Disk-Forensik/ Richtlinien/ Checkliste für Vorfallsmeldung
< Disk-Forensik | Richtlinien
Die folgende Liste stellt einen möglichen Ausgangspunkt für den Entwurf einer eigenen Checkliste zur Meldung eines Vorfalls an einem IT System dar.
- 1. Wie wurde der Vorfall entdeckt?
- Wann?
- Durch wen?
- 2. Wann fand der Vorfall statt?
- Wie wurde das bestimmt?
- 3. Welche unmittelbare Auswirkungen können bereits jetzt bestimmt werden?
- Welche zukünftigen Auswirkungen könnte der Vorfall auf den Anwender oder das Unternehmen haben?
- 4. Welche Systeme sind betroffen? Folgende Informationen sind anzugeben:
- Betriebssystem / Software / Hardware
- Netzwerk-Adressen des betroffenen Systems
- IP-Adressen
- Um welchen Netzwerktyp handelt es sich? (Ethernet, ATM,...)
- Hardwareadressen (MAC,...)
- Bei Modem-Verbindungen: Telefonnummer
- Physischer Standort des betroffenen Systems
- 5. Wie wichtig sind die Systeme für das Unternehmen?
- Wie kritisch ist ein Ausfall für Geschäftsprozesse oder die Existenz des Unternehmens?
- Welche kritischen bzw. vertraulichen Informationen befinden sich auf dem System?
- Welche physischen Schutzmaßnahmen für das System sind vorhanden?
- Wer ist zuständig für das System (Administrator)?
- Kontaktdaten feststellen
- 6. In welchem Zustand befindet sich das System
- Läuft das System noch?
- Was kann über eine eventuelle Beeinträchtigung ausgesagt werden (Manipulation von Daten, Backdoors, ...)?
- 7. Was weiß man über den Angreifer?
- Ist der Angreifer noch aktiv?
- Gibt es Hinweise auf den Ausgangpunkt des Angriffs (Quell-Adressen)?
- Gibt es Anzeichen für eine Denial-of-Service-Attacke?
- Gibt es Anzeichen für Vandalismus?
- Gibt es Hinweise über den Angreifer selbst?
- Kommt der Angriff von einem Insider (Mitarbeiter) oder von extern?
- 8. Welche Tätigkeiten wurden bereits vorgenommen?
- Wurde das System vom Netzwerk getrennt?
- Welche Logfiles wurden bereits analysiert?
- Ist ein lokaler oder externer Zugriff auf das System möglich?
- Welche Änderungen am Netzwerk, Firewalls etc. wurden bereits vorgenommen?
- Wer wurde vom Vorfall informiert?
- 9. Welche Werkzeuge sind vor Ort verfügbar?
- Ist eine Systemaudit-Software bereits im Einsatz?
- Welche Netzwerkprotokolle gibt es?
- Sind Netzwerk-Sniffer im Einsatz?
- 10. Wer kann für weitere Informationen kontaktiert werden?
- Systemanwender
- Systemadministrator des betroffenen Systems
- Lokaler Netzwerkadministrator
- 11. Welche zusätzlichen Wünsche/Vorgaben gibt es?
- Wer soll im Unternehmen NICHT kontaktiert werden?
- etc.