View
7
Download
1
Category
Preview:
Citation preview
intersoft consulting services AG
Datenschutz, IT-Sicherheit und IT-Forensik: Wir halten Sie auf Kurs.
Besuchen Sie uns im Internet unter:
www.intersoft-consulting.de
Digitale Forensik - Datenschutz, IT-Sicherheit
und IT-Forensik
Thorsten LogemannVorstandsvorsitzender
Die Spuren des digitalen Zeitalters
23. Hamburger Kommunikationstag am 02.03.2017
intersoft consulting services AG
Unternehmensprofil
intersoft consulting services AG
Beratung in Datenschutz, IT-Sicherheit, Compliance und IT-Forensik
Firmensitz der Aktiengesellschaft (nicht börsennotiert) ist Hamburg
Weitere Büros: München, Stuttgart, Berlin, Frankfurt am Main, Düsseldorf und Kiel
Gegründet: 2006
Aktienkapital: 1,1 Mio. EUR
100% des Aktienkapitals im Besitz der WWK Versicherungsgruppe
Umfassende Betriebs- und Vermögensschadenhaftpflicht
Vorstände: Thorsten Logemann (Vorstandsvorsitz), Dr. Nils Christian Haag
Aufsichtsratsvorsitzender: Herr Ralf Schmidt (WWK Versicherungsgruppe)
intersoft consulting services AG
Wir als Dienstleister
Beratung, Umsetzung
Prüfung und Zertifizierung
IT-SicherheitExterner
Datenschutz-beauftragter
Datenschutz IT-Forensik
intersoft consulting services AG
Interdisziplinäre Kompetenzen
Juristen, darunter promovierte
Rechtsanwälte
Fachanwälte für IT-Recht, gewerblichen
Rechtsschutz, Urheber- und Medienrecht
Master of Laws in
Informationstechnologierecht
TÜV-zertifizierte Datenschutzbeauftragte
Datenschutz-Auditoren (Datenschutz-
Gütesiegel ULD)
EuroPriSe Legal Experts (European
Privacy Seal)
intersoft consulting services AG ist
anerkannte sachverständige Prüfstelle
beim Unabhängigen Landeszentrum für
Datenschutz Schleswig-Holstein (ULD)
BSI-zertifizierte Auditoren:
ISO 27001 / IT-Grundschutz,
BS25999, De-Mail
Certified ISO/IEC 27001 Lead Implementer
Wirtschaftsinformatiker, Informatiker
Master of Arts in IT-Management
GIAC Certified Forensic Examiner (GCFE),
GIAC Certified Forensic Analyst (GCFA)
ISACA Certified Information Systems
Auditor (CISA)
ISACA IT-Compliance Manager (ITCM)
TÜV-zertifizierte IT-Sicherheitsbeauftragte
Hoch qualifiziert in Datenschutz, Recht und IT
intersoft consulting services AG
Agenda
1 Was bedeutet IT-Forensik?
2 Grundlagen der IT-Forensik
3 Fallbeispiele für die IT-Forensik
4 Möglichkeiten der digitalen Spurensuche
5 Potenzielle Gefahren für Datenverlust
6 Prävention und Schutzmaßnahmen
Möglichkeiten der digitalen SpurensucheMöglichkeiten der digitalen Spurensuche
Potenzielle Gefahren für DatenverlustPotenzielle Gefahren für Datenverlust
Prävention und Schutzmaßnahmen
intersoft consulting services AG
Was bedeutet IT-Forensik?
Erste Gedanken:
CSI
Quincy
Law & Order
Navy CIS
Realitätsnähe?
intersoft consulting services AG
Was bedeutet IT-Forensik – oder auch nicht?
Video: Let‘s enhance
https://www.youtube.com/watch?v=Vxq9yj2pVWk
intersoft consulting services AG
Was bedeutet IT-Forensik?
Klassische Forensik:
Medizin
Physik
Biologie
Digitale Forensik:
Windows Forensik
Netzwerkforensik
Incident Response
intersoft consulting services AG
Agenda
1 Was bedeutet IT-Forensik?
2 Grundlagen der IT-Forensik
3 Fallbeispiele für die IT-Forensik
4 Möglichkeiten der digitalen Spurensuche
5 Potenzielle Gefahren für Datenverlust
6 Prävention und Schutzmaßnahmen
Möglichkeiten der digitalen SpurensucheMöglichkeiten der digitalen Spurensuche
Potenzielle Gefahren für DatenverlustPotenzielle Gefahren für Datenverlust
Prävention und Schutzmaßnahmen
intersoft consulting services AG
Grundlagen der Forensik
Locardsches Austauschprinzip (Edmond Locard † 4. April 1966)
Sinngemäß:
Niemand kann eine Straftat begehen, ohne zahlreiche Zeichen (marquesmultiples) zu hinterlassen, entweder dadurch, dass er etwas am Tatort
hinterlässt oder dadurch, dass er etwas vom Tatort mitnimmt.1
Theorie des Transfers (Keith Inman und Norah Rudin)
Übertragung von Materie (physical transfer)
z.B. Hautschuppen, Haare oder Schmauchspuren
Übertragung von Mustern (transfer of traits),
z.B. Fuß-/Reifenspuren oder Riefen des Waffenlaufs auf der Pistolenkugel2
Weiterentwicklung
1 L’enquête criminelle et les méthodes scientifiques, Ernest Flammarion, Paris 1920, S. 192 Principles and Practice of Criminalistics: The Profession of Forensic Science, CRC Press, 2000)
intersoft consulting services AG
Grundlagen der Forensik
Transfer in die digitale Welt:
Austauschprinzip bzw. physical transfer (-)
Mangels Materie (nur kodierte Daten) kein physischer Spurentransfer möglich
Musterübertragung bzw. transfer of traits (+)
z.B.:
Austausch von Dateien,
Versenden von E-Mails,
Maschineninstruktion im Prozessor, zum Beispiel: mov eax, ebx
Zuweisung in einer Programmiersprache, zum Beispiel: x = y
Kopieroperation auf einem Computer,
zum Beispiel in einem Kommandofenster (Shell): copy file1.txt file2.txt
intersoft consulting services AG
Agenda
1 Was bedeutet IT-Forensik?
2 Grundlagen der IT-Forensik
3 Fallbeispiele für die IT-Forensik
4 Möglichkeiten der digitalen Spurensuche
5 Potenzielle Gefahren für Datenverlust
6 Prävention und Schutzmaßnahmen
Möglichkeiten der digitalen SpurensucheMöglichkeiten der digitalen Spurensuche
Potenzielle Gefahren für DatenverlustPotenzielle Gefahren für Datenverlust
Prävention und Schutzmaßnahmen
intersoft consulting services AG
Datendiebstahl
Mitarbeiter kopiert vertrauliche
Unternehmensinformationen
Bewirbt sich bei der Konkurrenz
Enorm wirtschaftlicher Schaden für Ihr
Unternehmen
IT-Forensiker ermitteln den Täter
Spuren werden gerichtsfest gesichert,
analysiert und dokumentiert
Ggf. Verwendung für ein späteres
Verfahren
intersoft consulting services AG
Malware-Ology
“Malware can hide, but it must run.”
Malware Paradox:
Drei mögliche Situationen:
1. Aktive Malware auf dem System
2. Malware vorhanden, aber inaktiv
3. Keine Malware, aber System wurde kompromittiert
intersoft consulting services AG
Malware-Ology (1)
“Malware tries to hide, but it must survive a reboot.”
Malware Persistence:
Mechanismen Beschreibung
Auto-Start Locations NTUSERDAT\Software\Microsoft\Windows\CurrentVersion\Run…
Windows Service Creation SYSTEM\CurrentControlSet\Services
intersoft consulting services AG
Weitere Fallbeispiele
Insiderhandel
Weitergabe von internen Informationen
Diese werden gewinnbringend an der Börse genutzt
Arbeitszeitbetrug durch Mitarbeiter
Privates Surfen im Internet
Kinderpornografie
Rechtswidrige Downloads
Social-Engineering Attacken
Spear-Phishing
Verletzung von Urheberrechten
Verstoß gegen die Verwendungsrechte von urheberrechtlich geschützten
elektronischen Daten
Ausspähen oder Abfangen von Daten
Unberechtigtes Aufzeichnen, Mithören oder Mitlesen von Daten, die sich in
der Übermittlung befinden
intersoft consulting services AG
Agenda
1 Was bedeutet IT-Forensik?
2 Grundlagen der IT-Forensik
3 Fallbeispiele für die IT-Forensik
4 Möglichkeiten der digitalen Spurensuche
5 Potenzielle Gefahren für Datenverlust
6 Prävention und Schutzmaßnahmen
Möglichkeiten der digitalen SpurensucheMöglichkeiten der digitalen Spurensuche
Potenzielle Gefahren für DatenverlustPotenzielle Gefahren für Datenverlust
Prävention und Schutzmaßnahmen
intersoft consulting services AG
Täterermittlung - Digitale Spurensuche
Technische Möglichkeiten zur Sachverhaltsaufklärung:
Erfolgte Datei-Downloads
z.B. via E-Mail, Skype oder Internetbrowser
Ausgeführte Programme
z.B. wann zuletzt ausgeführt
Erfolgte Dateizugriffe
z.B. letzter Zugriff
Gelöschte Dateien
z.B. Uhrzeit, Dateipfad, Dateiname, Wiederherstellung gelöschter Dateien
Externe Gerätenutzung
z.B. Anschluss von USB-Sticks, Nutzer des Gerätes
Detaillierte Systemnutzung
z.B. (fehlgeschlagene) Log-Ons, letzter Passwortwechsel
Browsernutzung
z.B. Datum und Uhrzeit, Frequenz besuchter Seiten
intersoft consulting services AG
IT-Forensik Tools
WriteBlocker
Verhindert Änderungen beim Kopiervorgang
intersoft consulting services AG
IT-Forensik Tools
OktaGraph
Über 39 Millionen Kombinationen
pro Sekunde
intersoft consulting services AG
Agenda
1 Was bedeutet IT-Forensik?
2 Grundlagen der IT-Forensik
3 Fallbeispiele für die IT-Forensik
4 Möglichkeiten der digitalen Spurensuche
5 Potenzielle Gefahren für Datenverlust
6 Prävention und Schutzmaßnahmen
Möglichkeiten der digitalen SpurensucheMöglichkeiten der digitalen Spurensuche
Potenzielle Gefahren für DatenverlustPotenzielle Gefahren für Datenverlust
Prävention und Schutzmaßnahmen
intersoft consulting services AG
mSPY
Wem kann diese Software von Nutzen sein?
„Unsere Smartphone-Monitoring-Software ist die erste Wahl für Eltern und
Unternehmensinhaber, denn sie ermöglicht ihnen wertvolle Einsicht in die
Nutzung der ihren Kindern oder ihren Angestellten anvertrauten Mobil-
Geräte sowie in die Daten, die von diesen darauf abgelegt worden sind.“
(Zitat Webseite https://www.mspy.com.de/faq.html)
intersoft consulting services AG
mSPY Installation
unbemerktes Ausspähen durch die App im Hintergrund
intersoft consulting services AG
mSPY Dasboard
mSPY
intersoft consulting services AG
Digitaler Radioscanner
DVB-T USB Stick (20 €)
Mittels Software Chip manipulieren, Frequenzbereich von 24 bis 1.766 MHz
HackRF one SDR (ca. 400 €)
Empfangen und Senden im Frequenzbereich von ca. 10 MHz bis 6,0 GHz
Mittels Linux „GNU Radio“
Decodieren von GSM, DECT und TETRA
§89 u. §148 TKG Abhörverbot, Geheimhaltungspflicht der Betreiber von Empfangsanlagen
intersoft consulting services AG
Agenda
1 Was bedeutet IT-Forensik?
2 Grundlagen der IT-Forensik
3 Fallbeispiele für die IT-Forensik
4 Möglichkeiten der digitalen Spurensuche
5 Potenzielle Gefahren für Datenverlust
6 Prävention und Schutzmaßnahmen
Möglichkeiten der digitalen SpurensucheMöglichkeiten der digitalen Spurensuche
Potenzielle Gefahren für DatenverlustPotenzielle Gefahren für Datenverlust
Prävention und Schutzmaßnahmen
intersoft consulting services AG
Prävention
Verhaltensempfehlungen für Unternehmen:
Datenverschlüsselung Password Policy
Penetrationstests
Informationsaustausch z.B. Allianz für Cyber-Sicherheit
Schulungen
Backup-Strategie
Proaktive Identifikation
Automatische Monitorings Installation von Updates
Mobile Devices/BYOD
intersoft consulting services AG
Soforthilfe im IT-Sicherheitsnotfall
1. System sichern
Jeder Eingriff führt zur Spurenveränderung oder Beweismittelvernichtung
Betroffene Rechner auf keinen Fall abschalten oder vom Netz trennen
Wenn Sie doch aktiv werden: Protokollieren Sie jeden einzelnen Schritt
2. Verantwortliche informieren
Festlegung, welche internen Stellen informiert werden müssen
Benennung eines verantwortlichen Koordinators
3. Experten hinzuziehen
Dokumentation, wer wann wo Zugriffsmöglichkeiten auf die Beweismittel
hatte
Fotografieren der lokalen Gegebenheiten
intersoft consulting services AG
Schutzmaßnahmen
Risikobehaftete Unternehmensabläufe einschränken:
Nutzung mobiler Endgeräte/ Datenträger
Verwaltung von Systemberechtigungen
Übertragung geschäftskritischer Daten an Dritte
Übermittlung von Zugangsdaten per Telefon
Einsatz fehlerhafter Software im Unternehmen
Speicherung von Daten bei externen Anbietern
intersoft consulting services AG
Datenschutz, IT-Sicherheit und IT-Forensik: Wir halten Sie auf Kurs.
Besuchen Sie uns im Internet unter:
www.intersoft-consulting.de
Vielen Dank für Ihre Aufmerksamkeit.
Gern stehe ich Ihnen für Fragen zur Verfügung.
Thorsten LogemannVorstandsvorsitzender
E-Mail: tlogemann@intersoft-consulting.de | Telefon: +49 40 790 235 – 0
Hauptsitz: intersoft consulting services AG, Beim Strohhause 17, 20097 Hamburg
Recommended