Allgemeine Information:

Die IT-Forensik bzw. Digitale Forensik ist ein Teilgebiet der Forensik. Die IT-Forensik behandelt die Untersuchung von verdächtigen Vorfällen im Zusammenhang mit IT-Systemen und der Feststellung des Tatbestandes und der Täter durch Erfassung, Analyse und Auswertung digitaler Spuren. Mittlerweile ist die Untersuchung von Computersystemen im Sinne einer inhaltlichen Auswertung der dort gespeicherten Informationen auch im Zusammenhang mit „herkömmlichen“ Straftaten, aber auch für Zwecke der Steuerfahndung etabliert.

Wesentliches Element der IT-Forensik ist die Gerichtsfestigkeit der digitalen Beweismittel und aller folgenden Aktivitäten, d. h. die Daten und Analyseschritte müssen den Anforderungen von Gerichten an Beweismittel genügen. Dies wird durch eine lückenlose und umfassende Dokumentation der Beweismittel (u. a. mit Fotos, Hashing, Vier-Augen-Prinzip, etc.) und aller weiteren Analyseschritte bis zum Ergebnis der forensischen Datenanalyse erreicht.

Die IT-Forensik gliedert sich in die zwei Bereiche Computer-Forensik bzw. Disk-Forensik, bei der es um die Analyse von Computer- oder Mobilgeräten und der darin enthaltenen Daten geht, und Forensische Datenanalyse bzw. Data-Forensik, bei der es um die Analyse von (meist großen) Datenbeständen aus Anwendungen und den zugrunde liegenden Datenbanken geht. Ziel der Computer-Forensik ist in der Regel das Analysieren von Kommunikation. Ziel der Forensischen Datenanalyse ist typischerweise die Analyse von Handlungen.

Mittlerweile bieten viele IT- und Beratungsfirmen forensische Untersuchungen als Dienstleistung an. Aber auch polizeiliche Behörden beschäftigen Fachkräfte in diesem Bereich.

Quelle: https://de.wikipedia.org/wiki/IT-Forensik

IT-Sicherheitsvorfall

Beispiel einer Vorfallsmeldung

Vorfallsmeldung Checkliste

  1. Wer ruft an?
  • Name:
    Zeit, Datum:
    Rückrufnummer:

2. Wann fand der Vorfall statt?

3. Wie wurde der Vorfall entdeckt? Wann? Durch wen?

4. Unmittelbare und zukünftige Auswirkungen auf den Anwender oder das Unternehmen?

5. Betroffene Systeme:

  • Hardware / Software / Betriebssystem
    IP-Adresse oder Netzwerk des betroffenen Systems
    Netzwerktyp (Ethernet, Token Ring, ATM)
    Modem (Telefonnummer)
    Kritikalität für Geschäftsprozess oder Unternehmen
    Befinden sich kritische Informationen auf dem System?
    Physische Standort
    Physische Schutzmaßnahmen vorhanden?
    Wer ist Hauptuser / Hauptadministrator? Kontaktdaten
    In welchem Zustand befindet sich das System

6. Angreifer:

  • Angreifer aktiv?
    Quell-Adresse
    Anzeichen für DoS?
    Anzeichen für Vandalismus?
    Erste Vermutung über Angreifer eines Insiders oder Outsiders

7. vorgenommen Tätigkeiten:

  • Netzwerkstecker gezogen?
    Audit Logfiles analysiert?
    Remote oder lokaler Zugriff auf die Systeme möglich?
    Änderungen am Netzwerk, Firewalls etc.?
    Wer wurde informiert? (intern / extern)

8. Welche Werkzeuge sind vor Ort verfügbar:

  • Ist irgendwelche Systemaudit-Software bereits im Einsatz?
    Netzwerkprotokolle
    Sniffer im Einsatz?

9. Wer kann für weitere Informationen angerufen werden:

  • Systemanwender?
    Systemadministrator des betroffenen Systems
    Lokaler Netzwerkadministrator

10. Sonderwünsche:

  • Wer soll im Unternehmen NICHT kontaktiert werden?
    […]