Basishandbuch für Computeruntersuchungen für Windows

  • Artikel

Kapitel 1: Bewerten der Situation

Veröffentlicht: Januar 11, 2007

In diesem Kapitel wird beschrieben, wie die Situation genau bewertet, ihr Umfang analysiert und die erforderlichen Ressourcen für eine interne Untersuchung beschafft werden sollten. Verwenden Sie den in der folgenden Abbildung gezeigten fünfstufigen Prozess.

Bewertungsphase der Computeruntersuchung

Abbildung 1.1. Bewertungsphase des Computeruntersuchungsmodells

Auf dieser Seite

Benachrichtigen der Entscheidungsträger und Einholen der Autorisierung
Prüfen der geltenden Bestimmungen und Gesetze
Festlegen der Mitglieder des Untersuchungsteams
Durchführen der Bewertung
Vorbereiten auf Beweissammlung

Benachrichtigen der Entscheidungsträger und Einholen der Autorisierung

Für eine Computeruntersuchung ist zunächst eine entsprechende Autorisierung erforderlich, es sei denn, die bestehenden Richtlinien und Verfahren enthalten bereits die Autorisierung für eine Reaktion auf einen Vorfall. Anschließend muss eine genaue Bewertung der Situation durchgeführt und ein Aktionsplan aufgestellt werden. Verwenden Sie dazu die nachstehenden bewährten Methoden:

  • Wenn keine Richtlinien und Verfahren für eine Reaktion auf einen Vorfall bestehen, benachrichtigen Sie die Entscheidungsträger und holen Sie eine schriftliche Autorisierung für die Durchführung einer Computeruntersuchung ein.

  • Dokumentieren Sie alle von Ihnen im Rahmen dieser Untersuchung ausgeführten Aktionen. Stellen Sie sicher, dass eine vollständige und genaue Zusammenfassung aller Ereignisse und Entscheidungen vorliegt, die während des Vorfalls und der Reaktion auf den Vorfall stattgefunden haben. Diese Dokumentation wird u. U. später vor Gericht hinzugezogen, um die während der Untersuchung durchgeführten Aktionen nachzuvollziehen.

  • Je nach Umfang des Vorfalls und unter Ausschluss von Vorfällen, die die nationale Sicherheit bzw. Leben gefährden, besteht die oberste Priorität im Bewahren der Organisation vor weiterem Schaden. Nach der Sicherung der Organisation bestehen die nächsten Prioritäten in der Dienstwiederherstellung (falls erforderlich) und der Untersuchung des Vorfalls.

Sie müssen später u. U. nicht nur über das Beweismaterial Rechenschaft ablegen, sondern auch über Ihre Entscheidungen. Computerbasierte Beweise sind oft sehr komplex. Daher werden bei unterschiedlichen Untersuchungen (z. B. bei denen einer gegnerischen Partei) oft unterschiedliche Entscheidungen getroffen und letztendlich unterschiedliche Schlussfolgerungen gezogen.

Prüfen der geltenden Bestimmungen und Gesetze

Zu Beginn einer Computeruntersuchung ist es unerlässlich, sich über die für die Untersuchung geltenden Gesetze sowie über alle eventuellen internen Organisationsrichtlinien zu informieren. Beachten Sie bei Ihren Überlegungen die folgenden bewährten Methoden:

  • Bestimmen Sie, ob Sie rechtlich zum Durchführen einer Untersuchung befugt sind. Bestehen in Ihrem Unternehmen Richtlinien und Verfahren zum Datenschutz von Mitarbeitern, Subunternehmern und anderen Personen, die Zugriff auf Ihr Netzwerk haben? Ist in diesen Richtlinien und Verfahren festgelegt, unter welchen Umständen eine Überwachung erlaubt ist? Viele Organisationsrichtlinien und Verfahren enthalten eine Klausel, nach der bei der Verwendung von firmeneigenen Geräten, Firmen-E-Mail, Web-, Telefon- oder Postdiensten kein Datenschutz besteht und die Organisation es sich als Bedingung des Arbeitsvertrags vorbehält, diese Ressourcen überwachen und durchsuchen zu können. Diese Richtlinien und Verfahren sollten vom Rechtsberater der Organisation überprüft werden. Zudem sollten alle Mitarbeiter, Subunternehmer und Besucher auf die Existenz dieser Dokumente hingewiesen werden. Wenn Sie sich Ihrer Befugnisse nicht sicher sind, setzen Sie sich mit der Firmenleitung, Ihrem Rechtsberater oder, falls erforderlich, mit den Kommunalbehörden in Verbindung.

  • Beraten Sie sich mit Ihrem Rechtsberater, um potentielle Probleme zu vermeiden, die durch eine nicht vorschriftsgemäße Handhabung der Untersuchung entstehen könnten. Zu diesen Problemen können beispielsweise die folgenden gehören:

    • Kompromittieren persönlicher Daten von Kunden

    • Verstöße gegen Landes- oder Bundesgesetzgebung (z. B. Datenschutzgesetz)

    • Zivil- oder strafrechtliche Folgen wegen unerlaubten Abfangens elektronischer Kommunikation Ziehen Sie den Einsatz von Warnbannern in Erwägung.

    • Zugreifen auf vertrauliche bzw. privilegierte Daten Vertrauliche Daten wie persönliche Kundeninformationen dürfen nur als Teil der Untersuchungsdokumentation bereitgestellt werden, wenn sie die Untersuchung direkt betreffen.

  • Stellen Sie sicher, dass die folgenden Punkte im Bereich Kundendatenschutz und Vertraulichkeit berücksichtigt werden:

    • Alle Daten müssen über sichere Verbindungen übertragen und auf lokalen Computern (nicht auf Netzwerkservern) gespeichert werden. Die Daten dürfen nicht leicht zugänglich sein.

    • Alle Daten (einschließlich der Dokumentation) müssen nach Abschluss der Computeruntersuchung über einen vom Rechtsberater bzw. in einer lokalen Richtlinie festgelegten Zeitraum aufbewahrt werden. Wenn die Daten in einem Strafverfahren verwendet werden, besprechen Sie sich mit der Strafverfolgungsbehörde, die den Fall untersucht. Im Falle eines zivilrechtlichen Verfahrens, wenden Sie sich an den Rechtsberater Ihrer Organisation. Überprüfen Sie außerdem alle Richtlinien zur Datenaufbewahrung im Sarbanes-Oxley Act von 2002 sowie alle weiteren rechtlichen Anforderungen im Bereich der Datenaufbewahrung.

  • Erstellen Sie für ein mögliches Verfahren digitale Kopien und Ausdrucke der Beweise, und sichern Sie die Aufbewahrungskette für alle Beweise. Eine Sicherung der Aufbewahrungskette kann durch eine überprüfbare Dokumentation gewährleistet werden, in der genau aufgeführt ist, wer Zugriff auf das Beweismaterial hatte, wann ein Zugriff erfolgte und wo (Speicherorte) und wann (Datum und Uhrzeiten), das Beweismaterial gespeichert wurde. Wenn die Beweise nicht sicher aufbewahrt wurden, kann die Aufbewahrungskette nicht überprüft werden.

Festlegen der Mitglieder des Untersuchungsteams

Die Auswahl des Teams, das einen Vorfall untersucht, ist für eine erfolgreiche interne Computeruntersuchung äußerst wichtig. Das Team sollte im Idealfall bereits vor dem Eintreten eines Untersuchungsernstfalls bestimmt werden. Das Untersuchungsteam muss gut strukturiert sein und aus Mitgliedern mit den erforderlichen Kenntnissen bestehen. Ihr Unternehmen könnte beispielsweise ein Team als Teil des Planungsprozesses für eine Notfallwiederherstellung aufstellen. Die folgenden bewährten Methoden dienen als Richtlinien für die Aufstellung eines Untersuchungsteams:

  • Bestimmen Sie eine Person, die über die zur Durchführung einer Untersuchung erforderlichen Kenntnisse verfügt. Beachten Sie, dass die Glaubwürdigkeit und die Fachkenntnisse der Person, die eine Untersuchung durchführt, bei einem möglichen späteren Verfahren vor Gericht hinterfragt werden können.

