DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

IT-Forensik und Datendiebstahl

IT_Forensik

Die IT-Forensik (siehe auch den Beitrag von Frau Moretta) kann zur Auf­klärung von Daten­dieb­stahl einen wesent­lichen Beitrag leisten.

 

 

 

 

Daten­dieb­stahl nimmt ständig weiter zu

Daten sind ein hoch­sen­sibles Gut (gerade ver­trau­liche Unter­neh­mens­daten) und volatil. Der Dieb­stahl von Daten (s. auch meinen Beitrag) und die miss­bräuch­liche Ver­wendung sind an der Tages­ordnung und nehmen weiter zu.

Digitale Spuren sind zwar unsichtbar, aber sie gelten Gerichten als Beweis­mittel. Gerade kleine und mittlere Unter­nehmen können hier wert­volle IT-Forensik betreiben.

Was beinhaltet IT-Forensik?

  • Zum einen ist dies die gerichts­ver­wertbare Sicherung und auch Aus­wertung von Datenspuren
  • Ereig­nisse und kon­krete Sach­ver­halte sollen mög­lichst genau rekon­struiert werden
  • Der Schaden soll so gut wie möglich quan­ti­fi­ziert werden
  • Ver­meint­liche Sicher­heits­lücken müssen genau iden­ti­fi­ziert werden
  • Mit­hilfe von ent­spre­chenden Hilfs­mitteln soll auf­ge­zeigt werden, wie und in welcher Form unbefugt auf Daten zuge­griffen wurde (detail­lierte Doku­men­tation und Protokollierung).

Was ist nach einem Daten­dieb­stahl genau zu tun?

Zunächst ist es wichtig die Ruhe zu bewahren und nicht in Panik zu verfallen.

  • Holen Sie sich die Check­listen zu Sofort­maß­nahmen (u.a. auch diese Auflistung).
  • Gleichen Sie die IT-Infra­­struktur genau­estens ab; fehlt was (z.B. USB-Sticks, Fest­platten, Laptops etc.); von daher ist es wichtig immer eine aktuelle IT-Inven­­tar­­liste zu führen.
  • Ermitteln Sie nicht alleine. Wenn Sie nicht ent­spre­chende Hilfe innerhalb des Hauses (z.B. Admi­nis­trator) haben, holen Sie sich pro­fes­sio­nelle externe (Dienstleistungs-)Unterstützung;
  • „Vier Augen sehen mehr als zwei“; Ermitt­lungs­arbeit gehört in die Hände von Profis sonst wird even­tuell noch mehr Schaden ange­richtet (z.B. durch ver­se­hent­liches Ver­nichten von
  • Beweis­ma­terial oder Daten)

  • Sperren Sie den Tatort ab und achten Sie darauf, dass sich nur befugte Per­sonen dort auf­halten (Stichwort: Aus­schluss von Mani­pu­la­tionen und Beweisvereitelung)
  • Schalten Sie lau­fende Geräte auf keinen Fall ab; doku­men­tieren Sie deren Bild­schir­minhalt auf Basis von digi­talen Bild­auf­nahmen (Fotos); bitte keine Screen­shots (diese haben vor
  • Gericht keinen Bestand).

  • Foto­gra­fieren Sie den Tatort und die Tat­ort­hardware (sowohl von vorne als auch von hinten ins­be­sondere mit der Verkabelung).
  • Sichern Sie flüchtige Daten, z.B. auf Haupt- und Pro­zess­speicher und sämt­liche Daten interner und externer Fest­platten sowie auf USB-Sticks
  • Erstellen Sie ein Ermitt­lungs­pro­tokoll mit den Namen aller Betei­ligter, Ermittler, Zeugen und sonst. Per­sonen, die mit Daten oder PC-Hardware zu tun haben.
  • Wichtig!!! Ver­ändern Sie auf keinen Fall das zu unter­su­chende System; vielmehr erstellen Sie ein Abbild des Rechners (somit können Hash-Werte ver­glichen werden).
  • Beachten sie unbe­dingt die Ver­hält­nis­mä­ßigkeit, der für die Ermittlung not­wen­digen Daten; d.h. nicht mehr private oder ver­trau­liche Daten ana­ly­sieren als zur Ermittlung des Vorfalls
  • not­wendig sind.

