{"id":15136,"date":"2021-09-17T07:30:25","date_gmt":"2021-09-17T05:30:25","guid":{"rendered":"https:\/\/www.secuinfra.com\/?p=15136"},"modified":"2022-03-31T11:12:21","modified_gmt":"2022-03-31T09:12:21","slug":"prozessmodelle-am-beispiel-des-bundesamt-fuer-sicherheit-in-der-informationstechnologie-bsi","status":"publish","type":"post","link":"https:\/\/testing.secuinfra.com\/de\/techtalk\/prozessmodelle-am-beispiel-des-bundesamt-fuer-sicherheit-in-der-informationstechnologie-bsi\/","title":{"rendered":"Incident Response Prozessmodelle am Beispiel des Bundesamt f\u00fcr Sicherheit in der Informationstechnologie (BSI)"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_83 counter-flat ez-toc-counter ez-toc-white ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">[inhalt_uebersetzt]<\/p>\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/prozessmodelle-am-beispiel-des-bundesamt-fuer-sicherheit-in-der-informationstechnologie-bsi\/#Incident_Response_Prozessmodelle\" >Incident Response Prozessmodelle<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/prozessmodelle-am-beispiel-des-bundesamt-fuer-sicherheit-in-der-informationstechnologie-bsi\/#Das_BSI_Modell\" >Das BSI Modell<\/a><\/li><\/ul><\/nav><\/div>\n<h2><span class=\"ez-toc-section\" id=\"Incident_Response_Prozessmodelle\"><\/span>Incident Response Prozessmodelle<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Das BSI hat ein Modell aufgestellt, welches das Vorgehen in 6 unterschiedliche Phasen aufteilt und damit im Vergleich zu anderen Modellen sehr fein granulierter unterteilt. Alternativ zu dem Modell des BSI gibt es das im angels\u00e4chsischen Raum verbreitete Modell nach Casey. Dieses ist mit 12 Phasen noch detaillierter als das BSI Modell und soll Gegenstand des n\u00e4chsten Beitrags zum Thema Prozessmodelle werden.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Das_BSI_Modell\"><\/span>Das BSI Modell<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>In Abbildung 1 ist die Prozesskette des BSI Modells dargestellt.<\/p>\n<p>Der Start ist die strategische Vorbereitung. Wichtig ist zu beachten, dass die dritte, vierte und f\u00fcnfte Phase eine Schleife darstellt, d. h. dass diese Phasen wiederholt werden k\u00f6nnen, sollten Sie durch sp\u00e4tere Erkenntnisse als unzureichend eingestuft werden. Zudem muss mit Beginn der dritten Phase die Dokumentation aufgenommen und l\u00fcckenlos bis zur letzten Phase durchgef\u00fchrt werden.<\/p>\n<p><img fetchpriority=\"high\" decoding=\"async\" class=\" wp-image-15137\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Prozessmodelle-DE-300x161.png\" alt=\"\" width=\"947\" height=\"508\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Prozessmodelle-DE-300x161.png 300w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Prozessmodelle-DE-1024x548.png 1024w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Prozessmodelle-DE-768x411.png 768w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Prozessmodelle-DE-1536x823.png 1536w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Prozessmodelle-DE-2048x1097.png 2048w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Prozessmodelle-DE-24x13.png 24w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Prozessmodelle-DE-36x19.png 36w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/\/Prozessmodelle-DE-48x26.png 48w\" sizes=\"(max-width: 947px) 100vw, 947px\" \/><\/p>\n<h3>Phase 1: Strategische Vorbereitung<\/h3>\n<p>Die erste Phase besch\u00e4ftigt sich mit allen Vorbereitungen, die vor dem Eintritt eines Sicherheitsvorfalls getroffen werden m\u00fcssen. Dazu geh\u00f6rt bspw. das Vorbereiten von Software und Hardware, wie einer Workstation oder einem Writeblocker. Zudem m\u00fcssen Handlungsanweisungen f\u00fcr die Kommunikation festgelegt werden. Welche Stelle wird wann und wie eingebunden und ab wann m\u00fcssen bspw. Juristen zugezogen werden.<\/p>\n<h3>Phase 2: Operationale Vorbereitung<\/h3>\n<p>Die operationale Vorbereitung wird durchgef\u00fchrt, wenn der Vorfall eingetreten ist. Zu Beginn wird ein Ziel f\u00fcr die Untersuchung festgelegt und der Anfangsverdacht formuliert.