  • Bestimmen Sie die einzelnen Teammitglieder und deren Verantwortlichkeiten.

  • Weisen Sie einem Teammitglied die technische Verantwortung für die Untersuchung zu. Diese Person verfügt in der Regel über gutes technisches Fachwissen und hat Erfahrung im Bereich der Computeruntersuchungen. Wenn ein technisch sehr versierter Mitarbeiter verdächtigt wird, müssen Sie Teammitglieder auswählen, die über noch bessere Technikkenntnisse verfügen als er.

  • Das Untersuchungsteam sollte so klein wie möglich gehalten werden, um Vertraulichkeit zu gewährleisten und die Organisation vor ungewolltem Durchsickern von Informationen zu schützen.

  • Wenn Ihre Organisation über kein Personal mit den notwendigen Kenntnissen verfügt, übergeben Sie die Untersuchung einem vertrauenswürdigen externen Team.

  • Stellen Sie sicher, dass jedes Teammitglied die erforderlichen Genehmigungen und Autorisierungen für die ihm zugewiesenen Aufgaben besitzt. Dies ist besonders wichtig, wenn Mitarbeiter eines Drittunternehmens, wie externe Berater, an der Untersuchung beteiligt sind.

Dd443681.important(de-de,TechNet.10).gif **  Wichtig:**

Da digitales Beweismaterial von flüchtiger Natur ist, ist es von großer Wichtigkeit, Untersuchungen möglichst zeitnah durchzuführen. Stellen Sie sicher, dass alle Teammitglieder während des angesetzten Untersuchungszeitraums zur Verfügung stehen.

Durchführen der Bewertung

Eine genaue, klar dokumentierte Bewertung der Situation ist erforderlich, um Aktionen zu priorisieren und die Ressourcen für eine interne Untersuchung zu begründen. Diese Bewertung sollte aktuelle und potentielle geschäftliche Auswirkungen des Vorfalls enthalten, die betroffene Infrastruktur aufzeigen und eine möglichst genaue Vorstellung der Situation ermöglichen. Auf diese Weise können Sie am besten bestimmen, welche Maßnahmen getroffen werden sollten.

Die nachstehenden bewährten Methoden zeigen auf, was bei einer genauen Bewertung beachtet werden muss:

  • Beschreiben Sie unter Hinzuziehen aller verfügbaren Informationen die Situation, ihren potentiellen Schweregrad, die möglicherweise betroffenen Parteien und ggf. die verdächtige Partei bzw. die verdächtigten Parteien.

  • Bestimmen Sie die Auswirkungen der Untersuchung auf Ihr Unternehmen, insbesondere auch im Hinblick auf den Datenschutz. Bewerten Sie z. B., ob Kundeninformationen, Finanzdaten, Daten über den Gesundheitszustand von Mitarbeitern oder vertrauliche Firmendaten betroffen sind. Evaluieren Sie dabei aber auch die potentiellen Auswirkungen auf den Ruf Ihrer Organisation. Eine solche Bewertung geht in der Regel über das Fachwissen des IT-Personals hinaus und sollte gemeinsam mit der Firmenleitung und den Rechtsberatern durchgeführt werden.

  • Analysieren Sie die geschäftlichen Auswirkungen im Laufe der Untersuchung. Führen Sie nach Stunden auf, wie lange die Wiederherstellung nach dem Vorfall gedauert und zu welchen Ausfallzeiten er geführt hat. Geben Sie zudem die Kosten für beschädigte Geräte, Gewinneinbußen sowie durch das Bekanntwerden von Firmengeheimnissen entstandene Schäden an. Eine solche Bewertung sollte realistisch und nicht übertrieben sein. Die eigentlichen Kosten des Vorfalls werden zu einem späteren Zeitpunkt bestimmt.

