IT-Forensik im betrieblichen Umfeld



Ähnliche Dokumente
GPP Projekte gemeinsam zum Erfolg führen

Der Datenschutzbeauftragte. Eine Information von ds² 05/2010

IT-Revision als Chance für das IT- Management

OpenSource Forensik-Werkzeuge

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Datenschutz. Vortrag am GmbH Datenschutz und IT - Sicherheit. Sutthauser Straße Osnabrück

Informationssicherheit als Outsourcing Kandidat

Informationssicherheitsmanagement


WIR MACHEN SIE ZUM BEKANNTEN VERSENDER

Ziel- und Qualitätsorientierung. Fortbildung für die Begutachtung in Verbindung mit dem Gesamtplanverfahren nach 58 SGB XII

Konzentration auf das. Wesentliche.

Forensische Informatik

Damit auch Sie den richtigen Weg nehmen können die 8 wichtigsten Punkte, die Sie bei der Beantragung Ihrer Krankenversicherung beachten sollten:

Datensicherung EBV für Mehrplatz Installationen

Dominik Stockem Datenschutzbeauftragter Microsoft Deutschland GmbH

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Herzlich willkommen bei tetraguard Ihrem Spezialisten für Sicherheitssoftware!

Möglichkeiten der verschlüsselten -Kommunikation mit der AUDI AG Stand: 11/2015

Herzlich willkommen zu unserer Informationsveranstaltung Die digitale Betriebsprüfung - das gläserne Unternehmen?

Datenschutzbeauftragte

IT OUTSOURCING. Wie die IT durch Transparenz zum internen Dienstleister wird. Herford, , Steffen Müter

e-books aus der EBL-Datenbank

Rechtliche Absicherung von Administratoren

backupmyfilestousb ==> Datensicherung auf USB Festplatte

GSM: Airgap Update. Inhalt. Einleitung

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

Naturgewalten & Risikoempfinden

10 IDG (Gesetz über die Information und den Datenschutz, LS 170.4) 24 IDV (Verordnung über die Information und den Datenschutz, LS 170.

IT-Sicherheitsorganisationen zwischen internen und externen Anforderungen

Content Management System mit INTREXX 2002.

Gesetzliche Aufbewahrungspflicht für s

Zentrum. Zentrum Ideenmanagement. Zentrum Ideenmanagement. Umfrage zur Nutzung von mobilen Endgeräten im Ideenmanagement

Nr. 12-1/Dezember 2005-Januar A 12041

CosmosDirekt. Theorie und Praxis der IT - Sicherheit. Ort: Saarbrücken, Antonio Gelardi IT - Sicherheitsbeauftragter

Ihr Mandant möchte einen neuen Gesellschafter aufnehmen. In welcher Höhe wäre eine Vergütung inklusive Tantieme steuerrechtlich zulässig?

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

IT-Sicherheitsüberprüfung Der Schutz vor Wirtschaftsspionage

Sicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs- Unternehmen.

Gesundheitsförderliche Mitarbeitergespräche (smag) Quelle: GeFüGe-Projekt, bearbeitet durch Karsten Lessing, TBS NRW

Anleitung zum DKM-Computercheck Windows Defender aktivieren

Dok.-Nr.: Seite 1 von 6

Datenschutz-Management

Aber doch bitte [recht(s-)] sicher! Tim Hoffmann Cybercrime 18. Juni 2015 IHK Bonn/Rhein-Sieg

Qualitätsmanagement in kleinen und mittleren Unternehmen

Betriebs-Check Gesundheit

Wir empfehlen Ihnen eine zeitnahe Bewerbung, da in jedem Halbjahr nur eine limitierte Anzahl an Bündnissen bewilligt werden können.

