Disk-Forensik/ Richtlinien/ Checkliste für Vorfallsmeldung

Aus Wikibooks
Zur Navigation springen Zur Suche springen

Die folgende Liste stellt einen möglichen Ausgangspunkt für den Entwurf einer eigenen Checkliste zur Meldung eines Vorfalls an einem IT System dar.

  • 1. Wie wurde der Vorfall entdeckt?
    • Wann?
    • Durch wen?
  • 2. Wann fand der Vorfall statt?
    • Wie wurde das bestimmt?
  • 3. Welche unmittelbare Auswirkungen können bereits jetzt bestimmt werden?
    • Welche zukünftigen Auswirkungen könnte der Vorfall auf den Anwender oder das Unternehmen haben?
  • 4. Welche Systeme sind betroffen? Folgende Informationen sind anzugeben:
    • Betriebssystem / Software / Hardware
    • Netzwerk-Adressen des betroffenen Systems
      • IP-Adressen
      • Um welchen Netzwerktyp handelt es sich? (Ethernet, ATM,...)
      • Hardwareadressen (MAC,...)
      • Bei Modem-Verbindungen: Telefonnummer
    • Physischer Standort des betroffenen Systems
  • 5. Wie wichtig sind die Systeme für das Unternehmen?
    • Wie kritisch ist ein Ausfall für Geschäftsprozesse oder die Existenz des Unternehmens?
    • Welche kritischen bzw. vertraulichen Informationen befinden sich auf dem System?
    • Welche physischen Schutzmaßnahmen für das System sind vorhanden?
    • Wer ist zuständig für das System (Administrator)?
      • Kontaktdaten feststellen
  • 6. In welchem Zustand befindet sich das System
    • Läuft das System noch?
    • Was kann über eine eventuelle Beeinträchtigung ausgesagt werden (Manipulation von Daten, Backdoors, ...)?
  • 7. Was weiß man über den Angreifer?
    • Ist der Angreifer noch aktiv?
    • Gibt es Hinweise auf den Ausgangpunkt des Angriffs (Quell-Adressen)?
    • Gibt es Anzeichen für eine Denial-of-Service-Attacke?
    • Gibt es Anzeichen für Vandalismus?
    • Gibt es Hinweise über den Angreifer selbst?
      • Kommt der Angriff von einem Insider (Mitarbeiter) oder von extern?
  • 8. Welche Tätigkeiten wurden bereits vorgenommen?
    • Wurde das System vom Netzwerk getrennt?
    • Welche Logfiles wurden bereits analysiert?
    • Ist ein lokaler oder externer Zugriff auf das System möglich?
    • Welche Änderungen am Netzwerk, Firewalls etc. wurden bereits vorgenommen?
    • Wer wurde vom Vorfall informiert?
  • 9. Welche Werkzeuge sind vor Ort verfügbar?
    • Ist eine Systemaudit-Software bereits im Einsatz?
    • Welche Netzwerkprotokolle gibt es?
    • Sind Netzwerk-Sniffer im Einsatz?
  • 10. Wer kann für weitere Informationen kontaktiert werden?
    • Systemanwender
    • Systemadministrator des betroffenen Systems
    • Lokaler Netzwerkadministrator
  • 11. Welche zusätzlichen Wünsche/Vorgaben gibt es?
    • Wer soll im Unternehmen NICHT kontaktiert werden?
    • etc.