Autor*innen mit den meisten Dokumenten
Neueste Veröffentlichungen
- KonferenzbeitragElektronische Beweise!(IT-incident management & IT-forensics – IMF 2003, 2003) Kern, ReinholdWenn 10 Aktenordner aus einem Regal fehlen, fällt das sofort auf. Was ist aber, wenn Computerdaten kopiert, gestohlen oder manipuliert wurden? „Nur 1,6% aller Wirtschaftsdelikte sind Computerdelikte, die“, so Bundesinnenminister Otto Schily, „aber 60% des gesamten Wirtschaftsschadens ausmachen“. Ob in der Chefetage, im Büro oder in der Lagerhalle: Veruntreuungsschäden gibt es in allen Ebenen. Steigende Anonymität und die verbreitete Angst vor Jobverlust lassen zudem die Hemmschwelle bei kriminellen Aktivitäten sinken. Die Bandbreite der Mitarbeiterkriminalität ist weit gefächert: Datendiebstahl und -missbrauch, Insider-Geschäfte, Spionage, Korruption, Erpressung, u.v.m.. Auch die neueste BKA Statistik 2001/2002 (www.BKA.de) bestätigt einen Anstieg von über 50% bei betrügerischen Delikten mittels Computer. Kalkulationen, Business-Pläne, Verträge und Vereinbarungen werden heutzutage am PC erstellt, elektronisch versandt und gespeichert. Email ist heute zum Kommunikationsmedium Nummer 1 in allen Unternehmen avanciert. Mehr als 90 Prozent aller Dokumente werden am PC erstellt, aber über 70 Prozent hiervon wurden niemals ausgedruckt. Firmencomputer nehmen daher eine Schlüsselstellung in der Wirtschaftkriminalität ein. Die Computer Forensik bietet die Chance, einem Anfangsverdacht nachzugehen und Ermittlungen zielgerichtet zu führen. Auch wenn zunächst der Schutz des Unternehmens und nicht die Strafverfolgung im Vordergrund steht, müssen Indizien und Verdachtsmomente so erhoben werden, dass Sie eine strafgerichtliche Verfolgung nicht behindern oder gar ausschließen. Dieser Wunsch macht die Computer Forensik nicht nur zu einer sensiblen Schnittstelle zwischen Unternehmen und Justiz, sondern auch zu einem Thema für Spezialisten der Datenwiederherstellung und Ermittlung. Jährlich investieren wir ca. 10 Millionen US $ in die kontinuierliche Weiterbildung unserer weltweit über 400 Mitarbeiter und in die Weiterentwicklung unserer Tech- nologien, damit Ihre Mandanten den Herausforderungen moderner krimineller Aktivitäten entgegentreten können.
- KonferenzbeitragForensik: Einbettung in präventive und reaktive Unternehmensprozesse(IT-incident management & IT-forensics – IMF 2003, 2003) Magnus, NilsDie Computer Forensik kann dazu beitragen, dass Angriffe so analysiert werden können, um einerseits Systeme daraufhin besser abzusichern und andererseits den Verursacher aufzuspüren. Wesentliche Bedeutung hat dabei die organisatorische Vorbereitung der Untersuchung, um eine Vernichtung von wertvollen Hinweisen zu verhindern und Beweiskraft zu erhalten. Die praktische Ausführung besteht zum Großteil aus Arbeitsschritten, die einem erfahrenen Systemverwalter bekannt sind und die er einfach ausführen kann. Es gibt spezielle Werkzeuge für einzelne Aufgaben der Untersuchung. Der Beitrag gibt eine Übersicht der organisatorischen und technischen Maßnahmen und entwickelt mit einer Frageliste ein Vorgehensmodell für eine konkrete Analyse.
- KonferenzbeitragIntegrationsplattform zur systemübergreifenden Erfassung und forensischen Analyse von Spurenträgern(IT-incident management & IT-forensics – IMF 2003, 2003) Fischer, ChristophDie Integrationsplattform soll eine Basis zum Erfassen, Auswerten und Dokumentieren von digitalen Spuren auf unterschiedlichsten elektronischen Geräten und IT-Systemen dienen. Die IT-Welt ändert sich so rasant, dass nur ein modulares und skalierbares Konzept langfristig Bestand haben kann. Das Paper beschäftigt sich mit der prinzipiellen Architektur und den Designparadigmen.
