DER.2: Security Incident Management                                                                         DER.2.1 den Schutzbedarf der betroffenen IT-Systeme kennen. Die Checklisten des Service Desk SOLLTEN auch Fragen ent- halten, um Sicherheitsvorfälle identifizieren zu können. DER.2.1.A16 Dokumentation der Behandlung von Sicherheitsvorfällen (S) Die Behebung von Sicherheitsvorfällen SOLLTE nach einem standardisierten Verfahren dokumentiert werden. Es SOLLTEN alle durchgeführten Aktionen inklusive der Zeitpunkte sowie die Protokolldaten der betroffenen Kompo- nenten dokumentiert werden. Dabei SOLLTE die Vertraulichkeit bei der Dokumentation und Archivierung der Be- richte gewährleistet sein. Die benötigten Informationen SOLLTEN in die jeweiligen Dokumentationssysteme eingepflegt werden, bevor die Störung als beendet und als abgeschlossen markiert wird. Im Vorfeld SOLLTEN mit dem ISB die dafür erforderlichen Anforderungen an die Qualitätssicherung definiert werden. DER.2.1.A17 Nachbereitung von Sicherheitsvorfällen (S) Sicherheitsvorfälle SOLLTEN standardisiert nachbereitet werden. Dabei SOLLTE untersucht werden, wie schnell Si- cherheitsvorfälle erkannt und behoben wurden. Weiterhin SOLLTE untersucht werden, ob die Meldewege funktio- nierten, ausreichend Informationen für die Bewertung verfügbar und ob die Detektionsmaßnahmen wirksam wa- ren. Ebenso SOLLTE geprüft werden, ob die ergriffenen Maßnahmen und Aktivitäten wirksam und effizient waren. Die Erfahrungen aus vergangenen Sicherheitsvorfällen SOLLTEN genutzt werden, um daraus Handlungsanweisun- gen für vergleichbare Sicherheitsvorfälle zu erstellen. Diese Handlungsanweisungen SOLLTEN den relevanten Perso- nengruppen bekanntgegeben und auf Basis neuer Erkenntnisse regelmäßig aktualisiert werden. Die Leitungsebene SOLLTE jährlich über die Sicherheitsvorfälle unterrichtet werden. Besteht sofortiger Handlungs- bedarf, MUSS die Leitungsebene umgehend informiert werden. DER.2.1.A18 Weiterentwicklung der Prozesse durch Erkenntnisse aus Sicherheitsvorfällen und Branchenentwicklungen [Fachverantwortliche] (S) Nachdem ein Sicherheitsvorfall analysiert wurde, SOLLTE untersucht werden, ob die Prozesse und Abläufe im Rah- men der Behandlung von Sicherheitsvorfällen geändert oder weiterentwickelt werden müssen. Dabei SOLLTEN alle Personen, die an dem Vorfall beteiligt waren, über ihre jeweiligen Erfahrungen berichten. Es SOLLTE geprüft werden, ob es neue Entwicklungen im Bereich Incident Management und in der Forensik gibt und ob diese in die jeweiligen Dokumente und Abläufe eingebracht werden können. Werden Hilfsmittel und Checklisten eingesetzt, z. B. für Service-Desk-Mitarbeiter, SOLLTE geprüft werden, ob diese um relevante Fragen und Informationen zu erweitern sind. 3.3 Anforderungen bei erhöhtem Schutzbedarf Im Folgenden sind für den Baustein DER.2.1 Behandlung von Sicherheitsvorfällen exemplarische Vorschläge für An- forderungen aufgeführt, die über das dem Stand der Technik entsprechende Schutzniveau hinausgehen und BEI ERHÖHTEM SCHUTZBEDARF in Betracht gezogen werden SOLLTEN. Die konkrete Festlegung erfolgt im Rahmen einer Risikoanalyse. DER.2.1.A19 Festlegung von Prioritäten für die Behandlung von Sicherheitsvorfällen [Institutionsleitung] (H) Es SOLLTEN Prioritäten vorab festgelegt und regelmäßig aktualisiert werden. Dabei SOLLTE auch die vorgenom- mene Einstufung von Sicherheitsvorfällen berücksichtigt werden. Die Prioritäten SOLLTEN von der Institutionsleitung genehmigt und in Kraft gesetzt werden. Sie SOLLTEN allen Ent- scheidungsträgern bekannt sein, die mit der Behandlung von Sicherheitsvorfällen zu tun haben. Die festgelegten Prioritätsklassen SOLLTEN außerdem im Incident Management hinterlegt sein. DER.2.1.A20 Einrichtung einer internen Meldestelle für Sicherheitsvorfälle (H) Es SOLLTE eine interne Stelle zur Meldung von Sicherheitsvorfällen eingerichtet werden. Es SOLLTE gewährleistet sein, dass die Meldestelle zu den üblichen Arbeitszeiten erreichbar ist. Zusätzlich SOLLTE es möglich sein, dass Si- cherheitsvorfälle auch außerhalb der üblichen Arbeitszeiten von Mitarbeitern gemeldet werden können. Die Mitar- beiter der Meldestelle SOLLTEN ausreichend geschult und für die Belange der Informationssicherheit sensibilisiert sein. Alle Informationen über Sicherheitsvorfälle SOLLTEN bei der Meldestelle vertraulich behandelt werden. 6                                                                     IT-Grundschutz-Kompendium: Stand Februar 2020

DER.2.1                                                                  DER.2: Security Incident Management DER.2.1.A21 Einrichtung eines Expertenteams für die Behandlung von Sicherheitsvorfällen (H) Es SOLLTE ein Team mit erfahrenen und vertrauenswürdigen Spezialisten zusammengestellt werden. Neben dem technischen Verständnis SOLLTEN die Teammitglieder auch über Kompetenzen im Bereich Kommunikation verfü- gen. Die Vertrauenswürdigkeit der Mitglieder des Expertenteams SOLLTE überprüft werden. Die Zusammensetzung des Expertenteams SOLLTE regelmäßig überprüft und, wenn nötig, geändert werden. Die Mitglieder des Expertenteams SOLLTEN in die Eskalations- und Meldewege eingebunden sein. Das Experten- team SOLLTE für die Analyse von Sicherheitsvorfällen an den in der Institution eingesetzten Systemen ausgebildet werden. Die Mitglieder des Expertenteams SOLLTEN sich regelmäßig weiterbilden, sowohl zu den eingesetzten Sys- temen als auch zur Detektion und Reaktion auf Sicherheitsvorfälle. Dem Expertenteam SOLLTEN alle vorhandenen Dokumentationen sowie finanzielle und technische Ressourcen zur Verfügung stehen, um Sicherheitsvorfälle schnell und diskret zu behandeln. Das Expertenteam SOLLTE in geeigneter Weise in den Organisationsstrukturen berücksichtigt und in diese integriert werden. Die Verantwortlichkeiten des Expertenteams SOLLTEN vorher mit denen des Sicherheitsvorfall-Teams ab- gestimmt werden. DER.2.1.A22 Überprüfung des Managementsystems zur Behandlung von Sicherheitsvorfällen (H) Das Managementsystem zur Behandlung von Sicherheitsvorfällen SOLLTE regelmäßig daraufhin geprüft werden, ob es noch aktuell und wirksam ist. Dazu SOLLTEN sowohl angekündigte als auch unangekündigte Übungen durch- geführt werden. Die Übungen SOLLTEN vorher mit der Institutionsleitung abgestimmt sein. Es SOLLTEN die Mess- größen ausgewertet werden, die anfallen, wenn Sicherheitsvorfälle aufgenommen, gemeldet und eskaliert wer- den, z. B. die Zeiträume von der Erstmeldung bis zur verbindlichen Bestätigung eines Sicherheitsvorfalls. Außerdem SOLLTEN Planspiele zur Behandlung von Sicherheitsvorfällen durchgeführt werden. 4 Weiterführende Informationen 4.1 Wissenswertes Die International Organization for Standardization (ISO) gibt in der Norm ISO/IEC 27001:2013 „Information tech- nology – Security techniques – Information security management systems – Requirements“ im Anhang A16 „Infor- mation security incident management“ Vorgaben für die Behandlung von Sicherheitsvorfällen. Die International Organization for Standardization (ISO) gibt in der Norm ISO/IEC 27035:2016 „Information tech- nology – Security techniques – Information security incident management“ Vorgaben für die Behandlung von Si- cherheitsvorfällen. Das National Institute of Standards and Technology (NIST) macht in seiner Special Publication 800-61 Revision 2 „Computer Security Incident Handling Guide“ generelle Vorgaben zur Behandlung von Sicherheitsvorfällen. Das National Institute of Standards and Technology (NIST) macht in seiner Special Publication 800-83 Revision 1 „Guide to Malware incident Prevention and Handling for Desktops and Laptops“ spezifische Vorgaben zum Um- gang mit Malware-Infektionen bei Laptops und Desktops. Das Information Security Forum (ISF) macht in seinem Standard „The Standard of Good Practice for Information Security“ im Kapitel TS1.4 „Technical Security Management; Identity and Access Management“ Vorgaben für die Behandlung von Sicherheitsvorfällen. 5 Anlage: Kreuzreferenztabelle zu elementaren Gefährdungen Die Kreuzreferenztabelle enthält die Zuordnung von elementaren Gefährdungen zu den Anforderungen. Anhand dieser Tabelle lässt sich ermitteln, welche elementaren Gefährdungen durch welche Anforderungen abgedeckt sind. Durch die Umsetzung der aus den Anforderungen abgeleiteten Sicherheitsmaßnahmen wird den entspre- chenden elementaren Gefährdungen entgegengewirkt. Die Buchstaben in der zweiten Spalte (C = Vertraulichkeit, I = Integrität, A = Verfügbarkeit) zeigen an, welche Grundwerte der Informationssicherheit durch die Anforderung vorrangig geschützt werden. IT-Grundschutz-Kompendium: Stand Februar 2020                                                                   7

