Jeden kann es treffen
Bodo Meseke, Leiter Computerforensik bei Ibas, empfiehlt daher, Regeln für erste Maßnahmen festzulegen, bevor ein solcher Fall eintritt. Das zwingt die Betroffenen strukturiert vorzugehen und einen kühlen Kopf zu bewahren. Außerdem verhindert es unter Umständen, dass durch hektisches Vorgehen wichtige Beweise vernichtet werden. Zudem hilft eine Checkliste, sich so zu verhalten, dass die gesicherten Spuren sich später auch juristisch verwerten lassen, wenn das nötig sein sollte.
Quelle: Alexander Geschonnek, Hisolutions • Verfahren Sie nach Ihren festgelegten Security-Incident-Response-Abläufen; • informieren Sie das Management; • alarmieren Sie Ihre Security-Spezialisten; • informieren Sie nicht die gesamte Organisation, sondern halten Sie die Gruppe der Mitwissenden am Anfang so klein wie möglich; • sichern Sie sofort alle Protokolldateien auf separaten Systemen; • bereiten Sie eine forensische Datensammlung vor (Sammlung der flüchtigen Informationen, Erstellen von forensischen Duplikaten). • protokollieren Sie jede Tätigkeit (auch die dabei eingesetzten Tools), die Sie am verdächtigen System durchführen; • sichern Sie den Zutritt zu den Räumen mit den betroffenen Systemen ab; • treffen Sie erste Einschätzungen, welchen Ausmaßes der Sicherheitsvorfall sein kann und ob mehr Systeme betroffen sind. • treffen Sie erste Einschätzungen, welche Konten von Anwendern betroffen sein könnten; • analysieren Sie nicht die Originaldaten, sondern vorher erstellte Sicherheitskopien. Stellen Sie sicher, dass das System nicht verändert wird. |
Liegt ein konkreter Verdacht vor und hat sich das Unternehmen dazu entschlossen, eine Untersuchung einzuleiten, gilt es, den "Tatort" möglichst nicht zu verändern. Geschieht das nicht, riskiert man, wichtige Spuren zu vernichten. Zu den Erstmaßnahmen sollte daher gehören, den Zugang zu dem oder den betroffenen Systemen zu sperren.