- KonferenzbeitragPost Mortem Analysen mit OpenSource Software(IT-incident management & IT-forensics – IMF 2003, 2003) Hofherr, MatthiasForensische Analysen mit freien OpenSource Programmen sind seit Dan Farmers und Wietse Venemas ersten und einzigen Forensik-Kurs und der darauf folgenden Veröffentlichung des Coroner's Toolkits [1] im Jahr 1999 kein unbekannter Faktor mehr. Allerdings mussten sich die OpenSource-Lösung von jeher den Vorwurf gefallen lassen, im Gegensatz zu ihrer kommerziellen Konkurrenz umständlich bedienbar und nur für Freunde der Kommandozeile anwendbar zu sein. Mit Brian Carriers Autopsy [2]/Sleuth Kit [3] Programmkombination soll diese Lücke geschlossen werden. Dieser Beitrag befasst sich mit dem professionellen Einsatz dieser Programme bei forensischen Laboranalysen und den neuen Möglichkeiten, die mit der grafischen Oberfläche Autopsy verbunden sind.
- KonferenzbeitragVisual problem-solving support for new event triage in centralized network security monitoring: Challenges, tools and benefits(IT-incident management & IT-forensics – IMF 2003, 2003) Stolze, Markus; Pawlitzek, René; Wespi, AndreasOrganizations that provide centralized security monitoring of the networks of multiple third-party organizations are faced with a challenging task. The amount of security event data to be processed presents not only a technical challenge, but also a problem-solving challenge to operators. We present a model of the problem-solving process and discuss how visual support tools can facilitate the central problem-solving step called new event triage. We argue that with tools such as these the natural benefits of centralized monitoring can come into play, which enhances effectiveness of centralized monitoring to a level beyond the reach of organizations focusing exclusively on their own network.
- KonferenzbeitragIT-incident management durch externe Dienstleistung – Die Lösung aller IT-incident management probleme?(IT-incident management & IT-forensics – IMF 2003, 2003) Wagner, RolandAufbau, Organisation und Betrieb von IT-Incident Management- Prozessen erfordert einen hohen Aufwand an Personal und Ressourcen. Jede Organisation, die Security-Komponenten in ihrem Netzwerk betreibt, muss sich mit der Frage auseinander setzen, wie die anfallenden Datenmengen behandelt werden sollen. Die Spanne reicht von Ignoranz bis zur vollständigen manuellen Analyse jedes einzelnen Events, wobei letzteres aufgrund der Vielzahl von Meldungen sicherlich den Idealzustand darstellt. Bei all den dabei auftretenden organisatorischen, technischen und finanziellen Problemen stellt sich auch die Frage, inwieweit IT-Incident Management im eigenen Hause durchgeführt werden kann oder an einen externen Dienstleister vergeben werden soll. Mit der wachsenden Komplexität des IT-Netzwerkes, insbesondere durch eine steigende Anzahl von Security-Komponenten und die steigende Bedrohung aus dem Internet, wächst auch die Anzahl der sicherheitsrelevanten Meldungen. Diese Meldungsflut lässt sich nur noch durch automatisierte Werkzeuge beherrschen. Anhand einiger Beispiele von InHouse verwendbaren Software-Systemen mit ihren Vor- und Nachteilen soll die Möglichkeit aufgezeigt werden eine Reduktion der Meldungsflut zu erreichen. Bei allen diesen Software-Systemen ergeben sich Probleme, die dann zur Frage führen, ob nicht ein externer Dienstleister die Aufgabe besser erledigen könnte. Bei der Evaluierung verschiedener professioneller Dienstleistungen im Bereich „Managed Security Services“ (MSS) zeigen sich Stärken und Schwächen der einzelnen Anbieter. Durch theoretische Betrachtungen, Anforderungen im Betrieb und aus den praktischen Erfahrungen sowie Diskussionen mit den verschiedenen Anbietern ergibt sich dann ein Anforderungskatalog an ein externes MSS-Center, beziehungsweise an die Dienstleistung „Managed Security Service“ im Allgemeinen. Diese Anforderungen sollen – zunächst ohne Gewichtung – aufgezeigt werden. Danach findet eine subjektive Gewichtung statt, die sicherlich in vielen Punkten an die eigene Security-Policy der Organisation angepasst werden muss. IT-Incident Management umfasst Prozesse, die für jede Organisation unterschiedlich sind. Die im Titel gestellte Frage kann daher nicht universell beantwortet werden.