DER.2: Security Incident Management                                                                              DER.2.1 Die folgenden elementaren Gefährdungen sind für den Baustein DER.2.1 Behandlung von Sicherheitsvorfällen von Bedeutung. G 0.11       Ausfall oder Störung von Dienstleistern G 0.18       Fehlplanung oder fehlende Anpassung G 0.19       Offenlegung schützenswerter Informationen G 0.20       Informationen oder Produkte aus unzuverlässiger Quelle G 0.22       Manipulation von Informationen G 0.25       Ausfall von Geräten oder Systemen G 0.27       Ressourcenmangel G 0.29       Verstoß gegen Gesetze oder Regelungen G 0.30       Unberechtigte Nutzung oder Administration von Geräten und Systemen G 0.32       Missbrauch von Berechtigungen G 0.33       Personalausfall G 0.45       Datenverlust G 0.46       Integritätsverlust schützenswerter Informationen Elementare         CIA-  G 0.11  G 0.18 G 0.19 G 0.20 G 0.22 G 0.25 G 0.27  G 0.29 G 0.30 G 0.32 G 0.33 G 0.45  G 0.46 Gefährdungen      Werte Anforderungen DER.2.1.A1                         X      X      X                            X DER.2.1.A2                         X                                  X       X DER.2.1.A3                         X                                  X       X                    X DER.2.1.A4                                X      X                            X DER.2.1.A5                 X       X      X                    X      X       X DER.2.1.A6                 X       X      X                    X              X      X      X             X       X DER.2.1.A7                         X                                  X       X DER.2.1.A8                         X                                  X       X                    X DER.2.1.A9                         X      X      X      X             X       X                    X DER.2.1.A10                        X                           X              X                           X       X DER.2.1.A11                        X      X                                   X DER.2.1.A12                        X      X                           X                                           X DER.2.1.A13                        X                                                                              X DER.2.1.A14                        X      X      X      X                     X                                   X DER.2.1.A15                        X      X      X                            X DER.2.1.A16                        X                                          X DER.2.1.A17                        X      X      X      X                     X                           X       X DER.2.1.A18                        X      X      X                            X                           X       X DER.2.1.A19        CIA             X                           X      X                            X      X       X DER.2.1.A20        CIA             X      X      X      X             X       X             X             X       X DER.2.1.A21        CIA             X      X      X                    X       X             X      X      X       X DER.2.1.A22        CIA     X       X      X      X      X      X      X       X                    X      X       X 8                                                                         IT-Grundschutz-Kompendium: Stand Februar 2020

DER.2.2                                                                       DER.2: Security Incident Management DER.2.2: Vorsorge für die IT-Forensik 1 Beschreibung 1.1 Einleitung IT-Forensik ist die streng methodisch vorgenommene Datenanalyse auf Datenträgern und in Datennetzen zur Auf- klärung von Sicherheitsvorfällen in IT-Systemen. IT-Sicherheitsvorfälle forensisch zu untersuchen, ist immer dann notwendig, wenn entstandene Schäden bestimmt, Angriffe abgewehrt, zukünftige Angriffe vermieden und Angreifer identifiziert werden sollen. Ob ein IT-Sicherheits- vorfall forensisch untersucht wird, entscheidet sich, während der Vorfall behandelt wird. Eine IT-forensische Unter- suchung im Sinne dieses Bausteins besteht aus den folgenden Phasen: • Strategische Vorbereitung: In dieser Phase werden Prozesse geplant und aufgebaut, die sicherstellen, dass eine Institution IT-Sicherheitsvorfälle forensisch analysieren kann. Sie ist auch dann notwendig, wenn die Institution über keine eigenen Forensik-Experten verfügt. • Initialisierung: Nachdem die verantwortlichen Mitarbeiter entschieden haben, einen IT-Sicherheitsvorfall foren- sisch zu untersuchen, werden die vorher geplanten Prozesse angestoßen. Des Weiteren wird der Untersu- chungsrahmen festgelegt und es werden Erstmaßnahmen durchgeführt. • Spurensicherung: Hier werden die zu sichernden Beweismittel ausgewählt und die Daten forensisch gesichert. Dabei wird zwischen Live-Forensik und Post-Mortem-Forensik unterschieden: Die Live-Forensik stellt sicher, dass flüchtige Daten, wie z. B. Netzverbindungen oder RAM, von einem laufenden IT-System gesichert werden. Bei der Post-Mortem-Forensik hingegen werden forensische Kopien von Datenträgern erstellt. • Analyse: Die gesammelten Daten werden forensisch analysiert. Dabei werden die Daten sowohl für sich als auch im Gesamtzusammenhang betrachtet. • Ergebnisdarstellung: Die relevanten Untersuchungsergebnisse werden zielgruppengerecht aufbereitet und ver- mittelt. 1.2 Zielsetzung Der Baustein zeigt auf, welche Vorsorgemaßnahmen notwendig sind, um IT-forensische Untersuchungen zu er- möglichen. Dabei wird vor allem darauf eingegangen, wie die Spurensicherung vorbereitet und durchgeführt wer- den kann. Führen Forensik-Dienstleister Spurensicherungen ganz oder teilweise durch, gelten die Anforderungen auch für die Dienstleister. Durch vertragliche Vereinbarungen und Prüfungen kann dabei sichergestellt werden, dass sich der Dienstleister auch daran hält. 1.3 Abgrenzung und Modellierung Der Baustein DER.2.2 Vorsorge für die IT-Forensik ist für den gesamten Informationsverbund einmal anzuwenden. Der Baustein befasst sich mit Vorsorgemaßnahmen, die grundlegend für spätere IT-forensische Untersuchungen sind. Wie die eigentliche forensische Analyse durchgeführt wird, ist daher nicht Thema dieses Bausteins. Es werden keine Anforderungen beschrieben, die sicherstellen, dass Angriffe erkannt werden. Diese sind im Baustein DER.1 Detek- tion von sicherheitsrelevanten Ereignissen enthalten und werden im vorliegenden Baustein vorausgesetzt. Auch werden keine Kriterien und Prozesse erläutert, anhand derer die Verantwortlichen entscheiden können, ob ein IT- IT-Grundschutz-Kompendium: Stand Februar 2020                                                                       1

DER.2: Security Incident Management                                                                           DER.2.2 Sicherheitsvorfall forensisch untersucht werden muss oder nicht. Die Entscheidung darüber wird getroffen, wäh- rend der Sicherheitsvorfall behandelt wird (siehe DER.2.1 Behandlung von Sicherheitsvorfällen). Ebenso bezieht sich der Baustein nicht auf IT-forensische Untersuchungen bei Straftaten. Letztlich geht der Baustein auch nicht darauf ein, wie sich IT-Infrastrukturen bereinigen lassen, nachdem sie ange- griffen worden sind (siehe dazu DER.2.3 Bereinigung weitreichender Sicherheitsvorfälle). Die dort beschriebenen Tätigkeiten können jedoch durch die Ergebnisse von IT-forensischen Untersuchungen maßgeblich unterstützt wer- den. 2 Gefährdungslage Folgende spezifische Bedrohungen und Schwachstellen sind für den Baustein DER.2.2 Vorsorge für die IT-Forensik von besonderer Bedeutung: 2.1 Verstoß gegen rechtliche Rahmenbedingungen Für IT-forensische Untersuchungen werden oft alle für notwendig befundenen Daten kopiert, sichergestellt und ausgewertet. Darunter befinden sich meistens auch personenbezogene Daten von Mitarbeitern oder externen Partnern. Wird darauf z. B. unbegründet und ohne Einbeziehung des Datenschutzbeauftragten zugegriffen, ver- stößt die Institution gegen gesetzliche Regelungen, etwa wenn dabei die Zweckbindung missachtet wird. Auch ist es möglich, dass aus den erhobenen Daten beispielsweise abgeleitet werden kann, wie sich Mitarbeiter verhalten, oder es kann ein Bezug zu ihnen hergestellt werden. Dadurch besteht die Gefahr, dass auch gegen interne Regelun- gen verstoßen wird. 2.2 Verlust von Beweismitteln durch fehlerhafte oder unvollständige Beweissicherung Werden Beweismittel falsch oder nicht schnell genug gesichert, können dadurch wichtige Daten verloren gehen, die später nicht wiederhergestellt werden können. Im ungünstigsten Fall führt das zu einer ergebnislosen forensi- schen Untersuchung. Mindestens ist jedoch die Beweiskraft eingeschränkt. Die Gefahr, wichtige Beweismittel zu verlieren, steigt stark an, wenn Mitarbeiter die Werkzeuge zur Forensik fehler- haft benutzen, Daten zu langsam sichern oder zu wenig üben. Oft gehen auch Beweismittel verloren, wenn die Verantwortlichen flüchtige Daten nicht als relevant erkennen und sichern. 3 Anforderungen Im Folgenden sind die spezifischen Anforderungen des Bausteins DER.2.2 Vorsorge für die IT-Forensik aufgeführt. Grundsätzlich ist der Informationssicherheitsbeauftragte (ISB) für die Erfüllung der Anforderungen zuständig. Au- ßerdem ist der ISB dafür zuständig, dass alle Anforderungen gemäß dem festgelegten Sicherheitskonzept erfüllt und überprüft werden. Zusätzlich kann es noch andere Rollen geben, die weitere Zuständigkeiten bei der Umset- zung von Anforderungen haben. Diese sind dann jeweils explizit in eckigen Klammern in der Überschrift der jeweili- gen Anforderungen aufgeführt. Grundsätzlich zuständig             Informationssicherheitsbeauftragter (ISB) Weitere Zuständigkeiten             Datenschutzbeauftragter, Ermittler, Ermittlungsleiter, Institutionsleitung 3.1 Basis-Anforderungen Die folgenden Anforderungen MÜSSEN für den Baustein DER.2.2 Vorsorge für die IT-Forensik vorrangig erfüllt wer- den: DER.2.2.A1 Prüfung rechtlicher und regulatorischer Rahmenbedingungen zur Erfassung und Auswertbarkeit [Datenschutzbeauftragter, Institutionsleitung] (B) Werden Daten für forensische Untersuchungen erfasst und ausgewertet, MÜSSEN alle rechtlichen und regulatori- schen Rahmenbedingungen identifiziert und eingehalten werden (siehe ORP.5 Compliance Management (Anforde- rungsmanagement)). Auch DARF NICHT gegen interne Regelungen und Mitarbeitervereinbarungen verstoßen wer- den. Dazu MÜSSEN der Betriebs- oder Personalrat sowie der Datenschutzbeauftragte einbezogen werden. 2                                                                       IT-Grundschutz-Kompendium: Stand Februar 2020

DER.2.2                                                                  DER.2: Security Incident Management DER.2.2.A2 Erstellung eines Leitfadens für Erstmaßnahmen bei einem IT-Sicherheitsvorfall (B) Es MUSS ein Leitfaden erstellt werden, der für die eingesetzten IT-Systeme beschreibt, welche Erstmaßnahmen bei einem IT-Sicherheitsvorfall durchgeführt werden müssen, um möglichst wenig Spuren zu zerstören. Darin MUSS auch beschrieben sein, durch welche Handlungen potenzielle Spuren vernichtet werden könnten und wie sich das vermeiden lässt. DER.2.2.A3 Vorauswahl von Forensik-Dienstleistern (B) Verfügt eine Institution nicht über ein eigenes Forensik-Team, MÜSSEN bereits in der Vorbereitungsphase mögliche geeignete Forensik-Dienstleister identifiziert werden. Welche Forensik-Dienstleister infrage kommen, MUSS doku- mentiert werden. 3.2 Standard-Anforderungen Gemeinsam mit den Basis-Anforderungen entsprechen die folgenden Anforderungen dem Stand der Technik für den Baustein DER.2.2 Vorsorge für die IT-Forensik. Sie SOLLTEN grundsätzlich erfüllt werden. DER.2.2.A4 Festlegung von Schnittstellen zum Krisen- und Notfallmanagement (S) Die Schnittstellen zwischen IT-forensischen Untersuchungen und dem Krisen- und Notfallmanagement SOLLTEN definiert und dokumentiert werden. Hierzu SOLLTE geregelt werden, welche Mitarbeiter für welche Aufgaben ver- antwortlich sind und wie mit ihnen kommuniziert werden soll. Darüber hinaus SOLLTE sichergestellt werden, dass die zuständigen Ansprechpartner stets erreichbar sind. DER.2.2.A5 Erstellung eines Leitfadens für Beweissicherungsmaßnahmen bei IT-Sicherheitsvorfällen (S) Es SOLLTE ein Leitfaden erstellt werden, in dem beschrieben wird, wie Beweise gesichert werden sollen. Darin SOLL- TEN Vorgehensweisen, technische Werkzeuge, rechtliche Rahmenbedingungen und Dokumentationsvorgaben aufgeführt werden. DER.2.2.A6 Schulung des Personals für die Umsetzung der forensischen Sicherung (S) Alle verantwortlichen Mitarbeiter SOLLTEN wissen, wie sie Spuren korrekt sichern und die Werkzeuge zur Forensik richtig einsetzen. Dafür SOLLTEN geeignete Schulungen durchgeführt werden. DER.2.2.A7 Auswahl von Werkzeugen zur Forensik (S) Es SOLLTE sichergestellt werden, dass Werkzeuge, mit denen Spuren forensisch gesichert und analysiert werden, auch dafür geeignet sind. Bevor ein Werkzeug zur Forensik eingesetzt wird, SOLLTE zudem geprüft werden, ob es richtig funktioniert. Auch SOLLTE überprüft und dokumentiert werden, dass es nicht manipuliert wurde. DER.2.2.A8 Auswahl und Reihenfolge der zu sichernden Beweismittel [Ermittlungsleiter] (S) Eine forensische Untersuchung SOLLTE immer damit beginnen, die Ziele bzw. den Arbeitsauftrag zu definieren. Die Ziele SOLLTEN möglichst konkret formuliert sein. Danach SOLLTEN alle notwendigen Datenquellen identifiziert wer- den. Auch SOLLTE festgelegt werden, in welcher Reihenfolge die Daten gesichert werden und wie genau dabei vorgegangen werden soll. Die Reihenfolge SOLLTE sich danach richten, wie flüchtig (volatil) die zu sichernden Da- ten sind. So SOLLTEN schnell flüchtige Daten zeitnah gesichert werden. Erst danach SOLLTEN nichtflüchtige Daten wie beispielsweise Festspeicherinhalte und schließlich Backups folgen. DER.2.2.A9 Vorauswahl forensisch relevanter Daten [Ermittlungsleiter] (S) Es SOLLTE festgelegt werden, welche sekundären Daten (z. B. Logdaten oder Verkehrsmitschnitte) auf welche Weise und wie lange im Rahmen der rechtlichen Rahmenbedingungen für mögliche forensische Beweissicherungs- maßnahmen vorgehalten werden. DER.2.2.A10 IT-forensische Sicherung von Beweismitteln [Ermittler, Ermittlungsleiter] (S) Datenträger SOLLTEN möglichst komplett forensisch dupliziert werden. Wenn das nicht möglich ist, z. B. bei flüchti- gen Daten im RAM oder in SAN-Partitionen, SOLLTE eine Methode gewählt werden, die möglichst wenige Daten verändert. IT-Grundschutz-Kompendium: Stand Februar 2020                                                                    3

DER.2: Security Incident Management                                                                       DER.2.2 Die Originaldatenträger SOLLTEN versiegelt aufbewahrt werden. Es SOLLTEN schriftlich dokumentierte kryptografi- sche Prüfsummen von den Datenträgern angelegt werden. Diese SOLLTEN getrennt und in mehreren Kopien aufbe- wahrt werden. Zudem SOLLTE sichergestellt sein, dass die so dokumentierten Prüfsummen nicht verändert werden können. Damit die Daten gerichtlich verwertbar sind, SOLLTE ein Zeuge bestätigen, wie dabei vorgegangen wurde, und die erstellten Prüfsummen beglaubigen. Es SOLLTE ausschließlich geschultes Personal (siehe DER.2.2.A6 Schulung des Personals für die Umsetzung der fo- rensischen Sicherung) oder ein Forensik-Dienstleister (siehe DER.2.2.A3 Vorauswahl von Forensik-Dienstleistern) eingesetzt werden, um Beweise forensisch zu sichern. DER.2.2.A11 Dokumentation der Beweissicherung [Ermittler, Ermittlungsleiter] (S) Wenn Beweise forensisch gesichert werden, SOLLTEN alle durchgeführten Schritte dokumentiert werden. Die Do- kumentation SOLLTE lückenlos nachweisen, wie mit den gesicherten Originalbeweismitteln umgegangen wurde. Auch SOLLTE dokumentiert werden, welche Methoden eingesetzt wurden und warum sich die Verantwortlichen dafür entschieden haben. DER.2.2.A12 Sichere Verwahrung von Originaldatenträgern und Beweismitteln [Ermittler, Ermittlungsleiter] (S) Alle sichergestellten Originaldatenträger SOLLTEN physisch so gelagert werden, dass nur ermittelnde und nament- lich bekannte Mitarbeiter darauf zugreifen können. Wenn Originaldatenträger und Beweismittel eingelagert wer- den, SOLLTE festgelegt werden, wie lange sie aufzubewahren sind. Nachdem die Frist abgelaufen ist, SOLLTE ge- prüft werden, ob die Datenträger und Beweise noch weiter aufbewahrt werden müssen. Nach der Aufbewah- rungsfrist SOLLTEN Beweismittel sicher gelöscht oder vernichtet und Originaldatenträger zurückgegeben werden. 3.3 Anforderungen bei erhöhtem Schutzbedarf Im Folgenden sind für den Baustein DER.2.2 Vorsorge für die IT-Forensik exemplarische Vorschläge für Anforderun- gen aufgeführt, die über das dem Stand der Technik entsprechende Schutzniveau hinausgehen und BEI ERHÖH- TEM SCHUTZBEDARF in Betracht gezogen werden SOLLTEN. Die konkrete Festlegung erfolgt im Rahmen einer Risi- koanalyse. DER.2.2.A13 Rahmenverträge mit externen Dienstleistern (H) Die Institution SOLLTE Abrufvereinbarungen bzw. Rahmenverträge mit Forensik-Dienstleistern abschließen, damit IT-Sicherheitsvorfälle schneller forensisch untersucht werden können. DER.2.2.A14 Festlegung von Standardverfahren für die Beweissicherung (H) Für Anwendungen, IT-Systeme bzw. IT-Systemgruppen mit hohem Schutzbedarf sowie für verbreitete Systemkonfi- gurationen SOLLTEN Standardverfahren erstellt werden, die es erlauben, flüchtige und nichtflüchtige Daten mög- lichst vollständig forensisch zu sichern. Die jeweiligen systemspezifischen