Cyber Security: Was beinhaltet Forensik im Informationssicherheitsbereich?
Zertifizierte Kompetenz, um Angriffe abzuwehren und Werte zu schützen auf der Basis von BSI/ISO. Darum geht es in 15 intensiven Tagen unseres Lehrgangs. Neben Risikoanalysen, Security Frameworks und einem Deep Dive in Cybersecurity-Technologien, schreiben unsere Absolventinnen und Absolventen einen Blogbeitrag. Dieser ist von Michelle Widmer.
IT-Forensik ist eine wichtige Disziplin, um Sicherheitsvorfälle aufzuarbeiten und eine allfällige Strafverfolgung einzuleiten. Eine IT-forensische Untersuchung soll Antworten auf folgende Fragen liefern: Was, wo, wann und wie ist es geschehen?
Spurensicherung 2.0
Weiss gekleidete Forensiker mit Handschuhen und Lupe kennt man insbesondere aus der Unterhaltungsbranche – Sonntag für Sonntag suchen sie an Tatorten nach Spuren und Beweisen, um den Tätern und Täterinnen auf die Schliche zu kommen. Weniger prominent, dafür immer wichtiger sind digitale Spurensuche und Spurensicherung. Kriminalität im Internet sowie kriminelle Handlungen via IT-Systeme nehmen stetig zu: Der Cyber-Raum wird zum Tatort.
Forensik im Informationssicherheitsbereich
Als Teilgebiet der Forensik befasst sich IT-Forensik mit der Datenanalyse auf Datenträgern und in Computernetzen zur Aufklärung von Vorfällen. In der Informationssicherheit kommt der IT-Forensik insbesondere im Security Incident Response Management eine wichtige Bedeutung zu. Nach einem Sicherheitsvorfall sollen mittels IT-Forensik Antworten auf folgende Fragen gefunden werden: Was, wo, wann und wie ist es geschehen? Wie in der analogen Forensik sollen Spuren des Angreifers gesichert werden, um den Tathergang zu rekonstruieren und Hinweise auf den Täter zu finden. Da sowohl die Reaktion auf einen Vorfall als auch die Durchführung einer IT-forensischen Untersuchung ähnliche Fragen zu beantworten versuchen, kann die IT-Forensik als Bindeglied zwischen dem Incident Response Management und der Strafverfolgung bezeichnet werden. IT-Forensik kann aber auch für die Aufklärung von internem Fraud relevant sein, um nachzuvollziehen, ob und wie ein Betrugsvorfall stattgefunden hat.
Streng methodisches Vorgehen
Das Vorgehen hat laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) streng methodisch, jederzeit nachweisbar und begründbar zu sein. Der forensische Prozess, der als geschlossener Kreislauf angesehen werden kann, wird in strategische Vorbereitung, operative Vorbereitung, Datensammlung, Untersuchung, Datenanalyse und Dokumentation unterteilt. Wichtig ist die Erkenntnis, dass IT-Forensik nicht erst während respektive nach einem Sicherheitsvorfall zum Zuge kommt: Mit der proaktiven strategischen Vorbereitung können Qualität und Umfang der Gewinnung von Daten über einen Vorfall gesteigert werden. In der strategischen Vorbereitung werden zielgerichtete Massnahmen vor dem eigentlichen Eintreten eines Ereignisses getroffen. So werden beispielsweise Logdienste aktiviert und geeignete forensische Werkzeuge identifiziert und bereitgestellt. Sobald ein Vorfall eintritt, beginnen die Prozessschritte ab der operativen Vorbereitung – und somit die eigentliche IT-forensische Untersuchung.
Anforderungen an die Vorgehensweise
IT-Forensik bedient sich an den Techniken und akzeptierten Vorgehensweisen der Strafverfolgung. Entsprechende Prinzipien und Grundsätze müssen eingehalten werden, damit die Beweise vor Gericht zulässig sind. Laut dem BSI werden folgende Anforderungen an die Vorgehensweise bei einer forensischen Untersuchung gestellt:
- Akzeptanz
- Glaubwürdigkeit
- Wiederholbarkeit
- Integrität
- Ursache und Auswirkungen
- Dokumentation
Wichtig ist insbesondere, dass Authentizität und Integrität der erhobenen Daten und des Vorgehens während der Untersuchung gewährleistet sind. So müssen in der Dokumentation alle unternommenen Schritte und daraus gewonnenen Resultate lückenlos nachgewiesen werden. Es muss sichergestellt werden, dass jederzeit ein potenzieller Missbrauch respektive eine Verfälschung der Daten/Ergebnisse, die als Indizien oder Beweise für einen Vorfall dienen können, nachgewiesen werden kann. Mit der Einhaltung der sogenannten „Chain of Custody“ muss schriftlich festgehalten werden, auf welche Daten zu welchem Zweck durch welchen Forensiker und mit welchem Ergebnis zugegriffen wurden. Nur so kann die Gerichtsverwertbarkeit sichergestellt und allenfalls eine Strafanzeige erstattet werden.
Der Nutzen von IT-Forensik ergibt sich nicht nur aus der Möglichkeit, Beweise gerichtsverwertbar zu sichern, sondern auch aus dem stetigen Lernen: Der beste Schutz gegen Angreifer ist das Verständnis, wie diese denken und „ticken“.
Quellen
Leitfaden «IT-Forensik», BSI
Autorin: Michelle Widmer
CAS Cybersecurity und Information Risk Management
Beim nächsten CAS Cybersecurity und Information Risk Management dabei sein?
Persönliche Beratung
Sie würden sich gerne persönlich beraten lassen? Senden Sie ein E-Mail an martina.dallavecchia@fhnw.ch und vereinbaren Sie einen Termin.
Dozenten in diesem sehr praxisorientierten Lehrgang sind:
Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Andreas Wisler (goSecurity GmbH)
Kommentare
Keine Kommentare erfasst zu Cyber Security: Was beinhaltet Forensik im Informationssicherheitsbereich?