KES-Artikel: Sicherheitsvorfallbehandlung

Cover KESIn der aktuellen Ausgabe der KES habe ich den von mir überarbeiteten Grundschutzbaustein „Behandlung von Sicherheitsvorfällen" vorgestellt. Weiterlesen...

Reaktion auf IT-Sicherheitsvorfälle

Microsoft TechnetMicrosoft hat im TechNet einen Beitrag unter dem Titel „Responding to IT Security Incidents“ veröffentlicht. Das Papier beschäftigt sich damit, wie Sicherheitsvorfälle vermieden werden können und wie im Fall der Fälle angemessen zu reagieren ist. Ein Schwerpunkt ist beispielsweise die Bildung eines Incident Response Teams, wie dieses zusammengesetzt sein sollte Weiterlesen…

IT-Grundschutzbaustein „Sicherheitsvorfallbehandlung“

iconIch möchte an dieser Stelle darauf hinweisen, dass die HiSolutions AG (die Firma für die ich arbeite ;-)) für das BSI u.a. einige Bausteine der IT-Grundschutzkataloge überarbeitet hat. Ich persönlich habe den Grundschutzbaustein 1.8 „Behandlung von Sicherheitsvorfällen" in der Mache und diesen, sowohl um Elemente des klassischen ITIL Incident Managements ergänzt, sowie das Thema "Digitale Beweissicherung" aufgenommen. Die Ergebnisse werden auf dem von uns organisierten IT-Grundschutztag am 02.07.2007 in Berlin präsentiert. Anbei das offizielle Weiterlesen...

Fundamental Computer Investigation Guide For Windows

iconMicrosoft hat mit dem „Fundamental Computer Investigation Guide for Windows“ ein Papier veröffentlich, daß sich eigentlich an Einsteiger im Bereich Windows-Forensik richten soll. Unter diesem Aspekt kann man dann mit einigen Oberflächlichkeiten in dem Dokument leben. Nach dem Microsoft die Tools von Sysinternals gekauft, neue Werkzeuge daraus entwickelt und als integrierte Suite neu veröffentlicht hat, scheint dies nun der konsequente Weg zu sein, die Neuerwerbungen zu promoten. Die Analyse von kompromittierten Windows-Systemen wird basierend auf dem Computer Investigation Modell von Warren G. Kruse II und Jay G. Heise beschrieben: Weiterlesen…

Forensische Datenanalyse von Mails am Beispiel von ENRON

icon Die auch für Nicht-Experten verständliche und einfache Darstellung großer Datenmengen ist immer wieder eine Herausforderung in der IT-Forensik (gerade auch im Bereich der Wirtschaftsdelikte). Wir erleben es oft, dass der Auftraggeber einer Ermittlung am Anfang einer Analyse nicht immer klare Vorstellungen von seiner „Suche“ hat. Erst während der Ermittlung fallen ihm immer neue Dinge ein oder sie ergeben sich aus vorherigen (Zufalls-)Funden. Dies ist verständlich, da nicht die gesamte Vorgeschichte mit allen möglichen Details an den Ermittler übermittelt werden können. Um nun zu vermeiden, dass sich ein Ermittler mit dem Auftraggeber tagelang in einem stillen Kämmerlein mit der Schlagwortsuche aufhält – die gängigen Forensik-Tools sind leider nicht immer für Nicht-Experten intuitiv bedienbar – gibt es Methoden, große Datenmengen für den Auftraggeber „selbst erfahrbar“ zu analysieren.

Hier ein Beispiel anhand von Enron : Weiterlesen...

Forensische Analyse des System Restore Points

iconHarlan Carvey berichtet über eine Möglichkeit, die System Restore Points zu analysieren. Die meisten Anwender von Microsoft Windows XP kennen die System Restore Points (Systemwiederherstellungspunkte oder auch SRP) bereits. Mit Hilfe dieser Funktion kann man vor einer Installation von neuer Software oder nach dem Neuaufsetzen eines Windows XP-Systems eine Art Snapshot erstellen. In der Standardinstallation wird regelmäßig zusätzlich ein sog. Checkpoint gesetzt. Installations- oder Deinstallationsroutinen von Anwendungssoftware initieren ebenfalls häufig einen SRP. Weiterlesen...