Standardverfahren SOLLTEN durch erprobte und möglichst automatisierte Pro- zesse umgesetzt werden. Sie SOLLTEN zudem durch Checklisten und technische Hilfsmittel unterstützt werden, z. B. durch Software, Software-Tools auf mobilen Datenträgern und IT-forensische Hardware wie Schreibblocker. DER.2.2.A15 Durchführung von Übungen zur Beweissicherung (H) Alle an forensischen Analysen beteiligten Mitarbeiter SOLLTEN regelmäßig in Form von Übungen trainieren, wie Beweise bei einem IT-Sicherheitsvorfall zu sichern sind. 4 Weiterführende Informationen 4.1 Wissenswertes Das BSI gibt in dem „Leitfaden IT-Forensik“ weiterführende Informationen in die Thematik und kann auch als Nach- schlagewerk für einzelne praxisbezogene Problemstellungen dienen. Die International Organization for Standardization (ISO) gibt in der Norm ISO/IEC 27042:2015 und 27043:2015 01:2013 Vorgaben für die Durchführung von forensischen Analysen. 4                                                                    IT-Grundschutz-Kompendium: Stand Februar 2020

DER.2.2                                                                  DER.2: Security Incident Management Das Infomation Security Forum (ISF) macht in seinem Standard „The Standard of Good Practice for Information Security“ im Kapitel TM 2.4 Forensik Investigations Vorgaben für die Durchführung von forensischen Analysen. Der Request for Comments (RFC) 3227 „Guidelines for Evidence Collection and Archiving“ gibt in seinem Leitfaden Hinweise zur grundlegenden Vorgehensweise bei einer forensischen Sicherung. 5 Anlage: Kreuzreferenztabelle zu elementaren Gefährdungen Die Kreuzreferenztabelle enthält die Zuordnung von elementaren Gefährdungen zu den Anforderungen. Anhand dieser Tabelle lässt sich ermitteln, welche elementaren Gefährdungen durch welche Anforderungen abgedeckt sind. Durch die Umsetzung der aus den Anforderungen abgeleiteten Sicherheitsmaßnahmen wird den entspre- chenden elementaren Gefährdungen entgegengewirkt. Die Buchstaben in der zweiten Spalte (C = Vertraulichkeit, I = Integrität, A = Verfügbarkeit) zeigen an, welche Grundwerte der Informationssicherheit durch die Anforderung vorrangig geschützt werden. Die folgenden elementaren Gefährdungen sind für den Baustein DER.2.2 Vorsorge für die IT-Forensik von Bedeu- tung. G 0.17       Verlust von Geräten, Datenträgern oder Dokumenten G 0.20       Informationen oder Produkte aus unzuverlässiger Quelle G 0.22       Manipulation von Informationen G 0.25       Ausfall von Geräten oder Systemen G 0.27       Ressourcenmangel G 0.29       Verstoß gegen Gesetze oder Regelungen G 0.31       Fehlerhafte Nutzung oder Administration von Geräten und Systemen G 0.37       Abstreiten von Handlungen G 0.45       Datenverlust G 0.46       Integritätsverlust schützenswerter Informationen Elementare          CIA-    G 0.17   G 0.20  G 0.22   G 0.25 G 0.27  G 0.29  G 0.31   G 0.37   G 0.45   G 0.46 Gefährdungen        Werte Anforderungen DER.2.2.A1                                                             X                          X DER.2.2.A2                     X       X        X       X                      X                  X       X DER.2.2.A3                                                     X               X                  X DER.2.2.A4                                              X                                         X       X DER.2.2.A5                     X       X        X       X                      X                  X       X DER.2.2.A6                             X                                       X                  X       X DER.2.2.A7                                                                     X                  X       X DER.2.2.A8                     X                X                              X         X        X       X DER.2.2.A9                     X                X                              X         X        X       X DER.2.2.A10                    X                X                              X         X        X       X DER.2.2.A11                    X                X       X                      X         X        X       X DER.2.2.A12                    X                X                                        X        X       X DER.2.2.A13          CIA                                       X               X                  X DER.2.2.A14          CIA       X                X       X                      X         X        X       X DER.2.2.A15          CIA       X                X       X                      X         X        X       X IT-Grundschutz-Kompendium: Stand Februar 2020                                                                    5

