Disk-Forensik/ Richtlinien/ Checkliste für Vorfallsmeldung

Aus Wikibooks

Die folgende Liste stellt einen möglichen Ausgangspunkt für den Entwurf einer eigenen Checkliste zur Meldung eines Vorfalls an einem IT System dar.

  • 1. Wie wurde der Vorfall entdeckt?
    • Wann?
    • Durch wen?
  • 2. Wann fand der Vorfall statt?
    • Wie wurde das bestimmt?
  • 3. Welche unmittelbare Auswirkungen können bereits jetzt bestimmt werden?
    • Welche zukünftigen Auswirkungen könnte der Vorfall auf den Anwender oder das Unternehmen haben?
  • 4. Welche Systeme sind betroffen? Folgende Informationen sind anzugeben:
    • Betriebssystem / Software / Hardware
    • Netzwerk-Adressen des betroffenen Systems
      • IP-Adressen
      • Um welchen Netzwerktyp handelt es sich? (Ethernet, ATM,...)
      • Hardwareadressen (MAC,...)
      • Bei Modem-Verbindungen: Telefonnummer
    • Physischer Standort des betroffenen Systems
  • 5. Wie wichtig sind die Systeme für das Unternehmen?
    • Wie kritisch ist ein Ausfall für Geschäftsprozesse oder die Existenz des Unternehmens?
    • Welche kritischen bzw. vertraulichen Informationen befinden sich auf dem System?
    • Welche physischen Schutzmaßnahmen für das System sind vorhanden?
    • Wer ist zuständig für das System (Administrator)?
      • Kontaktdaten feststellen
  • 6. In welchem Zustand befindet sich das System
    • Läuft das System noch?
    • Was kann über eine eventuelle Beeinträchtigung ausgesagt werden (Manipulation von Daten, Backdoors, ...)?
  • 7. Was weiß man über den Angreifer?
    • Ist der Angreifer noch aktiv?
    • Gibt es Hinweise auf den Ausgangpunkt des Angriffs (Quell-Adressen)?
    • Gibt es Anzeichen für eine Denial-of-Service-Attacke?
    • Gibt es Anzeichen für Vandalismus?
    • Gibt es Hinweise über den Angreifer selbst?
      • Kommt der Angriff von einem Insider (Mitarbeiter) oder von extern?
  • 8. Welche Tätigkeiten wurden bereits vorgenommen?
    • Wurde das System vom Netzwerk getrennt?
    • Welche Logfiles wurden bereits analysiert?
    • Ist ein lokaler oder externer Zugriff auf das System möglich?
    • Welche Änderungen am Netzwerk, Firewalls etc. wurden bereits vorgenommen?
    • Wer wurde vom Vorfall informiert?
  • 9. Welche Werkzeuge sind vor Ort verfügbar?
    • Ist eine Systemaudit-Software bereits im Einsatz?
    • Welche Netzwerkprotokolle gibt es?
    • Sind Netzwerk-Sniffer im Einsatz?
  • 10. Wer kann für weitere Informationen kontaktiert werden?
    • Systemanwender
    • Systemadministrator des betroffenen Systems
    • Lokaler Netzwerkadministrator
  • 11. Welche zusätzlichen Wünsche/Vorgaben gibt es?
    • Wer soll im Unternehmen NICHT kontaktiert werden?
    • etc.