IT-Forensik

Richtige Verhaltensweise nach IT-Angriffen

07.09.2012
Von Magnus  Kalkuhl

Rechnen Sie mit unglaublichen Datenmengen

Die Wichtigkeit einer Situationsanalyse wird deutlich, wenn man sich vor Augen hält, wie viele Datenträger – und damit potentielle Beweismittel – sich durchschnittlich in einem Unternehmen befinden: Festplatten, USB-Sticks, CD-ROMs, PDAs, Mobiltelefone etc. Bei 500 Rechnern mit jeweils 80 GByte kämen alleine hier schon 40 TByte zusammen – das vollständige Kopieren dieser Datenmassen würde Tage dauern, weshalb es so wichtig ist, Prioritäten zu setzen.

Ein Profi wird zudem berücksichtigen, dass Spuren nicht nur in digitaler Form vorliegen können, und – wenn es die Situation erfordert – seinem Kunden empfehlen, die Polizei zur Sicherung und Auswertung physischer Spuren .

Achten Sie außerdem darauf, dass der Dienstleister all seine Schritte sorgfältig protokolliert – und zwar von Anfang an. Am Ende der Untersuchung wird dann ein Abschlussbericht stehen, der idealerweise in zwei Fassungen angeboten wird: einmal für technisch versierte Personen, zum anderen in einer auch für Laien verständlichen Form. Denn sollte es nach der Untersuchung zu einem Gerichtsverfahren kommen, werden Richter und Anwälte Einsicht in die Ergebnisse nehmen und natürlich auch verstehen wollen.

Schließlich wird ein Notfallplan erstellt: Welche Systeme sollten umgehend mittels eines Backups wiederhergestellt werden? Welche Computer müssen vorerst komplett abgestellt werden? Ist es notwendig, einzelnen Mitarbeitern den Zugang zu bestimmten Bereichen vorerst nicht mehr zu gestatten? Der Sinn des Notfallplans ist es, weitere Risiken zu minimieren, dabei aber den Betrieb des Unternehmens sicherzustellen.