DER.2: Security Incident Management                                      DER.2.2 6                                   IT-Grundschutz-Kompendium: Stand Februar 2020

DER.2.3                                                                   DER.2: Security Incident Management DER.2.3: Bereinigung weitreichender Sicherheitsvorfälle 1 Beschreibung 1.1 Einleitung Bei Advanced Persistent Threats (APT) handelt es sich um zielgerichtete Cyber-Angriffe auf ausgewählte Institutio- nen und Einrichtungen. Dabei verschafft sich ein Angreifer dauerhaften Zugriff zu einem Netz und weitet diesen Zugriff auf weitere IT-Systeme aus. Die Angriffe zeichnen sich durch einen sehr hohen Ressourceneinsatz und um- fassende technische Fähigkeiten auf Seiten der Angreifer aus. Angriffe dieser Art sind in der Regel schwierig zu detektieren. Nachdem ein APT-Angriff entdeckt wurde, stehen die Verantwortlichen in den betroffenen Institutionen vor großen Herausforderungen. Denn sie müssen eine Bereinigung durchführen, die über das übliche Vorgehen zur Behand- lung von IT-Sicherheitsvorfällen hinausgeht. Es ist davon auszugehen, dass die entdeckten Angreifer bereits seit längerer Zeit auf die betroffene IT-Infrastruktur zugreifen können. Außerdem nutzen sie komplexe Angriffswerk- zeuge, um die Standard-Sicherheitsmechanismen zu umgehen und diverse Hintertüren zu etablieren. Zudem be- steht die Gefahr, dass die Angreifer die infizierte Umgebung genau beobachten und auf Versuche zur Bereinigung reagieren, indem sie ihre Spuren verwischen und die Untersuchung sabotieren. In diesem Baustein wird von einer hohen Bedrohungslage durch einen gezielten Angriff hochmotivierter Täter mit überdurchschnittlichen Ressourcen ausgegangen. Grundsätzlich sollte bei einem solchen Vorfall immer auch ein (zertifizierter) Forensikdienstleister hinzugezogen werden, wenn die Institution selbst nicht über entsprechende ei- gene Forensik-Experten verfügt. Forensik-Dienstleister sollten dabei bereits in der Phase der forensischen Analyse herangezogen werden. Der Dienstleister sollte jedoch auch bei der Bereinigung zumindest beratend einbezogen werden. 1.2 Zielsetzung Dieser Baustein beschreibt, wie eine Institution vorgehen sollte, um nach einem APT-Angriff die IT-Systeme zu berei- nigen und den regulären und sicheren Betriebszustand des Informationsverbunds wiederherzustellen. 1.3 Abgrenzung und Modellierung Der Baustein DER.2.3 Bereinigung weitreichender Sicherheitsvorfälle ist immer dann anzuwenden, wenn nach ei- nem APT-Vorfall die IT-Systeme bereinigt werden sollen, um den regulären und sicheren Betriebszustand eines Infor- mationsverbunds wiederherzustellen. Der Baustein ist auf den gesamten Informationsverbund anzuwenden. Ein Informationsverbund kann nur bereinigt werden, wenn der APT-Vorfall vorher erfolgreich detektiert und foren- sisch analysiert wurde. Detektion und Forensik sind jedoch nicht Thema dieses Bausteins. Diese Themen werden in den Bausteinen DER.1 Detektion von sicherheitsrelevanten Ereignissen bzw. DER.2.2 Vorsorge für die IT-Forensik behandelt. Im vorliegenden Baustein geht es ausschließlich um die Bereinigung von APT-Vorfällen. Andere Vorfälle werden im Baustein DER.2.1 Behandlung von Sicherheitsvorfällen behandelt. Auch beschreibt der Baustein nicht, wie soge- nannte Indicators of Compromise (IOCs), also Einbruchsspuren, abzuleiten sind und wie diese benutzt werden kön- nen, um wiederkehrende Angreifer zu erkennen. Ebenso wird nicht darauf eingegangen, wie sich eventuell bei der Analyse und Bereinigung übersehene Hintertüren finden lassen. Weiterhin ist der Baustein abzugrenzen vom übergeordneten Incident-Management-Prozess, in den die Bereinigung eingebettet ist (siehe DER.2.1 Behandlung von Sicherheitsvorfällen). Es werden ausschließlich Cyber-Angriffe berücksichtigt. Das heißt, es werden keine Angriffe betrachtet, mit denen sich Angreifer physischen Zugriff auf eine IT-Umgebung verschaffen. So werden Angriffsformen wie Einbrechen in IT-Grundschutz-Kompendium: Stand Februar 2020                                                                     1