<\/p>\n<p>Auf Grundlage dessen wird eine Bestandsaufnahme der betroffenen Systeme gemacht. Diese Vorgehensweise stellt sicher, dass in der anschlie\u00dfenden Datensammlung keine Systeme \u00fcbersehen und alle zu diesem Zeitpunkt bekannte Quellen ber\u00fccksichtigt werden. Zudem m\u00fcssen Fragen bzgl. des Datenschutzes in dieser Phase gekl\u00e4rt werden.<\/p>\n<h3>Phase 3: Datensammlung, Bergung<\/h3>\n<p>In Phase 3 wird die Datensammlung nach den in der operationalen Vorbereitung getroffenen Vorgaben durchgef\u00fchrt. Hierbei wird zwischen einem vollst\u00e4ndigen Abbild aller Systeme und einer Triage unterschieden. W\u00e4hrend Ersteres ein 1 zu 1 Abbild der Systeme erstellt, um alle Daten exakt zu speichern und keine Spuren zu verwischen, begrenzt sich die Triage auf das schnelle Erfassen von Daten, die im Kontext eines Cyberangriffes Aufschluss \u00fcber Vorgehen und Art des Angriffs geben. Einen ausf\u00fchrlichen Artikel zu dem Thema Triage in digitaler Forensik finden sie hier (<a href=\"https:\/\/testing.secuinfra.com\/news\/digitale-forensik-triage\/\">Triage in digitaler Forensik<\/a>).<\/p>\n<p>Die Reihenfolge der Datensicherung spielt ebenfalls eine gro\u00dfe Rolle. Fl\u00fcchtige Speicher wie RAM sollten in jedem Fall an erster Stelle der Datensicherung stehen. In Phase 3 beginnt ebenfalls die Relevanz der Beweiskette (Chain of Custody). Diese beschreibt eine l\u00fcckenlose Dokumentation \u00fcber den Verbleib der Beweismittel und muss ausf\u00fchrlich bis zum Abschluss der Untersuchung aufrecht gehalten werden.<\/p>\n<h3>Phase 4: Untersuchung<\/h3>\n<p>Die Datenuntersuchung ist die Vorstufe der eigentlichen Analyse. In dieser Phase sollen die Daten f\u00fcr die forensische Untersuchung vorbereitet werden. Dazu werden Spuren aus den gesammelten Evidenzen extrahiert und wenn n\u00f6tig, in ein anderes Format transferiert. Zudem k\u00f6nnen in dieser Phase gel\u00f6schte oder korrupte Datens\u00e4tze wiederhergestellt werden. Sollten in diesem Zuge neue Datenquellen identifiziert werden, kann die Datensammlung wiederholt werden.<\/p>\n<h3>Phase 5: Datenanalyse<\/h3>\n<p>Die f\u00fcnfte Phase besch\u00e4ftigt sich nun mit der Auswertung der gewonnenen Daten und deren Interpretation. In der Regel wird in dieser Phase versucht die Daten in zeitlich und logische Reihenfolge zu bringen, um Zusammenh\u00e4nge zu identifizieren und bewerten zu k\u00f6nnen. Werden neue Datenquellen erkannt oder festgestellt, dass Datens\u00e4tze unvollst\u00e4ndig sind, kann wie in Phase 4 eine erneute Datensammlung veranlasst werden.<\/p>\n<h3>Phase 6: Abschlussbericht<\/h3>\n<p>Der Abschlussbericht wird auch als Ergebnisprotokoll bezeichnet. Das BSI unterscheidet dieses explizit vom Verlaufsprotokoll, welches schon in Phase 3 begonnen wird und zur Beweiskette geh\u00f6rt. Dieses Verlaufsprotokoll enth\u00e4lt alle Untersuchungsschritte, forensischen Werkzeuge und erhobenen Daten. Mithilfe des Verlaufsprotokolls kann nun in der sechsten Phase das Abschlussprotokoll f\u00fcr die vorgegebene Zielgruppe verfasst werden. Es beinhaltet also einen \u00dcberblick \u00fcber den gesamten forensischen Prozess sowie die aus der Analyse erhobenen Ergebnisse.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Das BSI hat ein Modell aufgestellt, welches das Vorgehen in 6 unterschiedliche Phasen aufteilt und damit im Vergleich zu anderen Modellen sehr fein granulierter unterteilt.<\/p>\n","protected":false},"author":6,"featured_media":27627,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[80,66],"tags":[],"dpc_coauthors":[],"class_list":["post-15136","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-incident-response","category-techtalk"],"acf":[],"_links":{"self":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/15136","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/comments?post=15136"}],"version-history":[{"count":0,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/15136\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media\/27627"}],"wp:attachment":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media?parent=15136"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/categories?post=15136"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/tags?post=15136"},{"taxonomy":"dpc_coauthors","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/dpc_coauthors?post=15136"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}