Vorfallsbehandlung, Incident Management, Computer Forensics

Autor: Philipp Schaumann

Sind Sie eigentlich vorbereitet?

Was passiert eigentlich bei Ihnen im Unternehmen, wenn mal was passieren würde? Wenn z.B. ein Anruf von einer anderen Firma käme, dass jemand von ihrem Netz aus diese Firma eingreift? Wenn die Polizei anrufen würde, es gäbe da einen Verdacht, dass jemand von ihrem Netz aus Darstellungen von 'sexueller Gewalt gegen Kinder' verschickt? Oder wenn jemand sagt, er hätte aus ihrem Netz ein Droh-E-Mail erhalten? Oder wenn ihre Website mit unsinnigen Daten überschwemmt wird (DoS-Angriff)? Wenn der Verdacht aufkommt, dass jemand Unterlagen nach Außen weitergibt?

Sind Sie auf so etwas vorbereitet? Weiß dann jeder, wer für die weitere Verfolgung zuständig ist und wer alles informiert werden muss? Und wissen Ihre Techniker, wie sie zur Erhärtung eines Verdachts so vorgehen müssen, dass nicht alle Beweise (z.B. letzter Zugriff auf eine Datei) unwiderbringlich zerstört sind und sie evtl. nicht mal mehr Beweise für einen Arbeitsgerichtsprozess haben?

Durch die Erstellung eines Vorfallshandbuchs können Sie sich und ihre Mitarbeiter auf solche Fälle vorbereiten. Die Vorteile:

  • sie haben klare Strukturen und Verantwortlichkeiten

  • es ist allen Beteiligten klar, wer wann benachrichtigt werden muss

  • jeder weiß, was er zu tun hat und in welcher Reihenfolge

  • durch korrektes systematisches Vorgehen bei der Beweissicherung bleiben evtl. später notwendige Beweise erhalten

Vorlagen für solche Handbücher gibt es in großer Menge, Google weiß ja alles. Aber das meiste Material ist

  • für die angelsächsische Rechtslage angelegt (die ganz andere Ansprüche bei der Beweissicherung haben)

  • zum großen Teil lediglich darauf angelegt, wie man herausfindet, ob ein Mitarbeiter sich "Nackerte" im Internet angeschaut hat und die wirklichen Bedrohungen und Herausforderungen werden ignoriert

  • weitgehend gefüllt mit trivialen Hinweisen auf Webbrowser und ihre Dateien

Dabei gibt es durchaus wichtige Fragen zu klären. Es gibt nämlich eine Reihe von Zielkonflikten zu behandeln. Die Sicherung des Geschäftsbetriebs beißt sich mit dem Wunsch, den Schaden zu begrenzen (z.B. indem der betroffene Rechner vom Netz genommen wird) und kann mit dem Wunsch nach Beweissicherung kollidieren. Was dabei die jeweils optimale Lösung ist und wer diese Entscheidungen treffen kann (und darf), sollte vor dem Eintreten eines Vorfalls geklärt sein.

Es ist daher sinnvoll, wenn jedes Unternehmen sich ein für österreichische Verhältnisse geeignetes Vorfallshandbuch erstellt, das für die jeweiligen Strukturen in Ihrem Unternehmen angepasst ist. Es sollte detaillierte Abläufe enthalten für

  • vorläufige Verifizierung der Vorfallsmeldung

  • Eskalation und Alarmierungschema

  • Verifizierung durch die Spezialisten und vorsichtige Beweissicherung

Natürlich ist es ratsam, dabei nicht bei Null anzufangen. Es folgt ein Gliederungsvorschlag, den der Autor auf Grund seiner Erfahrungen auf diesem Gebiet zusammengestellt hat.

 

 

 

Vorschlag für eine Gliederung

  • Einleitung und Zielsetzungen

  • Klassifizierungsschema und Abgrenzungen, Beispiele für Sicherheitsvorfälle

  • Das Security Incident Handling Teams

    • Interne Struktur des Security Incident Handling Teams

    • Entscheidung bzgl. Erweiterung der Security Incident Handling Teams

    • Externe Hilfe

    • Interne Eskalation

  • Vorgehensweise nach Meldung eines Sicherheitsverdachts

    • Initiierung des Incidents Handlings

    • Erste Schritte: Verifizierung, Dokumentation

    • Priorisierung und Kategorisierung des Sicherheitsverdachts

  • Durchführung von Analyse und Beweissicherung

  • Wann ist eine Beweissicherung notwendig?

  • Sicherstellen, dass das Recht auf Einsicht gegeben ist (Datenschutz, Mögliche Verletzung der Privatsphäre)

    • Inspektion laufender Systeme

    • Erstellung einer fälschungssicheren Kopie

    • Analyse einer Kopie der gesicherten Beweismittel

    • Ãœberprüfung, ob weitere Systeme betroffen sind

  • Forensic-Tools

    • Ausstattung für das Krisenteam

    • Kontaktliste

    • Inhalt eines „Forensics-Tool-Koffers“, Forensiche Werkzeuge (z.B. die zahlreichen Open Source Tools)

    • Forensiche Software

    • Ãœberprüfung, ob weitere Systeme betroffen sind

  • Nachträgliche Bewertung des Security Incidents (Post-mortem Analyse)

  • Juristischer Ãœberblick über relevante Gesetze

  • „Computer Crime“, österreichische Implementierung

  • Weiterführende Literatur

 

Weiterführende Themen

Bei der US-Standard-Organisation NIST gibt es einen Standard SP800-86 Integrating Forensic Techniques into Incident Response der bei diesem Thema sehr hilfreich ist.

Wenn es bei einem Vorfall richtig arg wird, so kommen wir noch ins Gebiet Notfallplanung, Business Continuity und Desaster Recovery. Dort gibt es auch Links auf entsprechende Standards.

Vorfallsbehandlung sollte immer Teil einer umfassenden Sicherheitskonzepts sein, mehr dazu unter Informationssicherheit und das Eisbergprinzip.

 



Philipp Schaumann, https://sicherheitskultur.at/


zeigende Hand als Hinweis auf Verlinkung zur HauptseiteHome

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License Icon
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.