Computer-Forensik: Analyse von Angriffen
Wichtige Punkte im Alarmierungsplan
Folgende Punkte gehören in einen Alarmierungsplan:
Nennung der bei Alarmierung zuständigen und für die Einleitung weiterer Schritte befugten Personen im Unternehmen
Grundsätzliche Verhaltensregeln für die beteiligten Personen
Lückenlose Dokumentation der Geschehnisse und Umstände
Eingrenzung des Zugangs zum kompromittierten System
Keine oder nur absolut notwendige unmittelbare Eingriffe in das System
Umgehende Hinzuziehung von (anerkannten) Fachleuten zur Beweissicherung
Die eigentliche Arbeit des Forensikers fängt mit der Sicherung des aktuellen (letzten) Standes des Beweisstückes an. Wird der Sachverständige im in der Praxis seltener vorkommenden Idealfall unmittelbar hinzugezogen, so kann er möglicherweise noch den aktuellen Status des Systems aufnehmen. Auch hier muss er abwägen, ob durch die Analyse des laufenden Systems brauchbare Spuren gesichert werden können. Je nach Ergebnis kann auch das "harte" Ausschalten des Systems ohne kontrolliertes Herunterfahren zum Einfrieren des aktuellen Standes sinnvoller sein.