ISMS Vorlagen der Ebene 3

Ziel / Zweck

IT-Forensik ist die streng methodisch vorgenommene Datenanalyse auf Datenträgern und in Datennetzen zur Aufklärung von Sicherheitsvorfällen in IT-Systemen. Erkannte IT-Sicherheitsvorfälle forensisch zu untersuchen (Live-Response bzw. Post-Mortem-Analyse), ist immer dann notwendig, wenn entstandene Schäden bestimmt, Angriffe abgewehrt, zukünftige Angriffe vermieden und Angreifer identifiziert werden sollen. Ob ein IT-Sicherheitsvorfall forensisch untersucht wird, entscheidet sich, während der bestätigte Vorfall behandelt wird. Eine IT-forensische Untersuchung im Sinne dieser Sicherheitsrichtlinie besteht aus den folgenden Phasen: Strategische Vorbereitung | Initialisierung | Spurensicherung | Analyse | Ergebnisdarstellung

Bei Advanced Persistent Threats (APT) handelt es sich um zielgerichtete Cyber-Angriffe auf die Institution sowie Einrichtungen. Dabei verschafft sich ein Angreifer dauerhaften Zugriff zu einem Netz und weitet diesen Zugriff auf weitere IT-Systeme aus. Die Angriffe zeichnen sich durch einen sehr hohen Ressourceneinsatz und umfassende technische Fähigkeiten auf Seiten der Angreifer aus. Angriffe dieser Art sind in der Regel schwierig zu detektieren. Nachdem ein APT-Angriff entdeckt wurde, stehen die Verantwortlichen in der Institution vor großen Herausforderungen. Denn die Verantwortlichen müssen eine Bereinigung durchführen, die über das übliche Vorgehen zur Behandlung von IT-Sicherheitsvorfällen hinausgeht. Es ist davon auszugehen, dass die entdeckten Angreifer bereits seit längerer Zeit auf die betroffene IT-Infrastruktur der Office-IT und/oder der SaaS-Lösung zugreifen können. Außerdem nutzen sie komplexe Angriffswerkzeuge, um die Standard-Sicherheitsmechanismen zu umgehen und diverse Hintertüren zu etablieren. Zudem besteht die Gefahr, dass die Angreifer die infizierte Umgebung genau beobachten und auf Versuche zur Bereinigung reagieren, indem sie ihre Spuren verwischen und die Untersuchung sabotieren. In dieser Sicherheitsrichtlinie wird von einer hohen Bedrohungslage durch einen gezielten Angriff hochmotivierter Täter mit überdurchschnittlichen Ressourcen ausgegangen. Grundsätzlich sollte bei einem solchen Vorfall immer auch ein (zertifizierter) Forensik-Dienstleister hinzugezogen werden. Forensik-Dienstleister sollten dabei bereits in der Phase der forensischen Analyse mit einbezogen werden. Der Forensik-Dienstleister sollte jedoch auch bei der Bereinigung zumindest beratend einbezogen werden.

Diese Sicherheitsrichtlinie zeigt auf, welche Vorsorgemaßnahmen notwendig sind, um IT-forensische Untersuchungen zu ermöglichen. Dabei wird vor allem darauf eingegangen, wie die Spurensicherung vorbereitet und durchgeführt werden kann. Führen Forensik-Dienstleister Spurensicherungen ganz oder teilweise durch, gelten diese Anforderungen auch für die Dienstleister. Für die Erstellung dieser Sicherheitsrichtlinie wurde auf die Vorgaben der BSI Bausteine DER.2.2 "Vorsorge für die IT-Forensik" und DER.2.3 "Bereinigung weitreichender Sicherheitsvorfälle" aus dem Kompendium 2020 zurückgegriffen.

Über den bereitgestellten Download-Link kann die Vorlage heruntergeladen werden.