Sie sind hier
E-Book

Computer-Forensik

Computerstraftaten erkennen, ermitteln, aufklären

AutorAlexander Geschonneck
Verlagdpunkt
Erscheinungsjahr2014
Seitenanzahl388 Seiten
ISBN9783864914898
FormatPDF/ePUB
KopierschutzWasserzeichen/DRM
GerätePC/MAC/eReader/Tablet
Preis42,90 EUR
Unternehmen und Behörden schützen ihre IT-Systeme mit umfangreichen Sicherheitsmaßnahmen. Trotzdem werden diese Systeme immer wieder für kriminelle Zwecke missbraucht bzw. von böswilligen Hackern angegriffen. Nach solchen Vorfällen will man erfahren, wie es dazu kam, wie folgenreich der Einbruch ist, wer der Übeltäter war und wie man ihn zur Verantwortung ziehen kann. Dafür bedient man sich der Computer-Forensik. Ähnlich der klassischen Strafverfolgung stehen auch für den Computer-Forensiker folgende Informationen im Vordergrund: Wer, Was, Wo, Wann, Womit, Wie und Weshalb. Dieses Buch gibt einen Überblick darüber, wie man bei der computerforensischen Arbeit vorgeht - sowohl im 'Fall der Fälle' als auch bei den Vorbereitungen auf mögliche Angriffe bzw. Computerstraftaten. Ausführlich und anhand zahlreicher Beispiele wird gezeigt, welche Werkzeuge und Methoden zur Verfügung stehen und wie man sie effizient einsetzt. Der Leser lernt dadurch praxisnah, • wo man nach Beweisspuren suchen sollte, • wie man sie erkennen kann, • wie sie zu bewerten sind, • wie sie gerichtsverwendbar gesichert werden. Ein eigenes Kapitel befasst sich mit der Rolle des privaten Ermittlers, beschreibt die Zusammenarbeit mit den Ermittlungsbehörden und erläutert die Möglichkeiten der zivil- und strafrechtlichen Verfolgung in Deutschland. In der 6. Auflage wurden Statistiken und Toolbeschreibungen aktualisiert sowie neueste rechtliche Entwicklungen aufgenommen. Hinzugekommen sind neue Ansätze der strukturierten Untersuchung von Hauptspeicherinhalten und die Analyse von Malware.

Alexander Geschonneck leitet als Partner bei der KPMG AG Wirtschaftsprüfungsgesellschaft den Bereich Forensic Technology. Sein Tätigkeitsschwerpunkt ist die Sicherstellung und Analyse von digitalen Beweismitteln im Rahmen der Korruptions- und Betrugsbekämpfung sowie der Aufklärung von ITSicherheitsvorfällen. Davor war er leitender Sicherheitsberater und Partner bei der HiSolutions AG in Berlin sowie Senior Manager bei der Ernst & Young AG, wo er den Bereich Forensic Technology & Discovery Services leitete. Seit 1993 ist er branchenübergreifend im strategischen und operativen IT-Sicherheitsumfeld tätig. Alexander Geschonneck ist Mitautor der IT-Grundschutzkataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Seit 2002 ist er vom BSI lizenzierter IT-Grundschutzauditor sowie ISO27001-Auditor auf Basis von IT-Grundschutz. Er studierte in Berlin Wirtschaftsinformatik mit Themenschwerpunkt Informationssicherheit. Auf seiner privaten Homepage finden sich weitere Veröffentlichungen zu Themen der Computer-Forensik und allgemeinen IT-Sicherheit. Alexander Geschonneck ist Certified Fraud Examiner und Certified Information Systems Auditor.

Kaufen Sie hier:

Horizontale Tabs

Leseprobe

1 Bedrohungssituation


Zu Beginn dieses Buches wollen wir uns mit den Bedrohungssituationen befassen, denen IT-Systeme in unterschiedlicher Weise ausgesetzt sind. Dabei geht es um Fragen, die die Auswahl und den Einsatz von Schutzmaßnahmen betreffen, aber auch bei der Tätersuche und der Ermittlung strafbarer Handlungen relevant sind: Welche Teile meines IT-Systems sind besonders bedroht? Wie wahrscheinlich ist ein Einbruch, wie groß der mögliche Schaden? Wer könnte es auf einen Angriff anlegen, und warum? Mit diesen und ähnlichen Fragen werden wir uns dem Thema Computer-Forensik zunächst von außen nähern, um im weiteren Verlauf des Buches immer weiter an Detailtiefe zu gewinnen.

