Computer-Forensik: Analyse von Angriffen

Wichtige Punkte im Alarmierungsplan

Folgende Punkte gehören in einen Alarmierungsplan:

• Nennung der bei Alarmierung zuständigen und für die Einleitung weiterer Schritte befugten Personen im Unternehmen

• Grundsätzliche Verhaltensregeln für die beteiligten Personen

• Lückenlose Dokumentation der Geschehnisse und Umstände

• Eingrenzung des Zugangs zum kompromittierten System

• Keine oder nur absolut notwendige unmittelbare Eingriffe in das System

• Umgehende Hinzuziehung von (anerkannten) Fachleuten zur Beweissicherung

Die eigentliche Arbeit des Forensikers fängt mit der Sicherung des aktuellen (letzten) Standes des Beweisstückes an. Wird der Sachverständige im in der Praxis seltener vorkommenden Idealfall unmittelbar hinzugezogen, so kann er möglicherweise noch den aktuellen Status des Systems aufnehmen. Auch hier muss er abwägen, ob durch die Analyse des laufenden Systems brauchbare Spuren gesichert werden können. Je nach Ergebnis kann auch das "harte" Ausschalten des Systems ohne kontrolliertes Herunterfahren zum Einfrieren des aktuellen Standes sinnvoller sein.