  • Soweit im Unter­nehmen ein Personal/Betriebsrat und even­tuell ein Daten­schutz­be­auf­tragter exis­tieren, bitte diese Partner hin­zu­ziehen zur Beweis­si­cherung und Dokumentation
  • Doku­men­tieren Sie alle Vor­gänge und Absprachen mit den Betei­ligten; erstellen Sie einen sog. foren­si­schen Abschluss­be­richt, der pro­fes­sio­nellen Foren­sikern als Basis der Ermitt­lungen dient.

Ergebnis und Fazit:

Mit diesem struk­tu­rierten Ablauf bei einem Daten­dieb­stahl können gerade kleine und mittlere Unter­nehmen schnell Basis­daten für die Ermitt­lungen von Profis auf­nehmen, um fest­zu­stellen, ob und in welchem Umfang unbe­fugter Zugriff auf sen­sible Fir­men­daten statt­ge­funden hat. Und somit kann dann ganz schnell ein kon­kreter Schaden ange­geben bzw. wei­terer abge­wendet werden.

Je vor­be­rei­teter Sie auf den Ernstfall sind (Prä­vention), umso schneller und effek­tiver kann reagiert werden.

Wenden Sie sich mit diesen Aus­wer­tungen und Erkennt­nissen an die Polizei um Straf­an­zeige gegen Unbe­kannt zu stellen.

IT-Forensik ist mitt­ler­weile ein wich­tiger Bestandteil der IT-Security in Unter­nehmen. Dies erfordert aber von allen Betei­ligten ein hohes Maß an Ver­trauen und auch an Ver­ant­wor­tungs­be­wusstsein sowie Fin­ger­spit­zen­gefühl. Wenn alle Betei­ligten sich an die Grund­regeln der IT-Forensik halten, können Schäden zumindest begrenzt und weitere Risiken für das betroffene Unter­nehmen mini­miert werden.

Bild: © Stefan Bayer / pixelio.de

2 Kommentare zu IT-Forensik und Datendiebstahl

  • Uwe Großkinsky sagt:

    Sicherheit und dann ?
    Es werden immer nur Andeu­tungen gemacht.

    Was man tun soll und mit welchen Werk­zeugen mit Links auf weitere Quellen werden hier sträflich vernachlässigt.

    Eine Aus­wertzung zu machen erfordert ent­spre­chendes Fachwissen.

    So kann mein kaum eine inter­es­sierte Gemeine um sich versammeln

    Übri­gends .. der Link zu “Gele­genheit macht Diebe” geht ins Nirvana Redirect auf einen Pas­senden Link un der Einsatz eines Link­che­ckers sind er Web­seite wohl neu .… so wird das ncihts

  • Stefan Brandl sagt:

    Feh­ler­hafter Link
    Hallo Herr Großsinsky,

    vielen Dank für Ihre Anmer­kungen, die ich gerne aufgreife.

    Es gibt im Blog zu sehr vielen Sicher­heits­themen wei­ter­füh­rende und kon­krete Infor­ma­tionen. Um die ent­spre­chenden Bei­träge gezielter finden zu können haben wir seit Januar das Archiv um weitere Unter­themen erweitert. Schauen Sie doch da mal rein. 

    Falls Ihnen ein Thema fehlen sollte oder Sie inter­es­sante Quellen dazu bei­tragen können, so freuen wir uns, wenn Sie uns diese mit­teilen. Bzw. können Sie diese ja auch direkt bei den Bei­trägen im Kom­men­tarfeld hinterlegen.

    Sorry für den feh­ler­haften Link, der funk­tio­niert nun wieder.

    Viele Grüße

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Joachim Vogel, DATEV eG

Dipl. Betriebswirt (FH)

Studium der Betriebs­wirt­schaft im Schwer­punkt Marketing
Erfah­rungen in der Pro­gram­mier­sprache RPGII

Aufbau einer EDV-Ver­triebs-Abteilung in einem großen Ver­si­che­rungs­konzern (Ver­ant­wortlich für die techn. Infra­struktur in den Filialdirektionen/Disposition und Instal­lation der EDV)

Seit 1989 bei DATEV eG in Nürnberg tätig. Pro­jekt­leitung “esecure bei Behörden und Insti­tu­tionen”; techn. Know-how im TK-Management (Cloud-Lösungen; Beratung und Instal­lation von Tele­kom­mu­ni­ka­tions-Lösungen in Steu­er­kanz­leien; Koordinator/Ansprechpartner bei techn. Tele­kom­mu­ni­ka­ti­ons­an­fragen); Zer­ti­fi­zierung nach ITIL

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.