1.1 Bedrohung und Wahrscheinlichkeit


Bedrohung

Mit Bedrohung ist der potenzielle Auslöser für ein unerwünschtes Ereignis gemeint, das sich auf das betroffene IT-System oder die gesamte Organisation schädlich auswirken kann. Unternehmen und deren IT-Landschaft sind vielfältigen Bedrohungen ausgesetzt. Sicherheitsverantwortliche müssen diese Bedrohungen identifizieren und deren Schwere und Eintrittswahrscheinlichkeit abschätzen. Gegenmaßnahmen sind oft erst nach dieser sorgfältigen Abschätzung sinvoll.

Die Wahrscheinlichkeit, mit der eine Bedrohung im betrachteten Umfeld eintreten wird, ist u.a. abhängig von

  • der Häufigkeit der Bedrohung (Wahrscheinlichkeit des Auftretens anhand von Erfahrungen oder Statistiken),
  • der Motivation und den vorausgesetzten Fähigkeiten und Ressourcen eines potenziellen Angreifers,
  • der Attraktivität und Verwundbarkeit des IT-Systems bzw. seiner Komponenten, wie sie von potenziellen Angreifern wahrgenommen wird,
  • dem Wert, den die IT-Systeme und die darin gespeicherten bzw. verarbeiteten Informationen für die eigene Organisation oder aber für den Angreifer haben, und
  • der Positionierung des Unternehmens oder der Organisation in der Öffentlichkeit bzw. innerhalb der politischen Landschaft (z.B. Strafverfolgungsbehörden, Verwaltung und politische Parteien).

Eine vorhandene Schwachstelle allein verursacht noch keinen Schaden. Sie ist aber die Voraussetzung dafür, dass eine Bedrohung zu einem realen Schaden führt. Hieraus ergibt sich bei der Reduktion oder Eliminierung von Sicherheitsrisiken der Handlungsbedarf: Auf Schwachstellen, für die es konkrete Bedrohungen gibt, sollten die Sicherheitsverantwortlichen in den Unternehmen mit geeigneten organisatorischen, personellen, technischen und infrastrukturellen Maßnahmen sofort reagieren. Sind keine korrespondierenden Bedrohungen vorhanden, kann man mit Schwachstellen auch lange leben. Wichtig ist dabei aber, rechtzeitig zu erkennen, ob und wie sich die Bedrohungslage möglicherweise ändert.

Systematik der Bedrohungen

Grundsätzlich lassen sich Bedrohungen unterscheiden nach ihrem Ursprung, der Motivation der Täter, der Häufigkeit des Auftretens und der Größe des Schadens, der durch ihr Eintreten verursacht wird. Der Ursprung einer Bedrohung lässt sich noch feiner granuliert darstellen: Bedrohung durch die Umwelt oder Bedrohung durch Menschen. Wichtig ist auch die Unterscheidung, ob bei einem Sicherheitsvorfall eine absichtliche oder zufällige Bedrohung durch Menschen vorliegt. Bei den absichtlichen Bedrohungen interessieren uns konkret die Innen- und Außentäter.

1.2 Risikoverteilung


Eintrittswahrscheinlichkeit und Schadenshöhe

Ein Risiko lässt sich durch die Wahrscheinlichkeit eines gefährdenden Ereignisses und die zu erwartende Schadenshöhe beschreiben. Diese beiden Parameter, Schadenshöhe und Eintrittswahrscheinlichkeit, sind für die Bewertung der eigenen Risiken heranzuziehen. Bei der im Vorfeld für ein Sicherheitskonzept durchzuführenden Risikoanalyse geht es genau darum, herauszufinden, welche Unternehmenswerte bedroht werden könnten, welcher Schaden an den Unternehmenswerten im Einzelnen und für das Unternehmen im Ganzen im Schadensfall entsteht, wie hoch die Wahrscheinlichkeit eines Schadens ist und welche Schwachstellen existieren. Erst auf Basis dieser Erkenntnisse ist es in den meisten Fällen sinnvoll, organisatorische, technische, personelle oder infrastrukturelle Sicherheitsmaßnahmen umzusetzen.

