IT FOI RENSIK. Version 1.1

Transkript

1 IT FOI RENSIK Checklisten für KMUs und für die Verwaltung Version 1.1 Datum: 03. Februar 2014

2 Copyright BearingPoint GmbH, Frankfurt/Main, 2014 Alle Rechte vorbehalten. Dieses Dokument unterliegt dem Urheberrecht. Veränderungen, Kürzungen, Erweiterungen und Ergänzungen bedürfen der vorherigen schriftlichen Zustimmung von BearingPoint. Jede Vervielfältigung ist nur zum persönlichen Gebrauch gestattet und nur unter der Bedingung, dass dieser Urheberrechtsvermerk beim Vervielfältigen auf dem Dokument erhalten bleibt. Jede Veröffentlichung Übersetzung, gewerbliche Nutzung oder Nutzung zu Schulungszwecken bedarf der vorherigen schriftlichen Zustimmung von BearingPoint BearingPoint GmbH. Alle Rechte vorbehalten.

3 Inhaltsverzeichnis 1 Management Zusammenfassung Einleitung Zielsetzung Zielgruppe Rechtliche Rahmenbedingungen Der IT forensische Prozess Vorgehensmodell Zielsetzung des IT forensischen Prozesses Typischer Ablauf eines IT forensischen Prozesses IT forensische Methoden Unterteilung der IT forensisch relevanten Daten Weitere wichtige Aspekte des IT forensischen Prozesses CERT Taxonomie Die Bedeutung der Zeit in der IT Forensik Protokollierung der durchgeführten Maßnahmen IT forensische Maßnahmen Phase 1: Strategische Vorbereitung Phase 2: Operationale Vorbereitung Phase 3: Datensammlung Phase 4: Untersuchung Phase 5: Datenanalyse Phase 6: Dokumentation Anhang Checklisten Checklisten zum Thema strategische Vorbereitung Checklisten zum Thema operationale Vorbereitung Checklisten zum Thema Datensammlung Checklisten zum Thema Untersuchung Checklisten zum Thema Datenanalyse Checklisten zum Thema Dokumentation Glossar Tools/Werkzeuge IT forensische Untersuchungssysteme (Boot Systeme) IT forensische Toolkits Literatur und Quellenverzeichnis BearingPoint GmbH. Alle Rechte vorbehalten.

4 Abbildungs und Tabellenverzeichnis Abbildung 1: Bausteine des Vorgehensmodells (Quelle [BSI2011]) 8 Abbildung 2: Der IT forensische Prozess (Quelle, [BSI2011]) 9 Abbildung 3: Forensische Datenquelle eingeteilt in grundlegende Methoden und den enthaltenen Daten (Quelle [BSI2011]) 12 Abbildung 4: Die erweiterte CERT Taxonomie (Quelle: [BSI2011]). 13 Tabelle 1: Gegenüberstellung der Phasen des IT forensischen Prozesses und der IT forensischen Methoden (Quelle [BSI2011]) 11 Tabelle 2: Checkliste strategische Vorbereitung 23 Tabelle 3: Checkliste operationale Vorbereitung 26 Tabelle 4: Checkliste Einsatz eines digitalen Fahrtenschreibers 27 Tabelle 5: Checkliste Sicherung der flüchtigen Daten (Arbeitsspeicher) 30 Tabelle 6: Checkliste Sicherung der nichtflüchtigen Daten 32 Tabelle 7: Checkliste Datenuntersuchung 34 Tabelle 8: Checkliste Untersuchung der vom digitalen Fahrtenschreiber erfassten Daten 35 Tabelle 9: Checkliste Datenuntersuchung, allgemeine Übersicht 36 Tabelle 10: Checkliste Betrachtung der Log Daten 38 Tabelle 11: Checkliste Dokumentation, Vorbereitung 40 Tabelle 12: Checkliste Dokumentation, Durchführung 41 Tabelle 13: Checkliste untersuchungsbegleitende Dokumentation, einzelne Schritte BearingPoint GmbH. Alle Rechte vorbehalten.

5 1 Management Zusammenfassung Wie vom Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.v. (BITKOM) in [BITKOM2012] berichtet, waren etwa 40 % der deutschen Unternehmen, quer durch die Branchen, bereits Opfer eines Angriffs auf deren IT Systeme. Gut über die Hälfte der befragten Unternehmen (ca. 57 %) gab zu, dass die Angriffe auf die IT Systeme als eine reale Gefahr gesehen werden. Nichtsdestotrotz ist fast jedes zweite Unternehmen (ca. 45 %) auf solche Situationen kaum oder nicht ausreichend vorbereitet. Insbesondere die Phase nach der Feststellung eines stattgefundenen IT Vorfalls, nämlich die ITforensische Untersuchung, ist von großer Bedeutung. Im besten Fall, basierend auf den Ergebnissen der Untersuchung, sollen die Ursachen und die Täter identifiziert und gestellt werden. Weiterhin können weiterführende Maßnahmen abgeleitet werden, die das betroffene System für die Zukunft besser absichern. Damit die oben genannten Ziele erreicht werden können, muss die durchgeführte IT forensische Untersuchung systematisch abgehalten und lückenlos dokumentiert werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat für diesen Zweck einen Leitfaden publiziert (vgl. [BSI2011]), der im Detail die Thematik der IT Forensik erläutert. Das Dokument ist umfangreich gestaltet und stellt die wesentlichen Aspekte einer IT forensischen Untersuchung vor, beginnend mit der definierten Vorgehensweise und abgeleiteten Methodik über die Auflistung der einzelnen Maßnahmen und Schritte bis zum Vorschlag des Einsatzes von bestimmten Werkzeugen. Das Ziel dieses Dokumentes ist es, die Durchführung einer IT forensischen Untersuchung im Hinblick auf die gewünschte Systematik einerseits und auf die zu erzeugende Dokumentation andererseits weitgehend zu unterstützen. Im nächsten Kapitel wird detaillierter auf die Zielsetzung, Zielgruppen und herrschenden rechtlichen Rahmenbedingungen eingegangen. Es folgt ein Kapitel, das das Vorgehen und die Methodik einer ITforensischen Untersuchung skizziert. Das darauffolgende Kapitel stellt die dabei benutzten ITforensischen Maßnahmen vor. Im letzten Kapitel werden die Checklisten vorgestellt, die benutzten Begrifflichkeiten erklärt sowie die Literaturbasis beschrieben und eine Liste von IT forensischen Werkzeugen und Systemen vorgeschlagen BearingPoint GmbH. Alle Rechte vorbehalten.

6 2 Einleitung 2.1 Zielsetzung Dieses Dokument skizziert den Hintergrund einer IT forensischen Untersuchung, beschreibt deren sowohl rechtlichen als auch methodischen Rahmen und stellt eine Sammlung von Checklisten vor, deren Anwendung während der durchgeführten IT forensischen Untersuchung deren Systematik stützt und die Qualität der dabei erzeugten Dokumentation steigert. 2.2 Zielgruppe Dieses Dokument und die vorliegenden Checklisten richten sich an IT Verantwortliche und Sicherheitsbeauftragte von kleinen und mittleren Unternehmen (KMU) sowie im öffentlichen Dienst (Verwaltung). 2.3 Rechtliche Rahmenbedingungen Bei der IT Forensik müssen sowohl unterschiedliche organisatorische Interessen als auch rechtliche Rahmenbedingungen berücksichtigt werden. Insbesondere das Bundesdatenschutzgesetz (siehe [BDSG1990]) definiert den Rahmen, in dem sich IT Forensik bewegen darf. Durchführung von einfachen Untersuchungen berührt nicht das Mitbestimmungsrecht des Betriebsrats. Sollten bei der Analyse technische Tools eingesetzt werden und Datenaggregation durchgeführt werden (was eher den Normalfall einer IT forensischen Untersuchung wiedergibt), wird das Mitbestimmungsrecht sehr wohl ihre Anwendung finden (vgl. [BETRVG2001] Betriebsverfassungsgesetz). Generell ist vor jeder internen Ermittlung das Einholen vom juristischen Rat empfohlen. Außerdem sollten folgende Einheiten fallbezogen eingebunden werden: Unternehmenssicherheit, IT Sicherheitsbeauftragte, Datenschutzbeauftragte, Compliance Verantwortliche, Personalabteilung, Betriebsrat und Personalrat. Sind im Rahmen der Untersuchung auch private E Mails betroffen, finden automatisch zusätzlich das Telekommunikationsgesetz (vgl. [TKG2004]) und auch das Persönlichkeitsrecht, insbesondere der Schutz der Vertraulichkeit und Integrität informationstechnischer Systeme 1, ihre Anwendung. Die Analyse solcher Daten ist in der Regel nicht möglich. Ein ähnliches Vorgehen findet z. B. auch bei der Auswertung von den Verbindungsdaten der Mobiltelefone statt, die teilweise privat benutzt werden dürfen. In solchen Fällen ist zwingend das Einverständnis des betroffenen Mitarbeiters einzuholen. Folgende Gesetze und Richtlinien bilden u. A. einen rechtlichen Rahmen für eine IT forensische Untersuchung: Bundesdatenschutzgesetz [BDSG1990] Telekommunikationsgesetz [TKG2004] 1 Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (umgangssprachlich auch als IT Grundrecht bezeichnet) ist ein in der Bundesrepublik Deutschland geltendes Grundrecht, welches vornehmlich dem Schutz von persönlichen Daten dient, die in informationstechnischen Systemen gespeichert oder verarbeitet werden. Dieses Recht wird im Grundgesetz nicht eigens genannt, sondern wurde als spezielle Ausprägung des allgemeinen Persönlichkeitsrechts 2008 durch das Bundesverfassungsgericht derart formuliert bzw. aus vorhandenen Grundrechtsbestimmungen abgeleitet BearingPoint GmbH. Alle Rechte vorbehalten.

7 Betriebsverfassungsgesetz [BETRVG2001] Persönlichkeitsrecht abgeleitet aus dem Artikel 1 Abs. 1 GG in der Verbindung mit dem Artikel 2 Abs. 1 GG (vgl. [GG]). Darüber hinaus steht das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (vgl. [GESiS2013]) kurz von dessen Verabschiedung, das das Verhalten der Betroffenen im Falle eines IT Vorfalls regeln wird BearingPoint GmbH. Alle Rechte vorbehalten.

8 3 Der IT forensische Prozess Eine IT forensische Untersuchung kann insgesamt nur dann erfolgreich durchgeführt werden, wenn die einzelnen zugrundeliegenden Schritte der Untersuchung in Form eines Vorgehensmodells aufeinander abgestimmt werden (Systematik). Das Vorgehen wird wiederum durch einen forensischen Prozess vorgegeben. In diesem Kapitel wird ein anerkanntes Beispiel für einen IT forensischen Prozess kurz skizziert. Weiterführende Informationen diesbezüglich können dem Dokument [BSI2011] entnommen werden. 3.1 Vorgehensmodell Das ausgewählte Vorgehensmodell beinhaltet drei wesentliche Bausteine: Definition der zusammengehörigen Untersuchungsschritte (IT forensischer Prozess, siehe Kapitel 3.3), Kategorisierung der IT forensischen Methoden (grundlegende Methoden, siehe Kapitel 3.4) Kategorisierung der IT forensisch relevanten Daten (Datenmodell/Datenarten, siehe Kapitel 3.5). Abbildung 1: Bausteine des Vorgehensmodells (Quelle [BSI2011]) 3.2 Zielsetzung des IT forensischen Prozesses Im Verlauf des IT forensischen Prozesses müssen Maßnahmen (siehe Kapitel 4) gewählt werden, die Antworten auf die folgenden Fragen liefern: Was ist geschehen? Wo ist es passiert? Wann ist es passiert? Wie ist es passiert? IT forensische Untersuchungen beginnen mit der Frage, ob die aufgetretenen Symptome tatsächlich ursächlich durch einen Angriff oder einen andersartigen nicht erwünschten Eingriff in das System begründet sind. Unabhängig davon, ob es sich um eine gezielte oder ungezielte Aktion handelt, muss den obenstehenden vier Fragen nachgegangen werden. Ziel dieses Prozesses ist die Aufklärung des Zwischenfalls, aber auch die Anpassung des Systems, um eine Wiederholung des Vorfalls zu vermeiden BearingPoint GmbH. Alle Rechte vorbehalten.

9 3.3 Typischer Ablauf eines IT forensischen Prozesses Der IT forensische Prozess lässt sich in mehrere Phasen untergliedern, die sowohl unterschiedliche Zielsetzungen haben als auch den Einsatz verschiedener Tools erfordern. Im Rahmen dieses Dokumentes wird gem. [BSI2011] vorgegangen. Abbildung 2: Der IT forensische Prozess (Quelle, [BSI2011]) Die erste Phase ist die strategische Vorbereitung (SV). Sie beinhaltet Maßnahmen, die vorbereitende und schützende Funktionen haben und bereits implementiert werden können, bevor es zu einem IT Vorfall kommt. Teil dieser ersten Phase ist z. B. die Umsetzung eines vorhandenen Datensicherheitskonzeptes, das im Falle einer Störung den Datenverlust minimiert. Die zweite Phase, die operative Vorbereitung (OV), beginnt mit dem Verdacht eines IT Vorfalls und beinhaltet die detaillierte Planung der unmittelbaren Reaktion auf den Verdachtsfall. Hier wird über den Einsatz bestimmter IT forensischer Tools entschieden und zu untersuchende Datenträger identifiziert. Die dritte Phase, die Datensammlung (DS), beinhaltet die Zusammentragung von Analysematerial, welches in den nachfolgenden Phasen genauer betrachtet wird. Bei der Sammlung der Daten von unterschiedlichen Datenträgern sind u. a. Entscheidungen bezüglich der Wiederaufnahme der organisatorischen Tätigkeit gegenüber der Erhaltung potentiellen Beweismaterials zu treffen. Die vierte Phase, die Untersuchung (US), beschreibt eine erste ausführlichere inhaltliche Sichtung des relevanten Materials und grenzt die Anzahl der zu untersuchenden Datenträger und der sich darauf befindenden Daten weiter ein BearingPoint GmbH. Alle Rechte vorbehalten.

10 Die fünfte Phase, die Datenanalyse (DA), beinhaltet die detaillierte forensische Analyse der gesammelten Datenträger. Hier werden unterschiedliche Tools angewendet. Ziel ist es festzustellen, ob es sich um einen Angriff oder eine andere Art eines IT Vorfalls handelt und was ggf. das Ausmaß des Zwischenfalls ist. Die sechste und letzte Phase, die Dokumentation (DO), kann in zwei Haupttätigkeiten unterteilt werden. Die prozessbegleitende Dokumentation setzt ab der operativen Vorbereitung an und hält Handlungsentscheidungen während des gesamten Prozesses fest. Die abschließende Dokumentation beginnt nach Fertigstellung der Analyse und hält die Ergebnisse der forensischen Untersuchung fest. 3.4 IT forensische Methoden Die im Kapitel 3.3 vorgestellten Phasen des IT forensischen Prozesses können im Einzelnen durch die Anwendung von sog. IT forensischen Methoden (Verfahren) abgearbeitet werden. Das Dokument [BSI2011] listet solche anerkannten und für einzelne Phasen vorgeschlagenen forensischen Methoden auf. Grundsätzlich ist es möglich auch weitere Methoden für die Untersuchung zu benutzen, nur sollte der Nachweis deren Korrektheit, der Akzeptanz, der Glaubwürdigkeit und der Wiederholbarkeit einer ITforensischen Methode gelingen. Es werden sechs grundlegende IT forensische Methoden unterschieden (vgl. [BSI2011]): Betriebssystem (BS) die Gesamtheit der vom eingesetzten Betriebssystem angebotenen Möglichkeiten zur Unterstützung der Durchführung einer IT forensischen Untersuchung (z. B. Windows Registry), Dateisystem (FS) die Möglichkeiten des eingesetzten Dateisystems, auf die während der Durchführung der Untersuchung zurückgegriffen werden kann (z. B. Mechanismen: Journaling und/oder Schattenkopien/Versionierung), explizite Maßnahme zur Einbruchserkennung (EME) bedienen sich u. a. der Werkzeuge, die während der Phase der strategischen Vorbereitung implementiert wurden (z. B. Intrusion Detection System IDS), IT Anwendung (ITA) die Möglichkeiten der Unterstützung einer IT forensischen Untersuchung gegeben durch den Einsatz von Anwendungssoftware (z. B. Tabellenkalkulation, Datenbanken, Web Browser etc.), Skalierung der Beweismöglichkeiten (SB) diese Gruppe vereint alle diejenigen Werkzeuge, die erst im Falle eines IT Vorfalls aktiviert werden, da sonst diese die gewöhnliche Arbeitsweise des Systems zu stark beeinflussen würden (z. B. Mitschnitt des gesamten Netzwerkverkehrs etc.), Datenbearbeitung und Auswertung (DBA) die Werkzeuge, die im Sinne einer ITforensischen Untersuchung die relevanten Daten verarbeiten können (z. B. ein Log Dateien Parser etc.). Die beiden ersten Methoden sind von höchster Bedeutung im Falle, dass im Vorfeld keine strategische Vorbereitung stattgefunden hat. Die Gegenüberstellung der im Kapitel 3.3 vorgestellten Abarbeitungsschritte und der oben aufgelisteten Methoden wird in der folgenden Tabelle dargestellt (vgl. [BSI2011]): SV OV DS US DA DO BS X X X X X BearingPoint GmbH. Alle Rechte vorbehalten.

11 FS X X EME X X ITA X X SB X X DBA X X X X Tabelle 1: Gegenüberstellung der Phasen des IT forensischen Prozesses und der IT forensischen Methoden (Quelle [BSI2011]) 3.5 Unterteilung der IT forensisch relevanten Daten Die IT forensisch relevanten Daten werden im Rahmen von [BSI2011] in acht Datenarten unterteilt. Alle zusammen bilden eine IT forensische Datenquelle (FD): Hardwaredaten Daten, die durch das Betriebssystem bzw. Anwendungen gar nicht oder nur schwer geändert werden können (z. B. Seriennummer der Hardwarekomponenten oder RTC Zeit), Rohdateninhalte nicht näher qualifizierte Datenströme von Teilkomponenten des Systems (z. B. Speicherabzüge oder Festplatten Images), Details über Daten (Metadaten) Informationen über die eigentlichen Nutzdaten (z. B. Zeitstempel oder Zugriffsrechte von Dateien oder Sequenznummern der Netzwerkpakete), Konfigurationsdaten durch das Betriebssystem bzw. Anwendungen veränderbare Daten, die zwar das System, aber nicht das Kommunikationsverhalten verändern (z. B. die Zuordnung bestimmter Dateitypen zu einer Anwendung etc.), Kommunikationsprotokolldaten kontrollieren das Kommunikationsverhalten der Systeme untereinander (extern) oder auch der Prozesse untereinander (intern) (z. B. die Tabelle mit der aktuellen TCP/IP Verbindungen netstat ), Prozessdaten beschreiben einen auf dem System laufenden Prozess (z. B. Status, Eigentümer, Priorität etc.), Sitzungsdaten gesammelt während einer Sitzung, die durch einen Benutzer, durch das Betriebssystem oder auch durch eine Anwendung initiiert wurde (z. B. eine Liste der abgerufenen Webseiten), Anwenderdaten vom Benutzer bearbeitete oder konsumierte Daten (z. B. Texte, Videos etc.). Das oben vorgestellte Datenmodell erfasst die in dem System gespeicherten und ggf. IT forensischrelevanten Daten und zwar unabhängig von speziellen IT forensischen Werkzeugen. Der Zusammenhang der im Kapitel 3.3 vorgestellten Phasen eines IT forensischen Prozesses mit der im Kapitel 3.4 dargestellten IT forensischen Methoden und mit dem oben definierten Datenmodell wird durch die Abbildung 3 visualisiert BearingPoint GmbH. Alle Rechte vorbehalten.

12 Abbildung 3: Forensische Datenquelle eingeteilt in grundlegende Methoden und den enthaltenen Daten (Quelle [BSI2011]) Diese Zusammenstellung ergibt ein dreidimensionales Bild, in dem abhängig von derr benutzten Methode entsprechende Felder des Kreises IT forensischee Phasen/IT forensische Prozesses Daten als relevant bezeichnet werden. 3.6 Weitere wichtige Aspekte des IT forensischen Im Folgenden wird detaillierter auf ausgewähltee Aspekte des IT forensischen Prozesses eingegangen, die wegen der erhöhten Wichtigkeit besonders hervorzuheben sind CERT Taxonomie Um eine Aufklärung eines Vorfalls erfolgreich abzuschließen, muss dieser systematisch beschrieben werden. Der Einsatz einer sog. CERT Taxonomiee hatte sich für diese Zwecke bewährt. Die folgende Abbildung stellt die erweiterte CERT Taxonomiee dar, die vorsätzliche Handlungen imm Rahmen eines Vorfalls adressiert BearingPoint GmbH. Alle Rechte vorbehalten.

13 Abbildung 4: Die erweiterte CERT Taxonomie (Quelle: [BSI2011]). Der gesamte Angriffsverlauf wird gem. der CERT Taxonomie in Vorfall, Angriff und Ereignis klassifiziert. Ein Vorfall besteht somit aus einem Angreifer mit einer Absicht und einen Angriff. Der Angriff wiederum umklammert benutzte Werkzeuge, ausgenutzte Schwachstelle, entstandenes Ereignis und erzielte Resultat. Letztendlich wird das Ereignis durch eine Aktion und daraus resultierendes Ziel gegeben. Die dabei verfolgte Interpretation lautet wie folgt. Ein Angreifer nutzt mithilfe bestimmter Werkzeuge eine dedizierte Schwachstelle im System aus um bestimmte Aktionen auszuführen. Die Aktionen verfolgen ein bestimmtes Ziel und erzielen ein bestimmtes Resultat, das von dem Angreifer beabsichtigt wurde. Detaillierte Informationen zum Thema erweiterte CERT Taxonomie sind in [BSI2011] zu finden Die Bedeutung der Zeit in der IT Forensik Da die Zeit eine herausragende Rolle für die IT Forensik spielt, ist es von großer Bedeutung deren zuverlässige Quelle zur Verfügung zu stellen, sowie ggf. stattgefundene Manipulation zu erkennen. Die Sicherstellung der korrekten Systemzeit gehört zu den Aufgaben der strategischen Vorbereitung. Es werden drei Ausbaustufen unterschieden (vergl. [BSI2011]): niedrigste Ausbaustufe Synchronisation des Netzwerks mit einem zuverlässigen Zeitservers (NTP) 2, mittlere Ausbaustufe Integration eines sog. DCF 77 3 Empfänger in das Netzwerk, der die Zeiteingaben über Langwelle empfängt, hohe Ausbaustufe Kombination von einem DCF 77 und einem GPS Empfänger 4 zwei unabhängige Quellen. 2 Empfohlen wird folgender Server: ntp1.ptb.de 3 Vergl BearingPoint GmbH. Alle Rechte vorbehalten.

14 Eine der vorrangigen Aufgaben einer IT forensischen Untersuchung ist der Aufbau eines sog. Zeitstrahles der Ereignisse (vergl. Kapitel 4.5). Die Zuverlässigkeit dieser Maßnahme setzt eine unverfälschte und verifizierte Zeitquelle, die für die Protokollierung der Ereignisse im System benutzt wurde. Es kann vorkommen, dass um die Vorfallspuren zu verwischen die Systemzeit manipuliert wurde. Es ist wichtig während der Durchführung der IT forensischen Untersuchung über eine unabhängige, geprüfte Zeitquelle zu verfügen Protokollierung der durchgeführten Maßnahmen Eins der wesentlichen Ziele einer IT forensischen Untersuchung ist die Erstellung einer möglich lückenlosen Beweiskette, die der Aufklärung des Vorfalls dienen soll. Dieses kann nur dann zu einem Erfolg führen, wenn die Durchführung aller unternommene IT forensische Maßnahmen lückenlos dokumentiert (protokoliert) wurde. Die den IT forensischen Prozess begleitende Dokumentation zeichnet nicht nur welche Daten beim Durchführen von welchen IT forensischen Methoden gewonnen wurden, aber sie hält auch die Parameter der Durchführung selbst fest. Es ist stets die Einhaltung des sog. Vier Augen Prinzips bei der Durchführung der Untersuchungen empfohlen. Im Kapitel sind beispielhafte Checklisten, die die Erstellung einer begleitenden Dokumentation unterstützen, dargestellt. 4 siehe dazu u. a BearingPoint GmbH. Alle Rechte vorbehalten.

15 4 IT forensische Maßnahmen Die generellen IT forensischen Maßnahmen, die gemäß des im Kapitel 3.3 vorgestellten IT forensischen Prozesses zu treffen sind, werden in diesem Kapitel beschrieben. Im Kapitel 5.1 werden diese generellen Maßnahmen, um detailliertere ergänzt und in Form von Checklisten zur einfacheren Nutzung zur Verfügung gestellt. Die strategische Vorbereitung ist die hier am ausführlichsten beschriebene Phase. Dies ist darin geschuldet, dass auch alle vorbereitenden Maßnahmen unter diesen Aspekt fallen. Die weiteren fünf Phasen beschäftigen sich mit dem Prozess ab dem Moment eines IT Vorfalls. 4.1 Phase 1: Strategische Vorbereitung Im Folgenden werden Maßnahmen, die im Vorfeld von IT forensischen Untersuchungen implementiert werden sollten, dargestellt. Etablierung eines Datenschutzmanagements Auch während einer forensischen Ermittlung gelten betriebliche und gesetzliche Regelungen des Datenschutzes (siehe 3a des Bundesdatenschutzgesetzes, [BDSG1990]). Sowohl auf technischer als auch auf organisatorischer Ebene müssen hierfür konkrete Regeln bestehen. Dies beinhaltet die Erhebung, Speicherung, Verarbeitung, Übermittlung und den Transport von Informationen innerhalb und zwischen Organisationen. Einrichtung eines Computer Incident Response Teams Die Einrichtung eines Computer Incident Response Teams ermöglicht eine sachgerechte und zügige Bearbeitung von IT Vorfällen. Da es sich um potentielle Gesetzesvergehen handeln kann, ist eine entsprechende Sensibilisierung und Ausbildung der zuständigen Team Member von hoher Wichtigkeit. Erstellung eines Grobkonzeptes für die Sicherheitsvorfallbehandlung Dies beinhaltet die Festlegung von Eskalations und Alarmierungsregelungen und das Festhalten von Weisungskompetenzen bei Sicherheitsvorfällen, um eine schnelle und ordnungsgemäße Reaktion auf IT Vorfälle zu ermöglichen. Erstellung eines Security Monitorings und Alarmierungskonzepts Im Security Monitorings und Alarmierungskonzept geht es darum, festzulegen, welche Daten in welchen Situationen gespeichert (z. B. Login Versuche, Datenzugriff etc.) und im Rahmen einer forensischen Analyse ausgewertet werden dürfen. Die Weiterleitung der gespeicherten Daten zu abgesicherten Servern fällt ebenfalls unter diese Thematik. Erstellung eines Datensicherungskonzepts Ein Datensicherheitskonzept beinhaltet die Planung und Durchführung von regelmäßigen Sicherheitsspeicherungen sowie die Gewährleistung der Verfügbarkeit von Ersatzhardware im Falle eines IT Vorfalls. Ziel eines solchen Konzeptes ist zum einen eine schnelle Wiederaufnahme der Arbeitstätigkeit zu ermöglichen, aber auch die Sicherung von eventuell komprimierten Daten BearingPoint GmbH. Alle Rechte vorbehalten.

16 Erstellung eines Patchmanagementkonzepts Um Sicherheitslücken schnell identifizieren zu können, ist eine Erhebung der Aktualisierungsstände der verwendeten Software hilfreich. Informationen über Updates und Patches sollten für jegliche Hardware vorhanden sein und aktualisiert werden. Erstellung und Pflege eines Systeminventars Dieser Aspekt beinhaltet die Sammlung von Informationen zu zentralen Programmen (z. B. Versionsnummern). Eine Übersicht von verwendeten Geräten und Programmen mit ihren Zugriffsrechten sollte regelmäßig aktualisiert werden, um potentielle Schwachstellen schneller identifizieren zu können. Erstellung eines detaillierten Netzplans Eine genau Abbildung des organisationsinternen Netzes anhand eines Netzplans ermöglicht die Identifikation von potentiellen Einsatzpunkten für forensische Werkzeuge, wie z. B. Intrusion Detection Systems (siehe unten). Einrichtung eines Intrusion Detection Systems (IDS) Intrusion Detection Systeme sind in der Lage vor, während und nach Vorfällen wichtige Daten zu sammeln, die Aufschluss über Typ und Merkmale von Angriffen oder anderen Zwischenfällen geben können. Einrichtung eines zentralen Log Servers Auf einem zentralen Log Server werden Logs aller IT Komponenten gespeichert und für potentielle ITforensische Untersuchungen gesichert. Um eine weitgehend manipulationssichere Speicherung von Daten zu gewährleisten, sollten Zugriffsrechte nur einer minimalen Anzahl von Mitarbeitern gestattet werden. Ein separates Netzsegment für den zentralen Log Server erhöht die Sicherheit. Anlegung einer Liste der verfügbaren forensischen Tools Um auf Veränderungen der Verfügbarkeit der verwendeten forensischen Software kurzfristig reagieren zu können, sollte eine Liste mit Alternativen angelegt und periodisch aktualisiert werden. Die verwendeten Tools sollten nach fest definierten Kriterien bewertet werden, um eine Vergleichbarkeit herzustellen und die Abhängigkeit von einzelnen Herstellern und Tools zu minimieren. Eine Liste gängiger Tools der IT Forensik befindet sich im Anhang dieses Dokuments. Einrichtung einer forensischen Workstation Durch den Einsatz einer forensischen Workstation kann die Reaktion auf IT Vorfälle von einem vorbestimmten Ort innerhalb des Netzwerkes geleitet werden. Von der Workstation aus können z. B. Rechte diverser Beteiligter eingeschränkt oder ein Schreibschutz für bestimmte Daten eingerichtet werden. Hierbei handelt es sich um einen dezidierten Rechner, von dem die hier beschriebenen Eingriffe und Analyseschritte ausführbar und die ggf. notwendigen forensischen Tools bereits installiert und getestet sind. Einrichtung eines digitalen Fahrtenschreibers Bei einem digitalen Fahrtenschreiber handelt es sich um ein Erfassungstool für die Netzwerkkommunikation, welches es ermöglicht, forensische Informationen zu sammeln ohne das der Verursacher des Vorfalls bzw. installierte Schadprogramme den Einsatz dieses Tools bemerkt BearingPoint GmbH. Alle Rechte vorbehalten.

17 Integration mit COBIT und ITIL Falls COBIT (Control Objectives for Information and Related Technology) 5 oder ITIL (IT Infrastructure Library) 6 in der gegebenen Organisation verwendet werden, ist es möglich und empfehlenswert die IT Forensik und die hier beschriebenen strategischen Vorbereitungen in diese Systeme zu integrieren. Eine genaue Beschreibung eines solchen Integrationsprozesses findet sich in [BSI2011]. 4.2 Phase 2: Operationale Vorbereitung Die operative Vorbereitung beginnt mit dem Verdacht eines IT Vorfalls und beinhaltet die spezifische Planung des Vorgehens (Auswahl des Analysegegenstandes, der dazu notwendigen Analysetools, der zu dokumentierenden Schritte etc.). Die wichtigen Aspekte dieser Phase sind die Festlegung des rechtlichen Rahmens und die Entscheidung für sogenannte live oder post mortem Analysen. Festlegung des rechtlichen Rahmens für die Untersuchung Wie schon im Kapitel 4.1 dargelegt, gelten auch während der IT forensischen Untersuchung die gesetzlichen und betrieblichen Regelungen. Es ist daher wichtig, soweit noch nicht während der strategischen Phase geschehen, diese vor der Untersuchung festzulegen bzw. zu bestätigen. Auswahl der Datenträger Einige der Tools der strategischen Vorbereitung erleichtern die Identifikation betroffener Datenträger deutlich. Dies ist besonders wichtig, um potentielle Folgeschäden zu minimieren und auf der anderen Seite ggf. eine Strafverfolgung zu unterstützen. Auswahl der geeigneten forensischen Tools Nach der Festlegung der zu untersuchenden Datenträger werden die für Untersuchungszweck und gegenstand passenden forensischen Tools ausgewählt. Dabei ist auf Besonderheiten wie die potentielle Zerstörung oder Veränderung von Beweismaterial Rücksicht zu nehmen. Abschaltung des Systems Das Abschalten eines IT Systems kann sinnvoll sein, falls Vorfälle bemerkt werden während ein Angreifer noch aktiv auf das System zugreift und ggf. Daten kopiert. Hier muss abgewogen werden, ob der Schutz des Systems oder die Datensammlung über den Angreifer von größerer Wichtigkeit ist. Weiterhin lassen sich mehrere Arten der Systemabschaltung unterscheiden (geordnetes Herunterfahren, Entfernung der Stromversorgung). Ob und wie ein IT System nach einem IT Vorfall abgeschaltet werden sollte, ist im Einzelfall Abwägungsfrage und ist von weiteren Aspekten, wie der Zentralität eines einzelnen Systems innerhalb eines Netzwerks, abhängig. Trennung vom Netz Bei der Trennung eines Systems vom Netz stellt sich eine ähnliche Abwägungsfrage wie bei der Abschaltung eines Systems (siehe oben). Ein möglicher Datendiebstahl muss gegen die Sicherung von Beweismaterial und die Beeinträchtigung der Funktionsweise des eigenen Systems abgewogen werden. 5 ISACA: 6 ITIL: officialsite.com BearingPoint GmbH. Alle Rechte vorbehalten.

18 4.3 Phase 3: Datensammlung Die Datensammlung ist die letzte Phase vor der direkten Auseinandersetzung mit den Dateninhalten, die ggf. durch den IT Vorfall kopiert, verändert, beschädigt oder gelöscht worden sind. Um einen Überblick zu ermöglichen, werden alle potentiell relevanten Daten zusammengetragen und systematisiert. Um der Anforderung der Authentizitätssicherung der sichergestellten Daten Folge zu leisten ist insbesondere das Vier Augen Prinzip während der Datensammlung stets zu beachten. Die forensische Duplikation Eine forensische Duplikation wird vorgenommen, um die Ziele der Wiederaufnahme der Geschäftstätigkeiten und der Sicherung von Beweismaterial zusammenzubringen. Datenträger auf die unerlaubt Zugriff genommen wurde oder die andersartig in eine forensische Untersuchung involviert sind werden kopiert, um den Originaldatenträger wieder für betriebliche Tätigkeiten nutzen zu können. Das Duplikat steht der IT forensischen Untersuchung zur Verfügung ohne die Wiederaufnahme der Geschäftstätigkeiten weiter zu verzögern. Einsatz eines digitalen Fahrtenschreibers Der Einsatz eines digitalen Fahrtenschreibers erlaubt die verdeckte Echtzeiterfassung der Netzwerkkommunikationsdaten. Dies kann von großer Wichtigkeit sein, wenn Angreifer um die Verwischung eigener Spuren bemüht sind oder durch Schadprogramme weitere Beschädigungen auf angegriffene Datenträger erzielen wollen. 4.4 Phase 4: Untersuchung Mit der Untersuchung beginnt die forensische Analyse der in Phase 3 spezifizierten Daten und Datenträger. Durch die Sichtung des Materials wird eine Entscheidungsgrundlage für die vertiefende Analyse geschaffen. Reduktion von Daten Um die große Menge an gesammelten Daten zu reduzieren, werden geeignete Daten herausgefiltert. Nach der Untersuchung ist es ersichtlich, ob diese für den betrachteten Vorfall relevant sind oder nicht. Dadurch ist es möglich, diese Daten gegebenenfalls außen vor zu lassen, um so eine Konzentration auf die wesentlichen und Fall relevanten Daten zu ermöglichen. Untersuchung von Log Dateien Insbesondere die Inhalte von diversen Log Dateien, die von einem IT System geschrieben werden, stellen eine wertvolle Quelle für die nachgelagerte Datenanalyse dar. Um die Datenanalyse zu ermöglichen, ist es notwendig, während der Untersuchung die relevanten Inhalte zu identifizieren und in einem folgenden Schritt in ein einheitliches Format zu überführen. Auf diese Weise vorbereitete Daten können direkt in der Analysephase verwendet werden. 4.5 Phase 5: Datenanalyse Die Phase 5 vertieft die in der Phase 4 erzielten Ergebnisse. Ausgehend von den gesammelten und untersuchten Daten wird der Versuch unternommen, die Daten in einer zeitlichen sowie einer korrelierenden Relation zu stellen. Es ist dabei sehr wichtig, dass die zeitlichen Abläufe plausibel und BearingPoint GmbH. Alle Rechte vorbehalten.

19 nachvollziehbar sind. Das Ziel ist aus den Ergebnissen der Analyse auf die mögliche Urheberschaft der Daten zu schließen. Erzeugung einer Zeitlinie (engl. timeline) Eine der wichtigsten Aufgaben während der Durchführung der Phase der Datenanalyse ist die Erstellung einer Korrelation von Ereignissen anhand des Zeitpunkts, zu dem diese stattfanden. Es entsteht dabei eine sogenannte Zeitlinie, die die aus verschiedenen Quellen stammenden Ereignisse in eine chronologische Ordnung bringt. Die unverzichtbare Basis der Erstellung einer verlässlichen Korrelation ist natürlich eine vertrauenswürdige Zeiteingabe. Sichere Löschung von Analysedaten Zum Abschluss der Analysephase sollten die für die Analyse erstellten Daten sicher gelöscht werden. Die während der Duplikation und Analyse verwendete Hardware muss für den nächsten potentiellen Einsatz bereitgestellt werden. Einer Löschung solcher Daten geht die ausführliche Dokumentation der forensischen Untersuchung voraus. 4.6 Phase 6: Dokumentation Die Dokumentation läuft sowohl parallel zur Untersuchung als dass sie diese auch abschließt, um eine kontinuierliche Optimierung der IT Sicherheit im Hinblick auf IT forensische Vorfälle zu erreichen. Aus IT Vorfällen gewonnene Erkenntnisse fließen nach dem oben dargestellten Prinzip eines Kreislaufes wieder in die strategische Vorbereitung ein und verbessern so die Sicherheit gegen bekannte Angriffe. Die Checklisten, die im Rahmen des Kapitels 5.1 vorgestellt sind, können als eine unterstützende Maßnahme zur Erzeugung der Untersuchungsdokumentation dienen. Durchführung einer Why Because Analyse Eine Why Because Analyse ist eine kausale Beschreibung eines IT Vorfalls. Notwendige und hinführende Bedingungen der Einzelhergänge werden beschrieben, um ein detailliertes Bild des Tathergangs festzuhalten und die IT Sicherheit in Folgeschritten zu optimieren. Erstellung einer lückenlosen Beweiskette Beschlagnahmte Hardware sollte systematisch gekennzeichnet und an einem physisch gesicherten Ort gelagert werden. Typ, Zustand und Besitzer des Gegenstandes sind eindeutig zu beschreiben und ein Zugriff nach Sicherstellung ist nach Möglichkeit zu vermeiden, ggf. sind Zugriffe mit eindeutiger Personenzuweisung und Handlung festzuhalten BearingPoint GmbH. Alle Rechte vorbehalten.

20 5 Anhang In diesem Kapitel sind die Checklisten (Kap. 5.1), das Glossar (Kap. 5.2), gängige IT forensische Tools (Kap. 5.3) und das Literaturverzeichnis (Kap. 5.4) zu finden. 5.1 Checklisten Dieses Kapitel beinhaltet eine Sammlung von Checklisten, die im Falle eines Vorfalls eine erste Orientierungshilfe bieten und die vorzunehmenden Handlungen koordinieren helfen, um die Erstellung einer aussagekräftigen Dokumentation der Untersuchung zu unterstützen. Die einzelnen Checklisten fangen mit der Erfassung der Daten zu dem Vorfall selbst (wann? und was?) und zu dem Bearbeiter (wer?) an. Es folgt eine Liste von Fragen, deren Ausführung im Rahmen der Untersuchung vom genannten IT Vorfall beantwortet werden sollte. Zu jeder Frage sollte der Ausfüllende einen Kommentar schreiben, indem (wenn zutreffend) zumindest der Fertigstellungsgrad der Aufgabe dokumentiert wird sowie ggf. auftretende Besonderheiten beschrieben werden. Die besonders wichtigen Aufgaben werden durch (*) gekennzeichnet. In vielen Fällen wurden an die einzelnen Punkte noch nützliche Hinweise angehängt, die einen erklärenden Charakter haben Checklisten zum Thema strategische Vorbereitung Wie schon im Kapitel 4.1 dargestellt wurde, ist die Phase der strategischen Vorbereitung zeitlich vor dem Auftreten eines IT Vorfalls eingegliedert. Die im Vorfeld getroffenen und mithilfe dieser Checkliste dokumentierten Maßnahmen beeinflussen stark den weiteren Verlauf der IT forensischen Untersuchung. Wenn beispielweise keine Maßnahmen getroffen wurden, um den rechtlichen Rahmen für den Umgang mit privaten Daten abzustecken (Stichwort: erlaubte Nutzung des Internets für private Zwecke), dann dürfen diese nicht ohne separate Einwilligung der Betroffenen erfasst werden. Datum: Vorfall: Bearbeiter: Strategische Vorbereitung Ja Nein 1. Wurden Maßnahmen getroffen, um die Konformität gegenüber dem rechtlichen Rahmen sicherzustellen? (*) Hinweis! Datenschutzrechtliche Aspekte, Einwilligung zur Einsicht im Falle von gestatteter Privatnutzung, Mitbestimmungsrechte etc. 2. Gibt es ein Notfallkonzept, das die erste Reaktion auf die IT Vorfälle präzisiert? (*) Hinweis! Weisungskompetenzen, Eskalations und Alarmierungswege, Informationspolitik etc BearingPoint GmbH. Alle Rechte vorbehalten.

21 3. Wurde ein Computer Incident Response Team (CIRT) zusammengestellt und mit entsprechenden Anweisungen und Befugnissen ausgestattet? 4. Wurde ein Konzept für das Monitoring und ggf. die Alarmierung entwickelt? Hinweis! Es ist wichtig zu wissen, welche Daten ggf. im System vorhanden sind. 5. Werden die Daten regelmäßig gesichert? (*) 6. Gibt es ein Datensicherungskonzept? 7. Gibt es ein Update und Patchmanagementkonzept? (*) Hinweis! Ermittlung des akt. Zustands der Komponenten, Patch und Update Level. 8. Wurde das bestehende Inventar erfasst? (*) 9. Gibt es einen detaillierten Netzwerkplan? (*) BearingPoint GmbH. Alle Rechte vorbehalten.

22 10. Wurde ein Intrusion Detection System (IDS) eingerichtet und benutzt? (*) Hinweis! Ein IDS protokolliert in der Regel nur erkannte Anomalien, nicht den ganzen Netzwerkverkehr (siehe dazu Punkt 12). 11. Gibt es einen zentralen Log Server? (*) 12. Wurde ein digitaler Fahrtenschreiber eingerichtet und ist dieser einsatzbereit? (*) 13. Wurde eine IT forensische Workstation eingerichtet und steht diese während der Aufklärung des Vorfalls zur Verfügung? (*) 14. Ist ITIL oder COBIL in der betroffenen Organisation eingesetzt? Fand eine Integration der IT Forensik in das verwendete System statt? 15. Wurden die einzelnen unternommenen Schritte dokumentiert? (*) 16. Die Integrität (ggf. auch Authentizität und Vertraulichkeit) der während der Untersuchung erzielten Ergebnisse (z. B. Dokumentation) wurde gesichert BearingPoint GmbH. Alle Rechte vorbehalten.

23 Tabelle 2: Checkliste strategische Vorbereitung Checklisten zum Thema operationale Vorbereitung Die Phase der operationalen Vorbereitung startet die tatsächliche Untersuchung eines IT Vorfalls. Die wichtigsten Entscheidungen dieser Phase sind die Festlegung der rechtlichen Rahmen und Herbeiführung einer Entscheidung über Trennung des betroffenen Systems vom Netz bzw. von der Stromversorgung. Datum: Vorfall: Bearbeiter: Operationale Vorbereitung Ja Nein 17. Wurde ein IT Forensiker beauftragt? (*) Hinweis! Diese Frage ist besonders wichtig, denn im Falle, dass ein externer IT Forensiker die Untersuchung übernimmt, ist das weitere Vorgehen mit dieser Person direkt abzustimmen. 18. Wurden, um die ggf. vorgeschriebenen Mitbestimmungsrechte zu wahren, der Personal bzw. der Betriebsrat informiert? (*) Hinweis! Ggf. sind diese Instanzen ein Bestandteil von der vorhandenen CIRT. 19. Wurde an die Berücksichtigung aller datenschutzrechtlichen Vorgaben (z. B. Bundesdatenschutzgesetz, Landesdatenschutzgesetz usw.) gedacht? (*) Hinweis! Miteinbeziehung der zuständigen Datenschutzbeauftragten, ggf. Bestandteil von CIRT. 20. Wurde ein begründeter Verdacht einer Straftat festgestellt? (*) Hinweis! Ggf. kann es sofort ersichtlich werden, dass es sich bei dem zu untersuchenden IT Vorfall um eine Straftat handelt. In solchem Fall müssen unbedingt die zuständigen Behörden informiert werden BearingPoint GmbH. Alle Rechte vorbehalten.

24 21. Handelt es sich bei dem Verdächtigen um einen Berufsgeheimnisträger (z. B. ein Soldat, ein Richter aber auch mit besonderen Rechten ausgestatteter Mitarbeiter, z.b. ein Berater einer Regierungsorganisation)? (*) Hinweis! Dieser Punkt kann u. U. den zu verwendenden Schutzbedarf stark beeinflussen. 22. Ist das Unternehmen KEIN Eigentümer des Gerätes (z. B. ein Dritter bzw. ein BYOD Fall)? (*) Hinweis! Es ist zu klären, inwiefern das betroffene Gerät für die Untersuchung einbehalten werden darf. Ggf. muss eine Einwilligung des Besitzers eingeholt werden und/oder ein Ersatzgerät zur Verfügung gestellt werden. Einen weiteren wichtigen Aspekt stellen die privaten Daten dar. In dem Fall ist die Einwilligung des Besitzers zu deren Einsicht unabdingbar. 23. Sofern die private Nutzung des betroffenen Gerätes gestattet wurde, ist die Einwilligung des Nutzers des zu untersuchenden Gerätes zum Zugriff auf diese Daten eingeholt? Hinweis! Dieser Aspekt wurde u. U. schon während der SV Phase behandelt (vgl. dazu die Punkte 1 und/oder 2). 24. Wurde dafür gesorgt, dass bei der Untersuchung das Vier Augen Prinzip bewahrt wird? (*) Hinweis! Es ist notwendig, dass während der Durchführung von jeder Tätigkeit ein Zeuge die durchführende Person begleitet. 25. Wurde der Zugang zu den betroffenen IT Systemen für die Unbefugten verhindert BearingPoint GmbH. Alle Rechte vorbehalten.

25 (Absperrung und Regelung des Zugangs zu Räumlichkeiten)? 26. Ist das betroffene System gezielt vom Netzwerk getrennt worden? 27. Ist das betroffene System gezielt von der Stromversorgung getrennt worden? Hinweis! Im Falle der stattgefundenen Trennung ist es von Bedeutung, ob das System gemäß den Vorgaben des jeweiligen Herstellers heruntergefahren wurde oder durch das Kappen der Versorgung abrupt ausgeschaltet wurde. 28. Wurde ein geeigneter Datenträger für die Sicherung der IT forensisch relevanten Daten ausgewählt und vorbereitet? 29. Wurden die zur Untersuchung geeigneten IT forensischen Werkzeuge ausgewählt? (*) Hinweis! Mögliche IT forensische Tools sind in Kap. 5.3 zu finden. 30. Wurden die einzelnen unternommenen Schritte dokumentiert? 31. Die Integrität (ggf. auch Authentizität und Vertraulichkeit) der während der Untersuchung erzielten Ergebnisse wurde gesichert BearingPoint GmbH. Alle Rechte vorbehalten.

26 Tabelle 3: Checkliste operationale Vorbereitung Checklisten zum Thema Datensammlung Die Phase der Datensammlung stellt die letzte von den drei vorbereitenden Phasen dar. Abhängig vom eingesetzten Untersuchungsmodus: Online vs. Offline Forensik, kommen auch bestimmte Maßnahmen zum Einsatz. In diesem Kapitel werden die Maßnahmen zum Einsatz des digitalen Fahrtenschreibers, zur Erstellung eines IT forensischen Duplikates von flüchtigen Daten sowie zur Erfassung eines IT forensischen Duplikates der nichtflüchtigen Daten vorgestellt. Datum: Vorfall: Bearbeiter: Einsatz eines digitalen Fahrtenschreibers (Aufzeichnung der Netzwerkkommunikation) Ja Nein 32. Kam der sog. digitale Fahrtenschreiber zum Einsatz? Wurde die Netzwerkkommunikation erfasst? (*) Hinweis! Wurde das System vom Netz bzw. von der Stromversorgung getrennt, dann hat diese Checkliste keine Bedeutung. 33. Die Systemzeit der digitalen Fahrtenschreiber wurde überprüft und ggf. justiert. 34. Die Kommunikationsdaten (sowohl die Protokoll als auch die Anwenderdaten) wurden vom digitalen Fahrtenschreiber protokolliert. 35. Die Authentizität der mitgeschriebenen Daten wurde vom digitalen Fahrtenschreiber sichergestellt. Hinweis! Die einzelnen Einträge der Datenerfassung werden entsprechend mit einem Digest (Hashwert) gesichert. Es wird empfohlen mindestens das Algorithmus SHA1 zu benutzen BearingPoint GmbH. Alle Rechte vorbehalten.

27 36. Die Integrität der mitgeschriebenen Daten wurde vom digitalen Fahrtenschreiber sichergestellt. Hinweis! Die einzelnen Einträge der Datenerfassung werden entsprechend mit einem HMAC gesichert (z. B. SHA256 HMAC). 37. Die Vertraulichkeit der mitgeschriebenen Daten wurde vom digitalen Fahrtenschreiber sichergestellt. Hinweis! Normalerweise werden die erfassten Daten auf einem verschlüsselten Datenträger (z. B. TrueCrypt Container) gespeichert. 38. Die Dokumentation zu der abgelaufenen Datenerfassung wurde erstellt und gesichert. Tabelle 4: Checkliste Einsatz eines digitalen Fahrtenschreibers Datum: Vorfall: Bearbeiter: Sicherung der flüchtigen Daten (Arbeitsspeicher) Ja Nein 39. Wurden die sog. flüchtigen Daten erfasst? (*) Hinweis! Wurde das System von der Stromversorgung (teilweise auch vom Netzwerk) getrennt, dann verliert diese Liste (ggf. teilweise) ihre Relevanz. 40. Wurden die direkten Daten der (auch mehreren) CPU gesichert (Register, Cache)? BearingPoint GmbH. Alle Rechte vorbehalten.

28 41. Allgemeine Systemdaten und Systemzeit sichern. Hinweis! Abhängig vom System gibt es Systemcalls, wie z. B. systeminfo, date, time, env usw. auf einem Windows System oder z. B. uname, date, uptime usw. auf einem Linux System (o. ä.). 42. Netzwerkverbindungsdaten sichern. Hinweis! Dieser Punkt ist nicht relevant, wenn das System vom Netz getrennt wurde. Die Befehle: netstat, ipconfig / ifconfig, arp, route etc. 43. Eine Auflistung von allen gegenwärtig laufenden Prozessen erstellen. Hinweis! Die Befehle ps ggf. top oder auch tasklist. 44. Erstellung einer Auflistung aller momentan am System angemeldeten Benutzer. Hinweis! Folgende Befehle können hier hilfreich sein: users, w, who, last usw. 45. Sicherung der Inhalte ggf. vorhanden RAM Disks. 46. Sicherung der gemounteten verschlüsselten Partitionen bzw. Disks. Hinweis! Die Sicherung von allen verschlüsselten Partitionen bzw. Disks, wenn möglich, ist wichtig. U. U. könnte diese Aufgabe während der Post mortem Analyse nicht mehr BearingPoint GmbH. Alle Rechte vorbehalten.

29 erfüllt werden (z. B. der Angreifer hatte die Kennwörter abgegriffen und ausgewechselt). 47. Sicherung (Erstellung eines Abbilds) von RAM (Arbeitsspeicher). Hinweis! Unter Umständen muss man für diese Zwecke ein extra Kernel Modul (Linux fmem) installieren, was eine tiefgreifende Änderung darstellt. 48. Erstellung einer Liste der geladenen Module. Hinweis! Befehle: lsmod. 49. Erstellung einer Liste der benutzten Dateien. Hinweis! Befehl: lsof. 50. Erstellung einer Liste der gemounteten (eingehängten) Geräte. Hinweis! Befehl: mount. 51. Ggf. die Sicherung des flüchtigen Teils der Windows Registry. Hinweis! Die Sicherung kann mithilfe der Anwendung regedit durchgeführt werden. Es ist empfehlenswert ein Tool zu benutzen, das nur lesend auf die Daten zugreift, z. B. MiTeC Registry Viewer BearingPoint GmbH. Alle Rechte vorbehalten.

30 52. Die Durchführung der einzelnen Schritte wurde dokumentiert. 53. Die Integrität (ggf. auch Authentizität und Vertraulichkeit) der während der Untersuchung erzielten Ergebnisse wurde gesichert. Tabelle 5: Checkliste Sicherung der flüchtigen Daten (Arbeitsspeicher) Datum: Vorfall: Bearbeiter: Sicherung der nichtflüchtigen Daten (Massenspeicher, z. B. eine Festplatte) Ja Nein 54. Wurden die sog. nichtflüchtigen Daten erfasst? (*) 55. Das betroffene System ist vom Netzwerk und von der Stromversorgung getrennt worden. (*) Hinweis! Es ist wichtig, dass alle Stromquellen, z. B. auch potentiell USVs und im Falle der Laptops auch die Akkus entfernt werden. 56. Die Festplatten trennen, die Write Blocker Module dazwischenschalten und die Festplatten wieder anschließen. (*) Hinweis! Der Einsatz von den sog. Write Blocker ist sehr empfehlenswert aber nicht zwingend. Ggf. (als eine Alternative) reicht es aus, die betroffenen Medien in dem sog. read only Modus zu betreiben (siehe Punkt 58) BearingPoint GmbH. Alle Rechte vorbehalten.

31 57. Das System starten und die Bootreihenfolge im BIOS ändern. Abhängig von der vorhandenen Version der Auswertungssoftware soll das System von USB bzw. CD/DVD ROM booten. (*) Hinweis! Sollte kein Write Blocker System zum Einsatz kommen, bitte diesen Schritt ohne eingeschlossene Festplatten ausführen. Erst danach die Festplatten wieder anschließen. 58. Den Schreibschutz (siehe Punkt 56) überprüfen, ggf. die Festplatte im sog. read only Modus mounten. (*) 59. Die Metadaten der zu sichernden Festplatte ermitteln. (*) 60. Das Zielspeichermedium mounten und ggf. partitionieren. (*) Hinweis! Es ist wichtig, die Größe von dem Zielmedium zu prüfen. 61. Das physikalische Abbild der Festplatte in eine Image Datei schreiben. (*) Hinweis! Ein hilfreiches Tool: dcfldd 8. Das Tool erstellt das Image in Roh Format und berechnet on the fly über die Rohdaten einen Hashwert Schutz der Integrität der gesicherten Daten BearingPoint GmbH. Alle Rechte vorbehalten.

32 62. Das Zielspeichermedium aus dem System aushängen. (*) Hinweis! Der Befehl mount. 63. Die Dokumentation der einzelnen ausgeführten Schritte wurde erstellt. (*) 64. Die Integrität (ggf. auch Authentizität und Vertraulichkeit) der während der Untersuchung erzielten Ergebnisse wurde gesichert. (*) Tabelle 6: Checkliste Sicherung der nichtflüchtigen Daten Checklisten zum Thema Untersuchung Das Ergebnis der in den Kapiteln und durchgeführten Schritte ist eine große Sammlung an (überwiegend Roh ) Daten. In dem nächsten Schritt müssen die Daten identifiziert werden und es muss eine gezielte Untersuchung der Daten unternommen werden. Das Ziel der Untersuchung ist es, die nicht Vorfall relevanten Daten weitgehend auszufiltern. Datum: Vorfall: Bearbeiter: Datenuntersuchung Ja Nein 65. Wurden die Checksummen, die die Integrität der zu untersuchenden Datenträger belegen, gesichert? (*) Hinweis! Die Integrität und Authentizität sowie ggf. Vertraulichkeit der benutzten Daten muss zugesichert werden BearingPoint GmbH. Alle Rechte vorbehalten.