  • Analysieren Sie betroffene immaterielle Vermögenswerte, wie künftige Auswirkungen auf den Ruf des Unternehmens, die Kundenbeziehungen und Moral der Mitarbeiter. Übertreiben Sie den Schweregrad des Vorfalls nicht. Diese Analyse dient ausschließlich der Information und soll helfen, den Umfang des Vorfalls einzuschätzen. Die eigentlichen Auswirkungen werden zu einem späteren Zeitpunkt bestimmt. Eine solche Bewertung geht in der Regel über das Fachwissen des IT-Personals hinaus und sollte gemeinsam mit der Firmenleitung und den Rechtsberatern durchgeführt werden.

Mit den folgenden bewährten Methoden können Sie die Infrastruktur und die betroffenen Computer identifizieren, analysieren und dokumentieren. Ein Großteil dieser Richtlinien wurde möglicherweise bereits als Teil einer Risikobewertung zur Vorbereitung eines Notfallwiederherstellungsplans befolgt.

  • Bestimmen Sie die betroffenen Netzwerke sowie die Anzahl und die Art der betroffenen Computer.

  • Beschaffen Sie sich die Dokumentation zur Netzwerktopologie, die ein detailliertes Netzwerkdiagramm mit Informationen zur Infrastruktur von Servern, Netzwerkhardware, Firewalls, Internetverbindungen und anderen Computern im Netzwerk enthalten sollte.

  • Identifizieren Sie externe Speichergeräte und Remotecomputer, die in die Untersuchung aufgenommen werden sollten. Bei den externen Speichergeräten kann es sich z. B. um USB-Sticks, Speicherkarten, optische und magnetische Datenträger handeln.

  • Wenn eine Analyse von Livedaten erforderlich ist, erfassen Sie den Netzwerkverkehr über einen gewissen Zeitraum hinweg. Eine solche Analyse ist nur notwendig, wenn Sie glauben, dass weiterhin verdächtiger Netzwerkverkehr stattfindet und wird in der Regel nur ausgeführt, wenn Überwachungen und Protokollerstellungen als Beweisbeschaffungsoptionen erfolglos geblieben sind. Microsoft® Windows® XP und Windows Server® 2003 verfügen über integrierte Netzwerkerfassungstools wie Netcap und Rasdiag, mit denen lokaler Netzwerkverkehr erfasst werden kann, ohne dass die Installation anderer Produkte (wie z. B. Netmon oder Ethereal) erforderlich ist. Verwenden Sie zur Netzwerkanalyse Tools wie Windows Network Monitor (NetMon) und Windows Sysinternals TDIMon. Windows Sysinternals-Tools können von der Seite Windows Sysinternals (in englischer Sprache) in Microsoft TechNet heruntergeladen werden.

    Dd443681.important(de-de,TechNet.10).gif **  Wichtig:**

    Je nach Umfang der Datenerfassung kann Netzwerksniffing (Erfassen des Netzwerkverkehrs) eine Datenschutzverletzung darstellen. Sie sollten daher beim Einsatz von Netzwerkerfassungstools in Ihrem Netzwerk äußerst vorsichtig sein.

  • Verwenden Sie Tools zur Statusbestimmung von Softwareanwendungen und Betriebssystemen auf Computern, die wahrscheinlich betroffen sind. Nützliche Tools für diese Aufgabe sind Windows-Anwendungs- und Systemprotokolle sowie Windows Sysinternals Ps-Tools.

  • Untersuchen Sie betroffene Datei- und Anwendungsserver. Setzen Sie Windows Sysinternals-Tools wie PsTools, PsFile, ShareEnum und interne Windows-Sicherheitsprotokolle ein, um die Aktivitäten auf diesen Servern zu untersuchen und zu dokumentieren.

Dd443681.important(de-de,TechNet.10).gif **  Wichtig:**

Einige der während dieser Bewertung gesammelten Informationen (wie laufende Prozesse und Daten im Speicher) werden von den Tools in Echtzeit erfasst. Stellen Sie sicher, dass alle erstellten Datensätze oder Protokolle sicher gespeichert sind, um zu verhindern, dass diese flüchtigen Daten verloren gehen.

Außerdem erhalten Sie durch die folgenden bewährten Methoden eine umfassende Vorstellung der Situation.