Angriffe nehmen zu.

Grundsätzlich kann festgestellt werden, dass mit der Zunahme von vernetzten Computersystemen auch die Zahl der angegriffenen Systeme gestiegen ist. Dies liegt auch darin begründet, dass einfach mehr potenzielle Ziele vorhanden sind. Durch die Vernetzung von sehr vielen Systemen via Internet rücken neue Tätergruppen unterschiedlichster Motivation in das Spielfeld auf. Das Internet mit seiner Vielfalt an Netzdiensten, seiner weltweit einheitlichen Protokoll- bzw. Anwendungsstruktur und den damit verbundenen durchaus bedenklichen Design- und Implementationsfehlern trägt zur Risikoerhöhung bei. Die Wahrscheinlichkeit eines Angriffs über eine Netzverbindung steigt, wodurch eine signifikante Steigerung der Vorfälle über die vergangenen Jahre hinweg zu beobachten ist.

Angriffe werden komplexer.

Zusätzlich führt eine gewisse Monokultur bei den verwendeten Betriebssystemen und Applikationen gerade im Internet zu einer rasanten Multiplikation von Sicherheitsproblemen. Sicherheitslücken, die z.B. bei Implementation einer bestimmten WWW- oder DNS-Serversoftware auftauchen, können sofort bei allen Systemen ausgenutzt werden, die diese Software einsetzen. Es ist ebenfalls zu beobachten, dass die Angriffstechniken durchaus immer komplexer werden. Angriffe, die noch vor fünf oder zehn Jahren für zu kompliziert und damit undenkbar gehalten wurden, werden heute tagtäglich bei Systemeinbrüchen verwendet.

Abb. 1–1 Angreiferfähigkeiten vs. benötigtes Wissen1

Das amerikanische Sicherheitsunternehmen Symantec veröffentlicht regelmäßig einen »Internet Security Threat Report«2. Hierzu werden u.a. Alarme von mehreren Hundert Intrusion-Detection- und Firewall-Systemen analysiert. Für diesen Report wurden die Verbreitungswege von Malware analysiert. Glaubte man noch bis vor Kurzem, dass sich Schadcode fast nur noch online verbreitet, ist nun ein signifikanter Anstieg der Verbreitung über Datenträger zu verzeichnen:

Abb. 1–2
Verbreitungsmethoden von Malware aus dem Symantec Internet Security Threat Report – Attack Trends 2012

Formen des Phishing

In den letzten Jahren hat sich der Trend zu sogenannten Spear-Phishing-Angriffen verstärkt. Zur Erläuterung: Phishing3 ist eine Angriffsmethode, bei der dem Opfer vorgetäuscht wird, er gebe seine Daten bei einer vertrauenswürdigen Webseite ein, um an vertrauliche Informationen wie z.B. Passwörter, TANs oder Kreditkarteninformationen zu gelangen. Hierzu wird oft ein Trojaner verwendet, der die gefälschte Webseite täuschend nachbildet und die abgefangenen Daten dann im Hintergrund auf einem sog. Drop-Zone-Server ablegt. Ein anderer einfacher Weg ist, die gefälschte Webseite auf einem Server zu hosten und das Opfer mit gefälschten E-Mails auf diesen Server zu locken. Eine neuere Variante des Phishing wird als Spear-Phishing bezeichnet (abgeleitet von der englischen Übersetzung des Begriffs Speer), worunter ein gezielter Angriff zu verstehen ist. Hierbei beschafft sich der Angreifer z.B. die Mailadressen von Mitarbeitern eines Unternehmens, um an diese gezielt eine Phishing-Mail zu übersenden, die wie eine Mail eines üblichen Geschäftspartners oder eines Newsletters für diese Mitarbeiter aussieht. Die »Trefferquote« bei dieser Art von Phishing-Attacken ist ungleich höher als bei normalen Angriffen, da die Wahrscheinlichkeit, dass der Mitarbeiter keinen Verdacht schöpft, sehr hoch ist. In Fachkreisen spricht man von Whaling, wenn sich die gezielte Attacke gegen hohe Führungskräfte richtet.