Datenschutz und Informationssicherheit

HANDBUCH PHOENIX II - DOKUMENTENVERWALTUNG

Schriftwechsel mit Behörden Ratgeber zum Datenschutz 1

Seite 1 von 7. Anlage 1. Erstes Anschreiben an den/die Beschäftigte/ -n. Frau/Herrn Vorname Name Straße PLZ Ort

Stand vr bank Südthüringen eg 1 von 10. Smart TAN plus Umstellungsanleitung VR-NetWorld Software

Risikomanagement-System (RMS) Effizientes Risikomanagement-Tool für Treuhänder

Die neue Aufgabe von der Monitoring-Stelle. Das ist die Monitoring-Stelle:

Fragebogen: Abschlussbefragung

Die integrierte Zeiterfassung. Das innovative Softwarekonzept

ITIL & IT-Sicherheit. Michael Storz CN8

GDD-Erfa-Kreis Berlin

Krisenmanagement: Richtig kommunizieren in der Krise

Benchmark zur Kompetenzbestimmung in der österreichischen SW Industrie. Mag. Robert Kromer NCP / AWS Konferenz Wien,

Neuerungen in ReviPS Version 12g

Ein Hinweis vorab: Mailkonfiguration am Beispiel von Thunderbird

Statuten in leichter Sprache

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

H A R D D I S K A D A P T E R I D E / S A T A T O U S B 3. 0 O N E T O U C H B A C K U P

Code of Conduct (CoC)

Netzwerkanalyse. Datenvermittlung in Netzen

Die Betriebssicherheitsverordnung (BetrSichV) TRBS 1111 TRBS 2121 TRBS 1203

Quality Assurance Review der IT-Revision (QAR-IT) -Ein Leitfaden -

Produktbeschreibung utilitas Ticketsystem

Marketing Intelligence Schwierigkeiten bei der Umsetzung. Josef Kolbitsch Manuela Reinisch

Öffnen Sie den Internet-Browser Ihrer Wahl. Unabhängig von der eingestellten Startseite erscheint die folgende Seite in Ihrem Browserfenster:

Der Weg zum bekannten Versender STRENGE FORUM - Gütersloh, 25. April 2013 Referat S 4 Zulassung bekannte Versender Referent: Bernd Pickahn

D i e n s t e D r i t t e r a u f We b s i t e s

Datenschutz der große Bruder der IT-Sicherheit

Ihren Kundendienst effektiver machen

Beschreibung Regeln z.b. Abwesenheitsmeldung und Weiterleitung

PC-Umzug: So ziehen Sie Ihre Daten von Windows XP nach Windows 8 um

Supportkonzept. Datum: Inhaltsverzeichnis: 1. Verwendungszweck Anforderungen 3

360 Feedback. Gestaltung von Entwicklungsprozessen

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

Manuel Schmalz. Abteilungsleiter Vertragsmanagement. Düsseldorf,

D , neue Perspektiven für die elektronische Kommunikation

Forschen - Schreiben - Lehren

Titel BOAKdurch Klicken hinzufügen

E-Government Sondertransporte (SOTRA) Registrierung von Benutzerkennung

NEVARIS Umstellen der Lizenz bei Allplan BCM Serviceplus Kunden von der NEVARIS SP Edition auf NEVARIS Standard/Professional

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am

Auswertung Onlinebefragung Unternehmen. Thematik: Mitarbeitende mit psychischen Beeinträchtigungen bei Unternehmen

Welchen Weg nimmt Ihr Vermögen. Unsere Leistung zu Ihrer Privaten Vermögensplanung. Wir machen aus Zahlen Werte

Prüfung: Vorlesung Finanzierungstheorie und Wertpapiermanagement

DDV-SIEGEL. Sicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs-Unternehmen.

OPTI. Effizienz und Zufriedenheit von Teams steigern. Entwicklung begleiten

1. Weniger Steuern zahlen

MSXFORUM - Exchange Server 2003 > SMTP Konfiguration von Exchange 2003

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren

Bürgerhilfe Florstadt

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Transkript:

Aachen, 17. Mai 2011 Dr. Rainer Thomas

Notwendigkeit zur IT-Forensik? Notwendigkeit besteht indirekt um handlungsfähig zu sein Anforderungen: - BAFin MA Risk VA - Risikomanagement (Bewertung von Risiken) - Notfall-Management (BCM) - ISO 27001/2 A13 (Standard für Informationssicherheitsmanagementsysteme) - ISO 27035 (zukünftig) - BDSG (z.b: 42a) - Nachweis der Ordnungsmäßigkeit (z.b. Zertifizierung nach PS 951) 2