  • Erstellen Sie eine Zeitachse und ordnen Sie ihr alle Ereignisse zu. Bei weltweiten Vorfällen ist eine Zeitachse besonders wichtig. Dokumentieren Sie alle Diskrepanzen zwischen Datum und Zeit von Hosts (z B. Desktopcomputern) und dem Datum und der Zeit des Systems (z. B. Windows-Zeitdienst in Windows Server 2003).

  • Identifizieren und befragen Sie alle Personen, die möglicherweise mit dem Vorfall zu tun hatten (z. B. Systemadministratoren oder Benutzer). Je nach Situation kann es sich dabei auch um externe Personen handeln. Die Befragung von Benutzern und betroffenem Personal führt oft zu guten Ergebnissen und Einsichten in die Situation. Die Befragungen sollten von erfahrenen Personen durchgeführt werden.

  • Dokumentieren Sie alle Befragungsergebnisse. Sie werden später darauf zurückgreifen müssen, um sich ein Gesamtbild von der Situation zu machen.

  • Rufen Sie Informationen (Protokolle) von internen und externen Netzwerkgeräten wie Firewalls und Router ab, die im möglichen Angriffspfad eingesetzt werden könnten.

  • Manche Informationen wie IP-Adresse und Besitzer des Domänennamens sind öffentlich zugänglich. Verwenden Sie zum Feststellen des Besitzers einer IP-Adresse z. B. das Windows Sysinternals-Tool Whois oder das American Registry for Internet Numbers.

Vorbereiten auf Beweissammlung

Zur Vorbereitung auf die Datensammlungsphase sollten Sie sicherstellen, dass die Aktionen und Ergebnisse der Situationsbewertungsphase korrekt bestimmt wurden. Ein detailliertes Dokument mit allen relevanten Informationen stellt einen guten Ausgangspunkt für die nächste Phase und das Erstellen des Abschlussberichts dar. Wenn der Vorfall sich von einer internen Untersuchung zu einem Strafverfolgungstatbestand entwickelt, müssen Sie sich bewusst sein, dass alle in der Beweiserhebungsphase eingesetzten Verfahren von einer unabhängigen Drittpartei dazu eingesetzt werden können, die gleichen Ergebnisse zu erzielen.

Ihr Dokument sollte detaillierte Informationen zur Situation enthalten und Folgendes umfassen:

  • Eine anfängliche Einschätzung der geschäftlichen Auswirkungen der Situation auf die Organisation.

  • Eine detaillierte Netzwerktopologie, die die betroffenen Computersysteme herausstellt und detaillierte Angaben dazu macht, wie diese Systeme betroffen sein könnten.

  • Zusammenfassungen der Befragungen von Benutzern und Systemadministratoren

  • Ergebnisse aller rechtlichen Interaktionen sowie Interaktionen mit Drittparteien

  • Während der Bewertungsphase mithilfe von Tools erstellte Berichte und Protokolle

  • Aktionsvorschlag

Dd443681.important(de-de,TechNet.10).gif **  Wichtig:**

Das Erstellen einer konsistenten, genauen und detaillierten Dokumentation während des Computeruntersuchungsverfahrens trägt zum weiteren Erfolg der Untersuchung bei. Diese Dokumentation ist oft von entscheidender Bedeutung und sollte daher sehr ernst genommen werden. Halten Sie sich beim Erstellen der Dokumentation stets vor Augen, dass sie u. U. später vor Gericht verwendet werden könnte. Holen Sie sich vor Beginn der nächsten Phase die Bestätigung eines verantwortlichen Entscheidungsträgers für die in der Bewertungsphase erstellte Dokumentation ein.

In diesem Beitrag

Download (engl.)

Laden Sie das Basishandbuch für Computeruntersuchungen für Windows herunter.

Update Notification (engl.)

Melden Sie sich an, um Informationen über Aktualisierungen und neue Veröffentlichungen zu erhalten.

Feedback (engl.)

Senden Sie uns Ihre Kommentare oder Vorschläge.

 Dd443681.pageLeft(de-de,TechNet.10).gif 2 von 8 Dd443681.pageRight(de-de,TechNet.10).gif