Digitale Forensik - Datenschutz, IT-Sicherheit und IT-Forensik · 2017-03-07 · intersoft consulting services AG Unternehmensprofil intersoft consulting services AG Beratung in Datenschutz,

intersoft consulting services AG

Datenschutz, IT-Sicherheit und IT-Forensik: Wir halten Sie auf Kurs.

Besuchen Sie uns im Internet unter:

www.intersoft-consulting.de

Digitale Forensik - Datenschutz, IT-Sicherheit

und IT-Forensik

Thorsten LogemannVorstandsvorsitzender

Die Spuren des digitalen Zeitalters

23. Hamburger Kommunikationstag am 02.03.2017


Unternehmensprofil


Beratung in Datenschutz, IT-Sicherheit, Compliance und IT-Forensik

Firmensitz der Aktiengesellschaft (nicht börsennotiert) ist Hamburg

Weitere Büros: München, Stuttgart, Berlin, Frankfurt am Main, Düsseldorf und Kiel

Gegründet: 2006

Aktienkapital: 1,1 Mio. EUR

100% des Aktienkapitals im Besitz der WWK Versicherungsgruppe

Umfassende Betriebs- und Vermögensschadenhaftpflicht

Vorstände: Thorsten Logemann (Vorstandsvorsitz), Dr. Nils Christian Haag

Aufsichtsratsvorsitzender: Herr Ralf Schmidt (WWK Versicherungsgruppe)


Wir als Dienstleister

Beratung, Umsetzung

Prüfung und Zertifizierung

IT-SicherheitExterner

Datenschutz-beauftragter

Datenschutz IT-Forensik


Interdisziplinäre Kompetenzen

Juristen, darunter promovierte

Rechtsanwälte

Fachanwälte für IT-Recht, gewerblichen

Rechtsschutz, Urheber- und Medienrecht

Master of Laws in

Informationstechnologierecht

TÜV-zertifizierte Datenschutzbeauftragte

Datenschutz-Auditoren (Datenschutz-

Gütesiegel ULD)

EuroPriSe Legal Experts (European

Privacy Seal)

intersoft consulting services AG ist

anerkannte sachverständige Prüfstelle

beim Unabhängigen Landeszentrum für

Datenschutz Schleswig-Holstein (ULD)

BSI-zertifizierte Auditoren:

ISO 27001 / IT-Grundschutz,

BS25999, De-Mail

Certified ISO/IEC 27001 Lead Implementer

Wirtschaftsinformatiker, Informatiker

Master of Arts in IT-Management

GIAC Certified Forensic Examiner (GCFE),

GIAC Certified Forensic Analyst (GCFA)

ISACA Certified Information Systems

Auditor (CISA)

ISACA IT-Compliance Manager (ITCM)

TÜV-zertifizierte IT-Sicherheitsbeauftragte

Hoch qualifiziert in Datenschutz, Recht und IT


Agenda

1 Was bedeutet IT-Forensik?

2 Grundlagen der IT-Forensik

3 Fallbeispiele für die IT-Forensik

4 Möglichkeiten der digitalen Spurensuche

5 Potenzielle Gefahren für Datenverlust

6 Prävention und Schutzmaßnahmen

Möglichkeiten der digitalen SpurensucheMöglichkeiten der digitalen Spurensuche

Potenzielle Gefahren für DatenverlustPotenzielle Gefahren für Datenverlust

Prävention und Schutzmaßnahmen


Was bedeutet IT-Forensik?

Erste Gedanken:

CSI

Quincy

Law & Order

Navy CIS

Realitätsnähe?


Was bedeutet IT-Forensik – oder auch nicht?

Video: Let‘s enhance

https://www.youtube.com/watch?v=Vxq9yj2pVWk

https://www.youtube.com/watch?v=Vxq9yj2pVWk


Was bedeutet IT-Forensik?

Klassische Forensik:

Medizin

Physik

Biologie

Digitale Forensik:

Windows Forensik

Netzwerkforensik

Incident Response


Agenda











Grundlagen der Forensik

Locardsches Austauschprinzip (Edmond Locard † 4. April 1966)

Sinngemäß:

Niemand kann eine Straftat begehen, ohne zahlreiche Zeichen (marquesmultiples) zu hinterlassen, entweder dadurch, dass er etwas am Tatort

hinterlässt oder dadurch, dass er etwas vom Tatort mitnimmt.1

Theorie des Transfers (Keith Inman und Norah Rudin)

Übertragung von Materie (physical transfer)

z.B. Hautschuppen, Haare oder Schmauchspuren

Übertragung von Mustern (transfer of traits),

z.B. Fuß-/Reifenspuren oder Riefen des Waffenlaufs auf der Pistolenkugel2

Weiterentwicklung

1 L’enquête criminelle et les méthodes scientifiques, Ernest Flammarion, Paris 1920, S. 192 Principles and Practice of Criminalistics: The Profession of Forensic Science, CRC Press, 2000)


Grundlagen der Forensik

Transfer in die digitale Welt:

Austauschprinzip bzw. physical transfer (-)

Mangels Materie (nur kodierte Daten) kein physischer Spurentransfer möglich

Musterübertragung bzw. transfer of traits (+)

z.B.:

Austausch von Dateien,

Versenden von E-Mails,

Maschineninstruktion im Prozessor, zum Beispiel: mov eax, ebx

Zuweisung in einer Programmiersprache, zum Beispiel: x = y

Kopieroperation auf einem Computer,

zum Beispiel in einem Kommandofenster (Shell): copy file1.txt file2.txt


Agenda











Datendiebstahl

Mitarbeiter kopiert vertrauliche

Unternehmensinformationen

Bewirbt sich bei der Konkurrenz

Enorm wirtschaftlicher Schaden für Ihr

Unternehmen

IT-Forensiker ermitteln den Täter

Spuren werden gerichtsfest gesichert,

analysiert und dokumentiert

Ggf. Verwendung für ein späteres

Verfahren


Malware-Ology

“Malware can hide, but it must run.”

Malware Paradox:

Drei mögliche Situationen:

1. Aktive Malware auf dem System

2. Malware vorhanden, aber inaktiv

3. Keine Malware, aber System wurde kompromittiert


Malware-Ology (1)

“Malware tries to hide, but it must survive a reboot.”

Malware Persistence:

Mechanismen Beschreibung

Auto-Start Locations NTUSERDAT\Software\Microsoft\Windows\CurrentVersion\Run…

Windows Service Creation SYSTEM\CurrentControlSet\Services


Weitere Fallbeispiele

Insiderhandel

Weitergabe von internen Informationen

Diese werden gewinnbringend an der Börse genutzt

Arbeitszeitbetrug durch Mitarbeiter

Privates Surfen im Internet

Kinderpornografie

Rechtswidrige Downloads

Social-Engineering Attacken

Spear-Phishing

Verletzung von Urheberrechten

Verstoß gegen die Verwendungsrechte von urheberrechtlich geschützten

elektronischen Daten

Ausspähen oder Abfangen von Daten

Unberechtigtes Aufzeichnen, Mithören oder Mitlesen von Daten, die sich in

der Übermittlung befinden


Agenda











Täterermittlung - Digitale Spurensuche

Technische Möglichkeiten zur Sachverhaltsaufklärung:

Erfolgte Datei-Downloads

z.B. via E-Mail, Skype oder Internetbrowser

Ausgeführte Programme

z.B. wann zuletzt ausgeführt

Erfolgte Dateizugriffe

z.B. letzter Zugriff

Gelöschte Dateien

z.B. Uhrzeit, Dateipfad, Dateiname, Wiederherstellung gelöschter Dateien

Externe Gerätenutzung

z.B. Anschluss von USB-Sticks, Nutzer des Gerätes

Detaillierte Systemnutzung

z.B. (fehlgeschlagene) Log-Ons, letzter Passwortwechsel

Browsernutzung

z.B. Datum und Uhrzeit, Frequenz besuchter Seiten


IT-Forensik Tools

WriteBlocker

Verhindert Änderungen beim Kopiervorgang


IT-Forensik Tools

OktaGraph

Über 39 Millionen Kombinationen

pro Sekunde


IT-Forensik Tools

TreCorder

Mobiles forensisches Labor


IT-Forensik Tools

OxyCube

Mobile Forensic Imager


Mobiles IT-Forensik Labor


Agenda











Die Hotspot-FalleQ

uelle

: c‘t m

agazin


Mobile Security


mSPY

www.mspy.com


mSPY

Wem kann diese Software von Nutzen sein?

„Unsere Smartphone-Monitoring-Software ist die erste Wahl für Eltern und

Unternehmensinhaber, denn sie ermöglicht ihnen wertvolle Einsicht in die

Nutzung der ihren Kindern oder ihren Angestellten anvertrauten Mobil-

Geräte sowie in die Daten, die von diesen darauf abgelegt worden sind.“

(Zitat Webseite https://www.mspy.com.de/faq.html)


mSPY Installation

unbemerktes Ausspähen durch die App im Hintergrund


mSPY Dasboard

mSPY

https://cp.mspyonline.com/user.view.dashboard.html


Digitaler Radioscanner

DVB-T USB Stick (20 €)

Mittels Software Chip manipulieren, Frequenzbereich von 24 bis 1.766 MHz

HackRF one SDR (ca. 400 €)

Empfangen und Senden im Frequenzbereich von ca. 10 MHz bis 6,0 GHz

Mittels Linux „GNU Radio“

Decodieren von GSM, DECT und TETRA

§89 u. §148 TKG Abhörverbot, Geheimhaltungspflicht der Betreiber von Empfangsanlagen


Agenda











Prävention

Verhaltensempfehlungen für Unternehmen:

Datenverschlüsselung Password Policy

Penetrationstests

Informationsaustausch z.B. Allianz für Cyber-Sicherheit

Schulungen

Backup-Strategie

Proaktive Identifikation

Automatische Monitorings Installation von Updates

Mobile Devices/BYOD


Allianz für Cyber-Sicherheit


Soforthilfe im IT-Sicherheitsnotfall

1. System sichern

Jeder Eingriff führt zur Spurenveränderung oder Beweismittelvernichtung

Betroffene Rechner auf keinen Fall abschalten oder vom Netz trennen

Wenn Sie doch aktiv werden: Protokollieren Sie jeden einzelnen Schritt

2. Verantwortliche informieren

Festlegung, welche internen Stellen informiert werden müssen

Benennung eines verantwortlichen Koordinators

3. Experten hinzuziehen

Dokumentation, wer wann wo Zugriffsmöglichkeiten auf die Beweismittel

hatte

Fotografieren der lokalen Gegebenheiten


Schutzmaßnahmen

Risikobehaftete Unternehmensabläufe einschränken:

Nutzung mobiler Endgeräte/ Datenträger

Verwaltung von Systemberechtigungen

Übertragung geschäftskritischer Daten an Dritte

Übermittlung von Zugangsdaten per Telefon

Einsatz fehlerhafter Software im Unternehmen

Speicherung von Daten bei externen Anbietern


Datenschutz, IT-Sicherheit und IT-Forensik: Wir halten Sie auf Kurs.

Besuchen Sie uns im Internet unter:

www.intersoft-consulting.de

Vielen Dank für Ihre Aufmerksamkeit.

Gern stehe ich Ihnen für Fragen zur Verfügung.

Thorsten LogemannVorstandsvorsitzender

E-Mail: [email protected] | Telefon: +49 40 790 235 – 0

Hauptsitz: intersoft consulting services AG, Beim Strohhause 17, 20097 Hamburg

Documents

Digitale Forensik - Datenschutz, IT-Sicherheit und IT-Forensik · 2017-03-07 · intersoft consulting services AG Unternehmensprofil intersoft consulting services AG Beratung in Datenschutz,