- KonferenzbeitragInformationslogistische Ansätze für CERTs(IT-incident management & IT-forensics – IMF 2003, 2003) Neufert, Caroline; Thiel, ChristophDie Informationslogistik erforscht intelligente Systeme zur bedarfsgerechten Informationsversorgung. Die Anwender erwarten die richtigen Informationen zur richtigen Zeit am richtigen Ort in einer geeigneten Präsentation. In diesem Papier beschreiben wir ein informationslogistisches Framework, mit dessen Hilfe informationslogistische Anwendungen und insbesondere die Informationsversorgung eines CERT effektiv modelliert und implementiert werden können.
- KonferenzbeitragEine Informationsbasis für zeitoptimiertes Incident Management(IT-incident management & IT-forensics – IMF 2003, 2003) Scholz, Peter; Mörl, RamonZiel des Incident Managements ist die schnellstmögliche Wiederherstellung des regelmäßigen Betriebs eines Services nach Eintritt eines Vorfalls. Eine bewusst oder unbewusst produzierte Falschmeldung über einen sicherheitskritischen Vorfall kann jedoch zu schwerwiegenden Folgen führen. Um diese enttarnen zu können, ist eine profunde und rasche Einschätzung der Vertrauenswürdigkeit der Meldung und ihrer Herkunft (kurz im Folgenden „Verbindlichkeit“ genannt) erforderlich. Gerade der Bewertung der Verbindlichkeit wurde bis dato aber kaum Bedeutung beigemessen. In diesem Beitrag wird ein Ansatz zur Qualitätsverbesserung und Zeitoptimierung des Incident Managements vorgestellt, der die Verbindlichkeit einer Incidentmeldung durch die Analyse von Vertrauensketten bewertet. Der Zeitvorsprung wird dabei durch Rückgriff auf eine bereits vor dem Incident aufgebaute Informationsbasis gewonnen. Darüber hinaus ermöglicht unser Modell durch eine enge Verknüpfung mit dem in einem früheren Beitrag vorgestellten aktiven Risikomanagement entlang von Wertschöpfungsketten auch die Abschätzung von Konsequenzen einer Incidentmaßnahme.
- Editiertes Buch
- KonferenzbeitragEffiziente Bearbeitung von Abuse-Beschwerden(IT-incident management & IT-forensics – IMF 2003, 2003) Bötsch, Ernst; Eilfeld, Petra; Hommel, WolfgangÜber das Fehlverhalten der eigenen Rechner und Benutzer werden Organisationen üblicherweise durch eine Beschwerde an ihre Abuse-Adresse informiert. In diesem Artikel wird die Situation eines Hochschul-Rechenzentrums beschrieben, an dem die Bearbeitung derartiger Beschwerden bislang mangels dedizierter Software manuell erfolgte. Aufgrund der kontinuierlich steigenden Zahl derartiger Abuse-Fälle wurde der zur Bearbeitung notwendige Zeitaufwand jedoch inakzeptabel hoch. Abhilfe soll ein Tool schaffen, durch das der Prozess der Abuse-Bearbeitung so weit wie möglich automatisiert wird und das den Bearbeitern effiziente Hilfsmittel zur Verfügung stellt. Die Motivation für die Entwicklung dieses Werkzeugs, sein Konzept sowie die Implementierung eines ersten Prototyps werden vorgestellt.