Kann man IT-Forensik / Security Incident Management outsourcen? Wie häufig muss man aktiv werden? à Selten Trotzdem ist es wichtig, für forensische Untersuchungen vorbereitet zu sein. Warum selber machen? Kenntnis des Konzerns, der Technik, der Personen und der Rollen (auch für Unterstützung von externen Ermittlern) Unübersichtliche Systemlandschaft das Know How bei konkreten Systemen liegt verteilt bei den CCs / Betriebsexperten Die technischen Anforderungen sind häufig eher niedrig Minimierung der Reaktionszeit Weniger Bewegungen der Beweismittel Vertraulichkeit (intern <-> extern) Konsequenzen für Mitarbeiter: Arbeitsrecht, u.u. Zivilrecht Am Anfang weiß man nicht, was am Ende herauskommt à Von Anfang an so vorgehen, dass man für alles gewappnet ist Externe Schnittstellen Fallback technisch: externer DL (Kompetenz, Erfahrung, Spezialtechnik (z.b. Kroll Ontrack)) Zusammenarbeit mit Behörden, z.b. wenn Strafrecht betroffen ist (Polizei, ) 3

Priorität Priorität = hoch! Auswirkungen können weitreichend sein Interne Aufmerksamkeit Ggf. Außenwirkung (Image, Presse, Behörden, ) 4

Ziele der IT-Forensik (und des Security Incident Managements) Neben den inhaltlichen sind auch die organisatorischen Anforderungen zu erfüllen Inhaltlich Feststellen von wer, wie, was,... Erstellen von Analyseberichten, Einleiten von Maßnahmen, Organisatorisch Erfüllen innerer und äußerer Anforderungen (verschiedene Anspruchsgruppen) Wahren des organisatorisch ordnungsmäßigen Ablaufs (Einhaltung der Rollen) Schutz des Unternehmens, der Mitarbeiter und der Daten Schutz der Mitarbeiter vor ordnungswidrigem Verhalten (z.b. bei äußerem Druck) Schutz der Mitarbeiter vor falschen Anschuldigungen 5

Einordnung in die Prozesslandschaft IT-Forensik ist eine Komponente des Security Incident Managements Schnittstellen: Definierte Meldewege (Meldepflicht für Sicherheitsvorfälle!) UHD, Incident Management, Problem Management,.. Dokumente, Anweisungen Eskalation nach / Information von: Notfallvorsorge / Business Continuity Management / Krisenmanagement Revision, Personalabteilung, Rechtsabteilung, 6

Rollentrennung Verschiedene Aufgaben <-> Jeder handelt in dem für ihn zulässigen Rahmen! Relevante interne Rollen - Revision - Personalabteilung - Konzernunternehmen (i.d.r. Eigentümer der Daten) - Datenschutz - Betriebsrat - Betriebsvereinbarungen - Rechtsabteilung - IT-Sicherheit 7

Der Ermittlungsauftrag Bedingt durch die verschiedenen Rollen ist eine Beauftragung notwendig! Es finden keine systematischen Untersuchungen statt. Ermittlung nur mit Auftrag! Beispiel: Ein Unternehmen will feststellen, ob ein Mitarbeiter sich mit der Benutzerkennung eines Kollegen angemeldet hat. Auf die Anmeldedaten hat aber nur der IT-Dienstleister Zugriff. - Das Unternehmen ist Eigentümer der Daten und will den Vorfall klären. - Der IT-Dienstleister hat das Know-How und den technischen Zugriff. à Das Unternehmen beauftragt den IT-Dienstleister, auf dem Client, dem Domänenserver und in der Maildatenbank nach Anmeldedaten und einer verschickten Email zu suchen Wichtige Komponenten im Ablauf: Auftrag mit angemessener Beschreibung der durchzuführenden Aktivitäten (nach Beratung und Abstimmung) Prüfen der Zulässigkeit beim IT-Dienstleister (Sind Gremien ausreichend einbezogen? Passt die Untersuchung zum Vorwurf? Ist der Umfang der zu ermittelnden und zu liefernden Daten angemessen und rechtlich zulässig?.) Eigene Durchführung / Interne Beauftragung der operativen Tätigkeiten (z.b. an Notes-Admins) Zusammenstellen und Prüfen der Daten / Erstellen eines Berichts / Übergabe an Auftraggeber 8

Ordnungsmäßiges Vorgehen Ordnungsmäßigkeit muß gewährleistet sein Wichtige Aspekte bei der Durchführung der Ermittlung 4-Augen Prinzip (QS, Dokumentation, ) Unabhängigkeit und Objektivität (belastendes und entlastendes) Umfassende Dokumentation (Formulare / Protokolle) Erlangung von Beweismitteln Beweismittelprotokoll Analyse-Protokoll Verwahrung von Beweismitteln (abschließbarer Raum, Schrank) Sichere Lagerung und Übertragung von Daten Korrektes Einbeziehen von internen DL Admins Systemexperten Einhalten von Gesetzen (TKG, Persönlichkeitsrecht, StGB 202, 203, ) 9

Technische Fragestellungen Wesentliche Anforderung an die vorhandene Analysetechnik: à aktueller Gerätebestand muss abgedeckt sein Beispiele: Auswertungsrechner (Stand-alone oder am Firmennetz?) Xways Forensics Write-Blocker (Tableau) Adapter, DVD Brenner, Externe Platten Sonstige Hilfsmittel (Tüten, Tacker, Fotoapparat, ) Medien: Festplatten, Sticks (Verschlüsselung vorhanden?) Netzlaufwerke, Maildatenbanken Üben: Bei neuen Notebooks: Platten finden und ausbauen Technisch unwegsames: Hostplatten, RAID, Kassettenroboter, 10

Fälle in der Praxis Keine Verfolgung von Bagatellfällen! Meist IT-mäßige Trivialfälle Nichtdienstliche Nutzung Betrug Selten: Schwere Gesetzesverstösse Virenvorfälle Identitätsdiebstahl Erfolgreiche Hackerangriffe Hochverrat Mögliche Beispiele: Mitarbeiter bringt Notebook mit in die Firma und klemmt ihn ans Netz. Auf dem Rechner ist ein Trojaner. Außendienst-Mitarbeiter kündigt und gibt den von der Firma gestellten Rechner nicht zurück. Im Foyer gefundener USB-Stick. Bei einer Prüfung festgestellte Firewallregel, mit der ein Client ohne Filterung in das Internet kommt. Ein abends heruntergefahrener PC ist morgens an. Die Maus eines Mitarbeiters bewegt sich ohne sein Zutun. 11

Rahmenbedingungen Die Rahmenbedingungen sind häufig Forensik-behindernd Prioritäten der IT-Forensik im Betrieb, SIM vs. IM à Verfügbarkeit ist wichtigstes Ziel Clients werden schnell neu aufgesetzt Eingriffe in Betrieb abhängig von der Kritikalität Zentrale Systeme stoppen ist fast nicht möglich Nur existierende Daten sind auswertbar z.b. Existenz und Aufbewahrungsdauer von Logs Die Generierung von Logs / Monitoring / Alerting wird bei der Systemerstellung für die Betriebssicherheit ausgelegt. Nicht für die Verwendung bei forensischen Maßnahmen. Schwierigkeiten in der Kommunikation Was ist wichtig oder unwichtig? à spät und plötzlich auftauchende wichtige Infos Selektive Information zwischen den Beteiligten Das Stille Post Phänomen: sich verändernder Inhalt beim Weiterleiten von Infos Unterschiedliches Know-How der Beteiligten (Übersetzungsproblematik) Verfolgung von Vorfällen nach außen sinnvoll? à Ist fallweise zu prüfen. 12

Auswertung von Vorfällen Jeder Fall wird ausgewertet! Auswertung von Vorfällen zu folgenden Zwecken Statistik Aufwand Trends Know How Aufbau zusätzlich benötigtes Gerät Bedarf an Schulungen Interner Ablauf Einhaltung und Schärfung der internen Rollen Auswirkungen auf die Risikosituation Ist der Vorfall durch ein bestehendes Risiko begünstigt worden Ist durch den Vorfall ein Risiko entstanden? Ggf. Meldung an das Risikomanagement 13

Vielen Dank für Ihre Aufmerksamkeit! 14

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback