Home / Aktuelles & Termine / it.sec blog

Sobald in einem Unternehmen oder einer Behörde eine Verletzung der Informationssicherheit vorliegt, kann es erforderlich sein, eine IT-forensische Untersuchung einzuleiten. Für das methodische Vorgehen derartiger Analysen bestehen zahlreiche Anforderungen, insbesondere zum Datenschutz. Wichtig ist aber auch, die Nachweispflichten im Blick zu haben.

Nachweispflichten bei IT-forensischen Untersuchungen

Zu jedem Zeitpunkt muss die mit der Durchführung der IT-forensischen Untersuchung beauftragte Stelle nachweisen können, dass die analysierten Datenbestände (inkl. Metadaten!) nicht manipuliert wurden bzw. werden konnten. Daher sichert diese Stelle stets zu Beginn Ihrer Tätigkeit relevante Datenbestände in einer Form (üblicherweise mittels bitweiser Imagesicherung und Angabe der zugehörigen Hashwerte), die eine Veränderung infolge von Analysearbeiten faktisch ausreichend ausschließt. Bei einer Post-Mortem-Analyse erfolgt die detaillierte IT-forensische Untersuchung im Labor, bei Live-Forensik muss dagegen direkt am System während der Laufzeit gearbeitet werden („Operation am offenen Herzen“). Deshalb werden bei der Live-Forensik vor allem flüchtige Statusdaten (zu Speicherinhalten, Netzwerkverbindungen und laufenden Prozessen) entsprechend (aber ohne Verwendung der üblichen Systembefehle) gesichert.

Jeder einzelne Analyseschritt muss nachvollziehbar dokumentiert werden. Die Dokumentationen selbst müssen allerdings datensparsam sein und dürfen nur dann personenbezogene bzw. ‑beziehbare Daten angeben, wenn dies für den zu erbringenden Nachweis erforderlich ist. Wenn also beispielsweise bei einem Screenshot ein Personenbezug entbehrlich ist, sind die irrelevanten Stellen, die personenbezogene bzw. ‑beziehbare Daten ausweisen, zu verpixeln. Aus der Dokumentation muss jederzeit zudem ersichtlich sein, dass die durchgeführten Analysen verhältnismäßig waren.

Grundsätzlich sind IT-forensische Untersuchungen ergebnisoffen durchzuführen, so dass sowohl nach belastenden als auch nach entlastenden Belegen zu suchen ist. Ergebnisse durchgeführter IT-forensischer Untersuchungen sind schließlich von dem durchführenden Spezialisten hinsichtlich ihrer Aussagekraft verständlich und für Dritte nachvollziehbar zu bewerten.

DOs and DON’Ts zur IT-Forensik

Zu den absoluten DOs zählen:
  • Vorfall dokumentieren: Was? Wann? Wer? Wie? Wo?
  • Vorfall gemäß Meldewege kommunizieren!
  • Alle Schritte dokumentieren!
  • Keine Daten verändern!
  • Kompetente Beweissicherung einleiten
Zu den absoluten DON’Ts zählen dagegen:
  • NIEMALS den Vorfall außerhalb der Meldewege kommunizieren
  • KEINE direkte Information des/der Betroffenen oder Verursachers
  • KEIN vorschnelles Abschalten von Systemen
  • KEIN zu langes Abwarten vor der Analyse
  • KEIN Zerstören von Beweisen durch gut gemeinte, aber unqualifizierte Handlungen

Bernhard C. Witt
Dipl.-Inf., Senior Consultant für Datenschutz und Informationssicherheit
bcwitt@it-sec.de

ADCERT Angemessenheitsbeschluss Anwendbarkeit Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Audit Aufsichtsbehörde Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch BAG BDSG-Neu Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betrieblicher E-Mail-Account betrieblicher Internetzugang Betroffenenrechte BfDI BGH biometrische Daten Biometrische und genetische Daten Bitkom Bonitätsprüfung Brexit Bundesarbeitsgericht Bußgeld BVG Cloud CNIL Compliance Cookie Datenlöschung Datenminimierung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutzbeauftragter Datenschutzerklärung Datenschutzgrundsätze Datenschutzgrundverordnung Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSAnpUG-EU DSGVO DSK dynamische IP-Adresse eCall-Technologie EES Einwilligung Einwilligungserklärung Entsorgung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU-Datenschutz-Grundverordnung EuGH Facebook Fahrzeugdaten Fahrzeuge Fernmeldegeheimnis FlugDaG Fluggastdaten Gemeinsam Verantwortliche Home Office Immobilienmakler Informationspflichten Informationssicherheit IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Sicherheit Joint Control Kanada Konzern konzerninterner Datentransfer Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Marktortprinzip Meldepflicht Meldescheine Microsoft NIST One Stop Shop Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortregeln Passwortschutz Personalausweiskopien personenbezogene Daten PNR-Daten PNR-Instrumente Privacy by Default Privacy by Design Privacy Shield Privatnutzung Privatnutzungsverbot Profiling Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte der betroffenen Person Risk & Compliance Management Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Siegel Skype Sony PSN Standardvertragsklauseln Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telemediendienst Telemediengesetz TKG TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe USA Vereinbarung Vernichtung von Datenträgern Verordnung (EU) 2015/758 Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Vorteile Webseite Webseiten Webtracking Webtrecking Werbung Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 38 BDSG-Neu § 42a BDSG § 42b BDSG § 88 TKG

An dieser Stelle wollen wir von Zeit zu Zeit unsere Web-Logs ("blogs") pflegen und unsere Meinung zu bestimmten Themen kundtun.

Die einzelnen Posts stellen jeweils die Meinung des Autors dar und nicht zwangsläufig jene der it.sec. Die Inhalte sind stellen keine Beratung dar und übernehmen für die Inhalte keine Haftung.

Tags

Mo Di Mi Do Fr Sa So
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31