Incident Response und Forensik



Ähnliche Dokumente
GPP Projekte gemeinsam zum Erfolg führen

How-to: Webserver NAT. Securepoint Security System Version 2007nx

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

Anleitung zum DKM-Computercheck Windows Defender aktivieren

"IT-Forensik Überblick und Möglichkeiten" Martin Wundram

Sehr geehrter Herr Pfarrer, sehr geehrte pastorale Mitarbeiterin, sehr geehrter pastoraler Mitarbeiter!

Mitarbeiterbefragung als PE- und OE-Instrument

ITIL & IT-Sicherheit. Michael Storz CN8

Penetrationstest Digitale Forensik Schulungen Live-Hacking

Was meinen die Leute eigentlich mit: Grexit?

Angebot. UVV-Prüfungen und Wartungen von mobilen Abfallpressen

Die Invaliden-Versicherung ändert sich

Fragebogen: Abschlussbefragung

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Projekt- Management. Landesverband der Mütterzentren NRW. oder warum Horst bei uns Helga heißt

2.1 Präsentieren wozu eigentlich?

Folgeanleitung für Fachlehrer

Die Beschreibung bezieht sich auf die Version Dreamweaver 4.0. In der Version MX ist die Sitedefinition leicht geändert worden.

QUICK-CHECK IT-SICHERHEIT

SICHERN DER FAVORITEN

Angebot. UVV-Prüfungen und Wartungen von mobilen Abfallpressen

Ronny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom

Beschreibung Regeln z.b. Abwesenheitsmeldung und Weiterleitung

Content Management System mit INTREXX 2002.

Das Leitbild vom Verein WIR

Dienstleistungen für Privatkunden rund ums Recht. Europas Nr. 1 im Rechtsschutz.

Internet- und -Überwachung in Unternehmen und Organisationen

Dokumentenverwaltung im Internet

Folgeanleitung für Klassenlehrer

Welche Gedanken wir uns für die Erstellung einer Präsentation machen, sollen Ihnen die folgende Folien zeigen.

Datenübernahme von HKO 5.9 zur. Advolux Kanzleisoftware

Universal Dashboard auf ewon Alarmübersicht auf ewon eigener HTML Seite.

Das System für Ihr Mitarbeitergespräche

Anmeldung und Zugang zum Webinar des Deutschen Bibliotheksverbandes e.v. (dbv)

Anleitung Typo3-Extension - Raumbuchungssystem

Matrix42. Use Case - Sicherung und Rücksicherung persönlicher Einstellungen über Personal Backup. Version September

1 Einleitung. Lernziele. automatische Antworten bei Abwesenheit senden. Einstellungen für automatische Antworten Lerndauer. 4 Minuten.

Second Steps in eport 2.0 So ordern Sie Credits und Berichte

Erstellen einer digitalen Signatur für Adobe-Formulare

Anleitung zur Online-Schulung

Nr. 12-1/Dezember 2005-Januar A 12041

Version smarter mobile(zu finden unter Einstellungen, Siehe Bild) : Gerät/Typ(z.B. Panasonic Toughbook, Ipad Air, Handy Samsung S1):

Inhalt. 1 Einleitung AUTOMATISCHE DATENSICHERUNG AUF EINEN CLOUDSPEICHER

Die Post hat eine Umfrage gemacht

SharePoint Demonstration

potential2 Mitarbeitergespräche als erfolgreiches Führungsinstrument 17. Januar 2013 Susanne Triebs-Lindner // Helmut Lindner Potentialhoch2 (Hamburg)

DER SELBST-CHECK FÜR IHR PROJEKT

Integration mit. Wie AristaFlow Sie in Ihrem Unternehmen unterstützen kann, zeigen wir Ihnen am nachfolgenden Beispiel einer Support-Anfrage.

Cloud Security geht das?

Optimal vorbereitet. Fit fürs Studium mit den Vorbereitungskursen der OHN. Fragen? Jetzt anmelden!

Outsourcing und Offshoring. Comelio und Offshoring/Outsourcing

Datenschutz im Gesundheitswesen Jeder ist ein (Be)Schützer!

BERECHNUNG DER FRIST ZUR STELLUNGNAHME DES BETRIEBSRATES BEI KÜNDIGUNG

Übung - Datensicherung und Wiederherstellung in Windows 7

Den PC sicher machen. Schultz

Wichtig ist die Originalsatzung. Nur was in der Originalsatzung steht, gilt. Denn nur die Originalsatzung wurde vom Gericht geprüft.

Erste-Hilfe-Schulung für Unternehmen

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Den Durchblick haben. VOLKSBANK BAD MÜNDER eg. Online aber sicher: Unsere Produkt- und Sicherheitshotline hilft und informiert

ICS-Addin. Benutzerhandbuch. Version: 1.0

Die neue Aufgabe von der Monitoring-Stelle. Das ist die Monitoring-Stelle:

Interne Revision Ressourcen optimieren. Aufdecken, was dem Erfolg Ihres Unternehmens entgegensteht!

Pflegende Angehörige Online Ihre Plattform im Internet

Prüfung Netzwerk. Sicherheitslücken im IT-Verbund

ascom ASCOM WIRELESS SOLUTIONS PARTNER PROGRAMM MISSION-CRITICAL COMMUNICATION UNSERE STÄRKE IHR VORTEIL [ ]

Gezielt über Folien hinweg springen

.htaccess HOWTO. zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage

Mobile Intranet in Unternehmen

SCHRITT FÜR SCHRITT ZU IHRER VERSCHLÜSSELTEN

Der Datenschutzbeauftragte. Eine Information von ds² 05/2010

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Komplettpaket Coaching. Arbeitsmittel & Checklisten

Sächsischer Baustammtisch

Anleitung OpenCms 8 Webformular Auswertung

Lieber SPAMRobin -Kunde!

Penetration Test Zielsetzung & Methodik

Studieren- Erklärungen und Tipps

Kirchlicher Datenschutz

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Teamentwicklung und Projektmanagement

Coach me if you can! Iris Brockob & Frank Hoffmann Partnerschaft für Beratung, Training & Gestaltung

Nachricht der Kundenbetreuung

Gründe für fehlende Vorsorgemaßnahmen gegen Krankheit

Informationssicherheit als Outsourcing Kandidat

Grundlagen für den erfolgreichen Einstieg in das Business Process Management SHD Professional Service

Urlaubsregel in David

Einen Wiederherstellungspunktes erstellen & Rechner mit Hilfe eines Wiederherstellungspunktes zu einem früheren Zeitpunkt wieder herstellen

Ein Betriebsrat. In jedem Fall eine gute Wahl.

PC-Umzug: So ziehen Sie Ihre Daten von Windows XP nach Windows 8 um

SICHERUNG AUSWERTBARER DATEN AUS OTAS-KASSENSYSTEMEN

Über dieses Buch. Nutzungsrichtlinien

Meine Entscheidung zur Wiederaufnahme der Arbeit

How to do? Projekte - Zeiterfassung

DATENSCHUTZBERATUNG. vertrauensvoll, qualifiziert, rechtssicher

Handbuch ECDL 2003 Basic Modul 5: Datenbank Grundlagen von relationalen Datenbanken

Ihr Mandant möchte einen neuen Gesellschafter aufnehmen. In welcher Höhe wäre eine Vergütung inklusive Tantieme steuerrechtlich zulässig?

GDPdU Export. Modulbeschreibung. GDPdU Export. Software-Lösungen. Stand: Seite 1

BETTER.SECURITY AWARENESS FÜR INFORMATIONSSICHERHEIT

Bei der Focus Methode handelt es sich um eine Analyse-Methode die der Erkennung und Abstellung von Fehlerzuständen dient.

Transkript:

Incident Response und Forensik

Incident Response und Forensik Incident Response und Forensik Der Einbruch eines Hackers in die Web-Applikation des Unternehmens, ein Mitarbeiter, der vertrauliche Daten an ein Konkurrenzunternehmen versendet, ein Wurm, der sich im Unternehmen ausbreitet, kinderpornographische Bilder auf der Festplatte eines Angestellten dies alles sind Beispiele für Vorfälle, die Unternehmen gerne vermeiden würden. Dennoch kommen sie immer wieder vor. Wenn der Verdacht auf einen IT- Sicherheitsvorfall besteht, ist es entscheidend, möglichst früh die richtigen Schritte zu unternehmen, um nicht mehr Schaden anzurichten, als möglicherweise schon entstanden ist. In der Praxis zeigt sich, dass in den meisten Fällen keine ausreichenden Eskalationsprozeduren und Leitfäden für richtiges Handeln bei Sicherheitsvorfällen existieren. Bei dem Verdacht, dass gerade ein Hacker sein Unwesen auf den Firmenservern treibt, werden in Hektik oder sogar Panik meist wichtige Spuren zerstört und eine Analyse des Tathergangs ist danach oft nicht mehr möglich. Um im Fall der Fälle nicht hilflos und mit leeren Händen dazustehen, sollte man sich rechtzeitig über das so genannte Incident Handling im Unternehmen Gedanken machen. Die Zielsetzung liegt dabei in der Definition von Prozessen, die im Ernstfall einzuhalten sind, um eine angemessene Reaktion zu ermöglichen. Dazu müssen unter anderem Zuständigkeiten und Befugnisse sowie Handlungsanweisungen für die korrekte Sammlung und Sicherung relevanter Daten definiert werden. Ebenso müssen vorbereitende Maßnahmen geplant und durchgeführt werden, damit im Ernstfall die benötigten Informationen oder Protokolle überhaupt technisch verfügbar sind. 2

Bei einem konkreten Verdacht auf einen Sicherheitsvorfall muss schnell und richtig gehandelt werden. Die im Vorfeld definierten Sofortmaßnahmen müssen in Abhängigkeit vom Verdacht und von der Art und Kritikalität des betroffenen Systems durchgeführt werden. Darüber hinaus muss der Vorfall an das Incident Handling Team eskaliert werden. Das Team sollte entsprechend dem Vorfall gegebenenfalls auch Vorgesetzte, Rechtsabteilung, Personalvertretung und Personalabteilung involvieren. Dann gilt es, die Spuren bzw. Daten zu sammeln und zu sichern. Die konkrete Durchführung von Sofortmaßnahmen des Incident Handlings kann meist nur sinnvoll von den eigenen Mitarbeitern vor Ort durchgeführt werden, da in diesem Fall genaue Kenntnisse der firmeninternen Strukturen sowie ein schnelles Handeln erforderlich sind. Allerdings ist auch externe Unterstützung möglich, wenn im Vorfeld schon klare Absprachen getroffen wurden. Anschließend stehen die Analyse des Tathergangs und die gerichtsfeste Durchführung und Aufbereitung der forensischen Analyse im Vordergrund. Die Auswertung der Daten kann sehr gut von externen Experten übernommen werden. Durch ihre regelmäßige Tätigkeit verfügen sie über ein großes Maß an Erfahrung, um so beispielsweise den Tathergang rekonstruieren zu können und die sogenannte Nadel im Heuhaufen zu finden. 3

UNTERSTÜTZUNG DURCH CIROSEC Beratung/Erarbeitung von Incident-Handling-Konzepten Die erfahrenen Berater der cirosec GmbH erarbeiten in enger Abstimmung mit Ihnen Konzepte, vorbereitende Maßnahmen und unterstützen bei der Gestaltung von Prozessen sowie der Festlegung von Verantwortlichkeiten und Handlungsanweisungen, damit Sie auf den Ernstfall vorbereitet sind. Enthalten sein können darin beispielsweise auch Vorgehensweisen zur Sammlung und Sicherung relevanter technischer Daten im Fall eines Verdachts bzw. eines konkreten Sicherheitsvorfalls und eine Zusammenstellung von forensischen Analysemöglichkeiten zur gezielten Auswertung der zuvor gesammelten technischen Daten. Ebenso müssen typischerweise die Protokollierungseinstellungen relevanter Systeme optimiert werden, damit im Ernstfall auch genügend auswertbare Spuren vorhanden sind. Wir unterstützen Sie bei der Auswahl geeigneter Werkzeuge für die Durchführung von Sofortmaßnahmen durch die eigenen Mitarbeiter. Zur Vorbereitung auf den Ernstfall beraten wir Sie umfassend, damit Sie Ruhe bewahren und zielgerichtet reagieren können. 4

UNSER ANGEBOT Forensische Analyse Auf Anfrage kommen Berater der cirosec GmbH zu Ihnen, um bei der Sicherung von Spuren und der Analyse der Daten nach einem Sicherheitsvorfall zu helfen. Dabei können beispielsweise folgende Teilaspekte eine Rolle spielen: Rekonstruktion des Tathergangs oder des Infektionswegs über die Analyse von Protokollen oder Analyse der Festplattenoder Speicherabbildern Suche nach Schwachstellen, die den Einbruch ermöglicht haben Untersuchung von laufenden Systemen, um weitere Spuren zu sammeln oder den Umfang des Vorfalls einzugrenzen Analyse von Dateien oder Programmen, um beispielsweise die Funktionen einer Malware zu analysieren Ermittlung der betroffenen Komponenten Analyse strukturierter und unstrukturierter Daten Unterstützung bei der Ermittlung des entstandenen Schadens. 5

TRAININGS UND SCHULUNGEN Training Forensic Extrem In diesem Training werden aktuelle technische Methoden der IT-Forensik und des Incident Handlings sowie die damit verbundenen rechtlichen und organisatorischen Rahmenbedingungen und Möglichkeiten vorgestellt. Anhand vieler Fallbeispiele und Übungen wird das richtige Vorgehen bei einem Verdacht auf Hacker-Einbruch, Datenmissbrauch, Datendiebstahl, Datenlöschung oder auch bei unberechtigter Nutzung von firmeneigenen Kommunikationsmöglichkeiten erörtert. Die Schulung teilt sich in einen technischen Teil, in dem Werkzeuge für eine forensische Analyse vorgestellt und in Übungen eingesetzt werden, und in einen rechtlichen/organisatorischen Teil, in dem auch die rechtlichen Rahmenbedingungen für Inhouse- Ermittlungen gegen Verdächtige dargestellt werden, auf. Im technischen Teil lernt jeder Teilnehmer anhand vieler Übungen, die er auf einem zur Verfügung gestellten Laptop selbst nachvollzieht, Spuren in IT-Systemen zu suchen, richtig zu sichern und zu interpretieren. Im rechtlichen/organisatorischen Teil wird ein Rechtsanwalt detailliert auf die Vorgehensweise nach der Entdeckung von Einbrüchen eingehen. Fall für Fall wird die Sammlung, Sicherung und Auswertung gerichtsfester digitaler Spuren als Beweismittel zur erfolgreichen Rechtsverfolgung durchgespielt. Dabei wird berücksichtigt, welche Tätergruppe in Betracht kommt, welches übergeordnete Ziel (z. B. Schädigung der Firma) der Angriff wirklich hatte, was geschützt werden muss und welches Schadenspotenzial der Angriff hatte. Ebenso wird erörtert, welche Beweismittel durch eigene Ermittlungen beschafft werden können, welche nur unter Einschaltung Dritter oder der Polizei und inwieweit eine Strafanzeige gegen Verdächtige hilft. Nach Abschluss des Trainings sind die Teilnehmer in der Lage, die Wege eines Einbrechers nachzuvollziehen. Sie wissen, wie sie im Falle eines Systemeinbruchs reagieren müssen und welche Anforderungen an die gerichtsfeste Sammlung, Speicherung und Auswertung digitaler Spuren als Beweismittel gestellt werden müssen. 6

CIROSEC IHR PARTNER IN DER IT-SICHERHEIT Wir sind ein spezialisiertes Unternehmen mit Fokus auf IT- und Informationssicherheit und beraten unsere Kunden im deutschsprachigen Raum. Das cirosec-team zeichnet sich dabei durch seine zahlreichen Experten aus, die als Buchautoren oder Referenten internationaler Kongresse bekannt sind und den Kunden individuell mit technischem und strategischem Sachverstand beraten. Darüber hinaus verfügen wir über langjährige Erfahrung in der Konzeption und Integration von Sicherheitsprodukten in komplexen Umgebungen. Bekannt sind einige der Mitarbeiter auch durch erfolgreiche Research-Tätigkeit, da sie immer wieder neue, noch nicht gemeldete Schwachstellen in Standardsoftwareprodukten finden. Das Leistungsspektrum umfasst die Bereiche: Konzepte, Reviews und Analysen IT-Sicherheitsmanagementberatung (ISO 27001, Risikomanagement, Erstellung von Prozessen, Policies, Richtlinien) Durchführung von Audits und Penetrationstests Incident Response und Forensik Trainings Konzeption, neutrale Evaluationen und Implementation von Produkten und Lösungen. Typische Themen im Umfeld von Produkten und Lösungen sind: Moderne Schutzmaßnahmen für Unternehmen (z. B. WAFs, Schutz vor DDoS und gezielten Angriffen) Sicherheit im internen Netz (z. B. LAN-Zugangskontrolle, 802.1x, NAC/NAP, IPS) Bring your own Device, Mobile/ Wireless Security Werkzeuge für ISMS, Verwundbarkeits- und Risikomanagement Nachvollziehbarkeit administrativer Zugriffe. 7

cirosec GmbH Edisonstraße 21 74076 Heilbronn Deutschland T +49 7131 59455-0 F +49 7131 59455-99 www.cirosec.de v01crs-13-1929-de130628 Bildquellen: istockphoto, shutterstock

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback