:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/14/4a148d5b25d0531414602748ca3b8d7f/0111445861.jpeg "Eine Palo Alto Networks/Unit 42-Analyse zeigt, dass der enorme Anstieg von Betrugsversuchen durchaus auf ChatGPT zurückzuführen ist. (Bild: Sutthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f5/4e/f54ebc11db3e6d8e876a96e96fef53c3/0111552259.jpeg "Florian Jörgens ist Chief Information Security Officer (CISO) der Vorwerk Gruppe und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Vorwerk)")
:quality(80)/p7i.vogel.de/wcms/a4/7f/a47fcac710f298a6a0b02668e48e2849/0111560285.jpeg "Die ersten 72 Stunden nach einem Cyberangriff sind entscheidend für die Schadensbegrenzung und Einhaltung der DSGVO. (Bild: HNFOTO - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5e/f75e227e1311b333bc75726c68a27f93/0111555902.jpeg "Wie Unternehmen mit der Azure Firewall die Sicherheit in der Cloud und im lokalen Netzwerk maximieren, zeigen wir in diesem Video-Tipp. (Bild: kran77 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/78/ac78d9314d428c4d1179c0729c0f2ff2/0111550886.jpeg "Das Ziel des OT-Security Events „Securing the Future“ ist es, den Teilnehmern einen guten Überblick über relevante Maßnahmen, sowie Problemstellungen und mögliche Lösungen zu geben. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/c3/46c3dd30da0f71d1dcbaaf2d8a8de7db/0111445470.jpeg "DevOps-Teams benötigen eine gewisse Flexibilität, um unabhängig von der jeweiligen Umgebung den passenden Schutz bereitzustellen. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>akitada31</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/8d/ec8d48043c61c55c45e1184eb47dc4ee/0111445864.jpeg "Lookout kündigt Mobile Endpoint Security für MSSPs an. (Bild: Wesley JvR/peopleimages.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9b/c9/9bc9d2450e18b1d41cd37c64d318775b/0110983920.jpeg "Ein ganzheitlicher Ansatz für Anwendungssicherheit kombiniert Automatisierung, DevSecOps sowie ein integriertes Performance- und Sicherheitsmonitoring. (Bild: <a href=https://pixabay.com/users/mmh30-18599832/>Mmh30</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/7a/297afbfbd472bbd68b909504b340d8d3/0110983938.jpeg "Ein Großteil der Verbraucher bevorzugt den Fingerabdruck-Scan zur Identifizierung. (Bild: Dilok - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d4/ba/d4ba7d9c80dd783f861f4fb50dcc91dd/0111554559.jpeg "Es ist an der Zeit, dass CFOs die traditionelle Einzelposten-Methode zur Festlegung der Ausgaben für IT-Security aufgeben. (Bild: rogerphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/2a/c62ad7d4c50022b64fe4a5178545098f/0111500770.jpeg "Mit moderner Datensicherheit können Unternehmen auch nach einem Ransomware-Angriff die Geschäftskontinuität aufrechterhalten. (Bild: zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Tipps und Handlungsempfehlungen für die Cyber-Forensik Mehr als den „Ereignishorizont“ im Blick
Forensik-Experten müssen nicht nur technische Zusammenhänge beherrschen, sondern sich auch im geschäftlichen Umfeld sicher bewegen. Richtlinien, Standards und Best Practices helfen IT-Sicherheitsermittlern dabei, entsprechende Prozesse zu entwickeln. Dieser Beitrag widmet sich den wichtigsten Punkten.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
Völlig gleich, ob sie ihr Renommee in der Branche erhöhen oder ihre Karriere voranbringen möchten: Forensik-Experten müssen zeigen, dass sie nicht nur die rein technischen Zusammenhänge beherrschen:
- Auf technischer Ebene müssen sie die Grundlagen der Kriminaltechnik kennen, ausreichende praktische Kenntnisse von Computersystemen besitzen, analytisch denken und mit rechtlichen Verfahren vertraut sein.
- Auf der geschäftlichen Seite müssen sie wechselseitige Kontrollmechanismen etablieren, um den Erfolg der technischen Aspekte zu gewährleisten.
Unternehmen steuern ihre Geschäftsfunktionen und -Praktiken in der Regel bereits über Richtlinien, Standards und Verfahrensweisen. Analog dazu muss auch die Cyber-Forensik durch robuste und wiederholbare Prozesse unterstützt werden. Diese Prozesse bilden nicht nur die Grundlage für die Durchführung der forensischen Untersuchungen. Sie verringern auch die Gefahr, dass Einzelne Entscheidungen treffen, die im Widerspruch zu etablierten Best Practices stehen.
Nur mit einer angemessenen Vorbereitung lässt sich sicherstellen, dass alle, die in irgendeiner Weise in die Cyber-Forensik involviert sind, schnell und richtig handeln. Dementsprechend muss eine Dokumentation zur Verfügung stehen, an die sich alle Beteiligten bei forensischen Analysen laufend halten können. Dazu gilt es zunächst, eine Reihe von Prozessen zu entwickeln.
Diese Prozesse müssen von Schlüsselpersonen im Unternehmen mitgetragen werden – Menschen mit unterschiedlichen Aufgaben, die entscheidend zur Erstellung der Prozesse beitragen können. Diese Personen sollten auch die nötige Autorität besitzen, um die Dinge voranzutreiben. Vor diesem Hintergrund bieten sich unter anderem Führungskräfte aus den folgenden Abteilungen an:
- IT-Betriebsabteilung: um festzustellen, welche technischen Ressourcen im gesamten Unternehmen vorhanden sind.
- Sicherheitsabteilung (IT- und physische Sicherheit): um zu entscheiden, welche Kontrollmechanismen zum Schutz der Ressourcen erforderlich sind.
- Juristische Abteilung: um die rechtlichen Verpflichtungen und Auswirkungen zu klären.
- Personalabteilung: um zu gewährleisten, dass Rechte und Privatsphäre der Mitarbeiter gewahrt bleiben.
Die richtige Reaktion
Sobald die Unterstützung der Führungskräfte gewährleistet ist, kann man mit dem Erstellen der Dokumentation beginnen. Diese wird nicht aus einem einzigen Papier bestehen, das den gesamten Bereich der Cyber-Forensik abdeckt; vielmehr handelt es sich um eine Sammlung von Dokumenten, die die verschiedenen Aspekte der Cyber-Forensik regeln.
Es ist wichtig zu bedenken, dass diese Dokumentation den Mitarbeitern zeigen soll, was von ihnen erwartet wird, wenn sie auf eine bestimmte Situation reagieren – gleich, ob bereits bekannt ist, dass die Cyber-Forensik involviert wird oder nicht. Um die Cyber-Forensik angemessen unterstützen zu können, sollte das Unternehmen zumindest Folgendes dokumentiert haben:
- Richtlinien, um einen Verhaltenskodex zu definieren und festzulegen, in welchem Rahmen das Unternehmen Systeme überwachen darf.
- Standards zu Themenfeldern wie beispielsweise Sicherheitskontrollen, Protokollierungsanforderungen, Backup und Wiederherstellung.
- Verfahrensbeschreibungen, die detailliert erläutern, wie das Unternehmen forensische Untersuchungen durchführt; wie etwa Beschreibung von Verfahren zum Umgang mit Beweismaterial, von Methoden der Datenbeschaffung und von verwendeten Analyse-Tools.
Sobald die Dokumentation abgenommen worden ist, dient sie als Basis für die Unterstützung und Durchführung der Cyber-Forensik im gesamten Unternehmen und überdies als Grundlage für den Aufbau und Betrieb eines forensischen Labors. Ein forensisches Labor muss eine „sichere Zone“ sein, in der es möglich ist, Daten auf geregelte Weise zu verwalten, aufzubewahren und auf sie zuzugreifen.
Es liegt letztlich in der Verantwortung jeder einzelnen Person, die in einem solchen Labor tätig ist, die Richtlinien, Standards und Verfahrensweisen einzuhalten. Denn nur so bleiben die Prinzipien der Datenauthentizität und Datenintegrität gewahrt.
Raum für forensische Untersuchungen schaffen
Der erste Schritt beim Aufbau eines forensischen Labors besteht darin, die jeweiligen Aufgaben und Verantwortlichkeiten des Laborleiters und seiner Mitarbeiter zu definieren. Der Leiter muss neben allgemeinen Management-Aufgaben dafür Sorge tragen, dass die Mitarbeiter in der Lage sind, die Prozesse und Verfahrensweisen im Einklang mit den Standards des Labors zu befolgen.
Die Mitarbeiter wiederum müssen ihre Fähigkeiten laufend auf den neuesten Stand bringen, damit sie forensische Analysen erfolgreich durchführen können. Zudem muss der Laborleiter dafür sorgen, dass die Laborumgebung geeignet ist, um forensische Untersuchungen auf sichere und geschützte Weise durchzuführen.
Zu den Kontrollmaßnahmen, die in jedem forensischen Labor erforderlich sind, gehören zunächst solche, die der physischen Sicherheit dienen. Die Autorisierung für das Labor muss nach dem Prinzip der minimalen Rechte erfolgen; es dürfen also nur Personen autorisiert werden, die berechtigterweise Zutritt benötigen. Ein forensisches Labor sollte ähnlich wie ein Rechenzentrum angelegt sein, wozu beispielsweise folgende physische Sicherheitsmaßnahmen gehören:
- Das Labor sollte sich in Innenräumen ohne Fenster befinden, soweit dies im Einklang mit den Brandschutzbestimmungen möglich ist
- Wände, Decke und Boden sollten aus Beton bestehen, um die Einbruchsgefahr weiter zu minimieren
- Bestehende Möglichkeiten der physischen Zugangskontrolle wie elektronische Ausweiskarten lassen sich nutzen, um das Personal zu authentifizieren und die Audit-Protokolle zu zentralisieren
- Sicherheitskameras helfen dabei, die Vorgänge im Labor optisch überwachen.
- Bildschirme sollten so positioniert sein, dass nur befugtes Personal die Inhalte einsehen kann.
Wichtige Eigenschaften der Analyse-Systeme
Bei forensischen Analysen müssen die Kosten der Durchführung mit den Kosten der zwingend benötigten Tools in Einklang gebracht werden. Das bedeutet, dass man genau wissen muss, welche Technologien de IT-Infrastruktur unterstützt, einschließlich der Hardware, Software und Peripheriegeräte.
Eine forensische Workstation muss nicht nur einwandfrei mit den vorhandenen Technologien im Unternehmen harmonieren, sondern bei den Datenanalysen auch außerordentlich effizient und flexibel arbeiten. Jedes forensische System – sei es nun vorgefertigt oder spezifisch angepasst – muss über die folgenden grundlegenden Fähigkeiten verfügen:
- Unterbinden aller Veränderungen gegenüber den Original-Medien.
- Erzeugung exakter, bitgenauer Kopien aller Quellmedien.
- Reproduktion der exakten, bitgenauen Kopien auf Sekundärmedien
- Durchführung forensischer Analysen am verfügbaren Beweismaterial
Laufende Qualitätssicherung ist in einem forensischen Labor von essenzieller Bedeutung. Abhängig davon, wo sie Cyber-Forensik durchführen, kann es notwendig sein, dass das Labor – und dessen Mitarbeiter – bestimmte Zertifizierungen erwerben.
Wenn ihr cyberforensisches Labor keinem etablierten Lenkungssystem unterliegt, sollten sich das Labor und die Mitarbeiter unbedingt regelmäßigen Audits unterziehen, um die Einhaltung der Richtlinien, Prozeduren etc. zu gewährleisten. Die Audits sollten unter anderem die folgenden Prüfungen umfassen:
- Untersuchung der Decke, Böden, Wände und Türen auf Auffälligkeiten aller Art
- Überprüfung der Schlösser von Türen und Stauschränken auf Funktionstüchtigkeit
- Überprüfung der Zugangsprotokolle, um festzustellen, ob Bewegungen in/aus dem Labor festgehalten werden
- Prüfung, ob die Mitarbeiter die nötigen Fähigkeiten und Erfahrungen zur Durchführung forensischer Analysen besitzen
- Unabhängige Bestätigung, dass die verwendete Hardware und Software korrekt und bestimmungsgemäß funktioniert
Cyber-Forensik erfordert umfangreiche Steuerungsmaßnahmen und Unterstützung, um sicherzustellen, dass der laufende Betrieb hohen Qualitätsmaßstäben genügt. Das Implementieren einer verbindlichen Dokumentation und die Durchführung der Analysen in einer „sicheren Zone“ geben Unternehmen die Gewissheit, dass die Prinzipien der Datenauthentizität und Integrität in der Cyber-Forensik eingehalten werden.
Über den Autor
Jason Sachowski, (ISC)²-zertifizierter CISSP-ISSAP, CSSLP, CCFP und SSCP, arbeitet als Senior Manager im Bereich Security Research & Development bei der kanadischen Scotiabank Group.
(ID:42445477)
:quality(80)/images.vogel.de/vogelonline/bdb/1945500/1945539/original.jpg "Der Fachkräftemangel, das immer komplexere Security-Management und die Masse an Security Alerts führen dazu, dass Incidents nicht schnell genug ausgewertet werden und Bedrohungen zu lange unbemerkt bleiben. (leowolfert - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1945500/1945572/original.jpg "Bei dem hochaktuellen Security-Ansatz „Zero Trust“ wird keinem Akteur, der Zugang zu Ressourcen oder Diensten im Netzwerk fordert, von vornherein vertraut. Stattdessen wird jeder Datenzugriff auf der Grundlage vorher festgelegter Richtlinien überprüft. (Yingyaipumi - stock.adobe.com)")