br />
<br />
== Einbindung externer Dienstleister ==<br />
<br />
Sofern nicht alle benötigten Fähigkeiten und Ressourcen bereitgehalten werden können, sollten geeignete „Forensic Service“-Dienstleister identifiziert und auch „Notrufnummern“ hinterlegt werden; bei häufiger Inanspruchnahme bietet sich der Abschluss einer Rahmenvereinbarung an.<br />
<br />
Ebenfalls sollten spezialisierte Anwälte identifiziert und die entsprechenden Kontaktdaten bereitgehalten werden.<br />
<br />
= Technische Vorsorgemaßnahmen =<br />
<br />
== Allgemeine Ausrichtung der IT in Bezug auf potenzielle Vorfälle ==<br />
<br />
Um die forensische Untersuchung von Vorfällen zu vereinfachen und Möglichkeiten zur Generierung von entsprechenden Spuren und Beweismitteln zu schaffen, sollte die IT diesbezüglich notwendige technische Maßnahmen planen und umsetzen, z. B.<br />
<br />
* Einschaltung von Logs / Systemmonitoring<br />
* Monitoring- und Alarmierungskonzept<br />
* Datensicherungskonzept<br />
* Patch- und Updatemanagement<br />
* Rechte- und Rollenkonzept mit individuellen Accounts, insbesondere für Rollen mit administrativen bzw. privilegierten Rechten<br />
* Überwachung des Netzwerks durch Intrusion Detection System (IDS)<br />
* Betrieb eines Security Incident and Event Management-Systems (SIEM) mit Sensoren an entsprechend exponierten Stellen bzw. Systemen mit hohem Schutzbedarf<br />
* Überwachung des Daten- und Informationsflusses durch ein Data Loss Prevention-System (DLP)<br />
<br />
== Etablierung eines zentralen Loggings ==<br />
<br />
Um die Sammlung und Analyse von Systemlogs zu vereinfachen und zugleich das Fingieren von Spuren zu erschweren, sollte ein zentraler Log-Server betrieben werden, auf welchem alle Logs zur sicheren Speicherung abgelegt werden (über Pull- oder Push-System). Dabei ist darauf zu achten, dass das System über ausreichend Speicherplatz verfügt und entsprechend besonders gesichert ist (u. a. eingeschränkte Zugriffsrechte, Protokollierung aller Zugriffe, starke Authenisierungsmechanismen, Backups bzw. Redundanzen, Betrieb in einem gesonderten Netzsegment). Weiterhin sind die datenschutzrechtlichen Vorgaben sowie die Mitbestimmungsrechte des Betriebsrates (technische Einrichtung mit der Möglichkeit der Verhaltens- und Leistungskontrolle, § 87 Abs. 1 Nr. 6 BetrVG) einzuhalten.<br />
<br />
== Erzwingung von zentralen Policies ==<br />
<br />
Durch die zentrale Vorgabe von Policies und deren Erzwingung sollten alle Systeme möglichst so konfiguriert werden, dass insbesondere<br />
<br />
* die lokale Systemzeit zentral synchronisiert wird (NTP-Protokoll mit Zeitserver) und<br />
* lokale Logs alle relevanten Ereignisse protokollieren.<br />
<br />
Eine Veränderung bzw. Anpassung (z. B. der Zeitzone) von Systemzeit und Protokollierung sollte nur mit administrativen Rechten erfolgen dürfen und muss ebenfalls geloggt werden.<br />
<br />
== Forensische Workstations bzw. Toolkit ==<br />
<br />
Für die Durchführung IT-forensischer Untersuchungen sollten gesonderte Workstations (bzw. in Abhängigkeit von möglichen Szenarien Laptops) und ggf. Toolkits (portable forensische Systeme auf USB-Stick oder DVD) vorgehalten werden; dabei ist u. a. darauf zu achten, dass<br />
<br />
* die Systeme entsprechend hard- und softwareseitig gehärtet sind,<br />
* die forensischen Werkzeuge stets auf dem aktuellen Stand (Patches / Updates) gehalten und entsprechend lizensiert werden,<br />
* die jeweiligen Rechte für die einzelnen Arbeitsschritte auf das notwendige Minimum beschränkt sind,<br />
* eine Integritätsprüfung stets möglich ist,<br />
* die Untersuchungen mit Schreib- und anderen Schutzmaßnahmen durchgeführt werden und<br />
* eine Heterogenität zwischen IT-forensischem Untersuchungssystem und dem jeweiligen Beweisträger (z. B. Linux- vs. Windows-Betriebssysteme) existiert.<br />
<br />
== Forensischer Werkzeugkoffer ==<br />
<br />
Für die Arbeit im Rahmen des „ersten Angriffs“ und der forensischen Datensicherung sollte ein forensischer Werkzeugkoffer mit folgenden Inhalten bereitgehalten werden<ref>nach Kuhlee, Lorenz; Völzow, Victor: Computer Forensik Hacks. Köln: O’Reilly, 2012, S. 3ff.</ref>:<br />
<br />
* Kamera zur Dokumentation der Umgebung und des Zustandes des zu untersuchenden Computers<br />
* Verpackungsmaterialien zum Schutz der elektronischen Komponenten vor äußeren Einflüssen, ggf. auch Umzugkartons<br />
* Handschuhe aus hygienischen Gründen und zur Vermeidung einer Kontamination von Beweismitteln<br />
* Taschenlampe (mit Ersatzbatterien)<br />
* Aufkleber und Umhängeschilder zur Kennzeichnung von Komponenten (Nummerierung!)<br />
* Schraubendreherset / Werkzeug<br />
* Schreibschutzadapter (Write-Blocker)<br />
* Boot-DVDs und Software<br />
* Speichermedien („clean“)<br />
* WLAN-Sniffer/-Scanner<br />
* Formulare<br />
* Kabel (z. B. Netzwerk-, Cross-over-Kabel)<br />
* Erdungs-/Anti-Statik-Armband<br />
* Funkuhr zur Dokumentation der Maßnahmen<br />
* Stift und Papier, Schreib- und Büromaterial, Büroklammer<br />
* Eisspray für die Sicherung des Hauptspeichers<br />
* ggf. Diktiergerä''t''<br />
<br />
== Umsetzung der technischen Maßnahmen gem. Richtlinie ==<br />
<br />
Die in der Richtlinie vorgegebenen technischen Maßnahmen zur Sicherstellung der Integrität, Vertraulichkeit und Verfügbarkeit sollten umgesetzt werden, z. B. ein Safe zur Aufbewahrung der Asservate beschafft und eingebaut werden.<br />
<br />
= Planung und Durchführung von Übungen =<br />
<br />
Die definiteren Prozesse und Vorgehensweisen sowie die korrekte Funktion der technischen Maßnahmen sollte im Rahmen von Übungen in regelmäßiger Häufigkeit (z. B. halbjährlich) verprobt und entsprechende Verbesserungsmöglichkeiten identifiziert werden. Hierzu sollten entsprechende Szenarien geplant werden, um die Übungen so realitätsnah wie möglich zu gestalten.<br />
<br />
= Quellen =<br />
<br />
<references /><br />
<br />
# Bundesamt für Sicherheit in der Informationstechnik: IT-Grundschutz-Kompendium. 2. Edition. Köln: Reguvis, 2019, Prozess-Baustein DER.2.2<br />
# Bundesamt für Sicherheit in der Informationstechnik: Leitfaden IT-Forensik. Version 1.0.1 (März 2011), S. 43ff.<br />
# NIST Special Publication 800-86 (August 2006), Guide to Integrating Forensic Techniques into Incident Response, Gaithersburg, MD: National Institute of Standards and Technology<br />
# ISO/IEC 27002:2013 + Cor 1:2014 + Cor 2:2015, deutsche Fassung DIN EN ISO/IEC 27002:2017, Informationstechnik – Sicherheitsverfahren – Leitfaden für Informationssicherheitsmaßnahmen, Berlin: Beuth, S. 97<br />
# ISO/IEC 27043:2015, deutsche Fassung DIN EN ISO/IEC 27043:2016, Informationstechnik – IT-Sicherheitsverfahren – Grundsätze und Prozesse für die Untersuchung von Vorfällen, Berlin: Beuth<br />
# Basar, Eren: Die Durchsuchung der IT: Welche Rechte bestehen im Ernstfall? Präsentation im Rahmen der Bitkom Akademie, 15.11.2018</div>
St181071