Vorgehensweise mit Incident Responses bei laufendem System
- Carsten Rehberg
Hier werden die Schritte erläutert, welche bei einem Incident Response durchzuführen sind, wenn das kompromittierte System angeschaltet ist.
Instructions
Folgende Schritte sind nacheinander abzuarbeiten
Alle fremden Personen vom System und der Stromversorgung entfernen
Umgebung fotografieren bzw. Skizze anfertigen (Standort der Systeme, Monitore u.s.w.)
Nach Möglichkeit Anwender nach Besonderheiten des Systems, Passwörtern oder anderen Konfigurationsspezifika befragen. Die Antworten sollten genau dokumentiert und bei Bedarf kritisch hinterfragt werden.
Bildschirminhalte festhalten (mit Digitalkamera …)
Keyboard und Maus nach Möglichkeit nicht sofort berühren. Ist der Bildschirminhalt blank, sollte der Ermittlungsleiter befragt werden, ob durch Mausbewegung der Bildschirminhalt wiederhergestellt werden soll. Der genaue Zeitpunkt der Mausbewegung sollte notiert werden, da dadurch unter Umständen Zeitstempel verändert werden können.
Wo möglich, Durchführung einer Live Response, um flüchtige Daten, die nach einem Ausschalten verloren gingen, zu sichern
- System ausschalten
Stromkabel am Gerät entfernen
Netzwerkkabel entfernen, damit eine WakeOnLan-Funktion den Rechner nicht wieder hochfahren lässt
Alle sichergestellten Geräte und Objekte müssen eindeutig beschriftet werden (wichtig, wenn die Analyse und Sicherstellung durch unterschiedliche Personen durchgeführt werden)
Nähere Umgebung nach Notizen oder Papierunterlagen durchsuchen
Nach Möglichkeit sollte der Anwender nach Besonderheiten des Systems, Passwörtern oder anderen Konfigurationsspezifika befragt werden. Die Antworten sollten genau dokumentiert und bei Bedarf kritisch hinterfragt werden
Dokumentation aller mit der sichergestellten Hardware durchgeführten Tätigkeiten
Quelle
Geschonnek, Alexander: Computer Forensik. dpunkt Verlag, 6. aktualisierte und erweiterte Aufl., 2014, Seite 54,96-97.
Verwandte Artikel