Targeted Attacks

Häufig sind die o.g. Methoden in sogenannten Targeted Attacks eingebettet, die gezielt einzelne Unternehmen im Fokus haben. Herkömmliche Malware-Abwehrmethoden, die auf Patternvergleich basieren, sind hier oft erfolglos, da der Angriffscode bisher nicht in der Öffentlichkeit aufgetaucht ist und speziell für das eine Ziel erstellt wurde. Oft lassen sich die Angreifer lange Zeit, um das richtige Ziel anzugreifen oder die richtigen Daten zu stehlen. In Fachkreisen werden solche langwierigen im Verborgenen ablaufenden Angriffe auf lohnenswerte Ziele auch Advanced Persistent Threats (APT) genannt. APT-Angreifer versuchen, nachdem sie Zugang zum Netzwerk des Opfers erhalten haben, sich dort so lange wie möglich unerkannt aufzuhalten. Dabei werden nicht alle Daten auf einmal gestohlen, sondern nach und nach die wesentlichen und wertvollen Informationen kompromittiert. Das Ziel der Angreifer kann sich oft ändern, abhängig von den Daten, die im Netzwerk des Opfers vorgefunden werden.

Advanced Persistent Threats

Die letzten großen Targeted Attacks gegen bedeutende Unternehmen und Organisationen wurden durch Spear-Phishing-Angriffe oder durch Whaling mittels mit Malware infizierten PDF-Dateien durchgeführt. Dieses Dateiformat hat die lange Zeit in Verruf geratenen MS-Office-Dateiformate als...

Blick ins Buch

Weitere E-Books zum Thema: Sicherheit - IT Security

Digitale Fernsehtechnik in Theorie und Praxis

E-Book Digitale Fernsehtechnik in Theorie und Praxis
MPEG-Basiscodierung, DVB-, DAB-, ATSC-Übertragungstechnik, Messtechnik Format: PDF

Digitale Fernsehtechnik in Theorie und Praxis behandelt alle aktuellen digitalen TV-, Rundfunk- bzw. Multimedia-Standards wie MPEG, DVB, DAB, ATSC, T-DMB und ISDB-T. Das Buch setzt sich so praxisnah…

Digitale Fernsehtechnik in Theorie und Praxis

E-Book Digitale Fernsehtechnik in Theorie und Praxis
MPEG-Basiscodierung, DVB-, DAB-, ATSC-Übertragungstechnik, Messtechnik Format: PDF

Digitale Fernsehtechnik in Theorie und Praxis behandelt alle aktuellen digitalen TV-, Rundfunk- bzw. Multimedia-Standards wie MPEG, DVB, DAB, ATSC, T-DMB und ISDB-T. Das Buch setzt sich so praxisnah…

Digitale Fernsehtechnik in Theorie und Praxis

E-Book Digitale Fernsehtechnik in Theorie und Praxis
MPEG-Basiscodierung, DVB-, DAB-, ATSC-Übertragungstechnik, Messtechnik Format: PDF

Digitale Fernsehtechnik in Theorie und Praxis behandelt alle aktuellen digitalen TV-, Rundfunk- bzw. Multimedia-Standards wie MPEG, DVB, DAB, ATSC, T-DMB und ISDB-T. Das Buch setzt sich so praxisnah…

Digitale Fernsehtechnik in Theorie und Praxis

E-Book Digitale Fernsehtechnik in Theorie und Praxis
MPEG-Basiscodierung, DVB-, DAB-, ATSC-Übertragungstechnik, Messtechnik Format: PDF

Digitale Fernsehtechnik in Theorie und Praxis behandelt alle aktuellen digitalen TV-, Rundfunk- bzw. Multimedia-Standards wie MPEG, DVB, DAB, ATSC, T-DMB und ISDB-T. Das Buch setzt sich so praxisnah…

Sichere Netzwerkkommunikation

E-Book Sichere Netzwerkkommunikation
Grundlagen, Protokolle und Architekturen Format: PDF

Netzwerke werden in allen Bereichen der IT eingesetzt, und es gibt zahlreiche Technologien zur sicheren Netzwerkkommunikation. Doch welche der verfügbaren Techniken lassen sich kombinieren und in der…

Sichere Netzwerkkommunikation

E-Book Sichere Netzwerkkommunikation
Grundlagen, Protokolle und Architekturen Format: PDF

Netzwerke werden in allen Bereichen der IT eingesetzt, und es gibt zahlreiche Technologien zur sicheren Netzwerkkommunikation. Doch welche der verfügbaren Techniken lassen sich kombinieren und in der…

Sichere Netzwerkkommunikation

E-Book Sichere Netzwerkkommunikation
Grundlagen, Protokolle und Architekturen Format: PDF

Netzwerke werden in allen Bereichen der IT eingesetzt, und es gibt zahlreiche Technologien zur sicheren Netzwerkkommunikation. Doch welche der verfügbaren Techniken lassen sich kombinieren und in der…

Sichere Netzwerkkommunikation

E-Book Sichere Netzwerkkommunikation
Grundlagen, Protokolle und Architekturen Format: PDF

Netzwerke werden in allen Bereichen der IT eingesetzt, und es gibt zahlreiche Technologien zur sicheren Netzwerkkommunikation. Doch welche der verfügbaren Techniken lassen sich kombinieren und in der…

Security@Work

E-Book Security@Work
Pragmatische Konzeption und Implementierung von IT-Sicherheit mit Lösungsbeispielen auf Open-Source-Basis Format: PDF

Die Autoren erläutern die konzeptionellen und technischen Grundlagen des Themas IT-Sicherheit anhand anschaulicher Beispiele. Im Fokus stehen dabei die praktische Verwendbarkeit realitätsnaher…

Security@Work

E-Book Security@Work
Pragmatische Konzeption und Implementierung von IT-Sicherheit mit Lösungsbeispielen auf Open-Source-Basis Format: PDF

Die Autoren erläutern die konzeptionellen und technischen Grundlagen des Themas IT-Sicherheit anhand anschaulicher Beispiele. Im Fokus stehen dabei die praktische Verwendbarkeit realitätsnaher…

Weitere Zeitschriften

FESTIVAL Christmas

FESTIVAL Christmas

Fachzeitschriften für Weihnachtsartikel, Geschenke, Floristik, Papeterie und vieles mehr! FESTIVAL Christmas: Die erste und einzige internationale Weihnachts-Fachzeitschrift seit 1994 auf dem ...

Arzneimittel Zeitung

Arzneimittel Zeitung

Die Arneimittel Zeitung ist die Zeitung für Entscheider und Mitarbeiter in der Pharmabranche. Sie informiert branchenspezifisch über Gesundheits- und Arzneimittelpolitik, über Unternehmen und ...

arznei-telegramm

arznei-telegramm

Das arznei-telegramm® informiert bereits im 53. Jahrgang Ärzte, Apotheker und andere Heilberufe über Nutzen und Risiken von Arzneimitteln. Das arznei-telegramm®  ist neutral und ...

Bibel für heute

Bibel für heute

BIBEL FÜR HEUTE ist die Bibellese für alle, die die tägliche Routine durchbrechen wollen: Um sich intensiver mit einem Bibeltext zu beschäftigen. Um beim Bibel lesen Einblicke in Gottes ...

Computerwoche

Computerwoche

Die COMPUTERWOCHE berichtet schnell und detailliert über alle Belange der Informations- und Kommunikationstechnik in Unternehmen – über Trends, neue Technologien, Produkte und Märkte. IT-Manager ...

DHS

DHS

Die Flugzeuge der NVA Neben unser F-40 Reihe, soll mit der DHS die Geschichte der "anderen" deutschen Luftwaffe, den Luftstreitkräften der Nationalen Volksarmee (NVA-LSK) der ehemaligen DDR ...

die horen

die horen

Zeitschrift für Literatur, Kunst und Kritik."...weil sie mit großer Aufmerksamkeit die internationale Literatur beobachtet und vorstellt; weil sie in der deutschen Literatur nicht nur das Neueste ...