Bundesamt für Sicherheit in der Informationstechnik

M 6.128 Schulung an Beweismittelsicherungswerkzeugen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter

Die Mitglieder des Expertenteams für die Behandlung von Sicherheitsvorfällen müssen die Werkzeuge für die Sicherung und Analyse der digitalen Beweismittel kennen und deren Einsatz beherrschen, da gerade während einer Live Response Analyse wichtige Daten unbeabsichtigt zerstört werden können. Besonders in Behörden bzw. Unternehmen mit verteilten Standorten können in den ersten Stunden nach Bekanntwerden eines Sicherheitsvorfalls nicht immer Spezialisten des Expertenteams für die Behandlung von Sicherheitsvorfällen vor Ort sein. In solchen Fällen kann lokales, vertrauenswürdiges IT-Personal oder besser noch Informationssicherheitspersonal mit der Sicherung der Beweismittel betraut werden. Hierzu sind diese Personen in den Umgang mit den jeweiligen Werkzeugen einzuweisen. Dies betrifft auch Administratoren von Servern, Sicherheitsgateways oder anderen IT-Systemen, wenn von diesen beispielsweise Protokolldateien gesichert werden müssen. Dadurch lernen die handelnden Personen auch eventuelle Schwächen und Fehler der verwendeten Werkzeuge kennen, die die Analyseergebnisse beeinflussen könnten.

Bei der Auswahl von Werkzeugen zur Sammlung oder Analyse von digitalen Beweisen ist wichtig, die Herkunft dieser Werkzeuge zu kennen. Die Software-Werkzeuge müssen aus vertrauenswürdigen Quellen stammen, also beispielsweise direkt vom Hersteller. Zusätzlich sollten beispielsweise Prüfsummenverfahren verwendet werden, um eine unberechtigte Manipulation der Werkzeuge frühzeitig zu erkennen. Dies ist besonders relevant, wenn Werkzeuge aus dem Open Source Umfeld zum Einsatz kommen sollen, von denen verschiedene Varianten im Umlauf sein können.

Prüffragen:

  • Sind Administratoren und auch die Mitglieder des Expertenteams im Umgang mit Beweismittelsicherungswerkzeugen geschult?

  • Sind die Schwächen der verwendeten Werkzeuge bekannt?

  • Ist die Herkunft von Analyse-Werkzeugen bekannt und vertrauenswürdig?

  • Wird zuverlässig überprüft, dass die Software nicht manipuliert wurde?

Stand: 11. EL Stand 2009

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK