Vorgehensweise mit Incident Responses bei ausgeschaltetem System

Hier werden die Schritte beschrieben, um die Informationen von einem ausgeschalteten System im Fall eines Incident Responses zu erfassen.

Instructions

Folgende Schritte sind durchzuführen:

1. Alle fremden Personen vom System und der Stromversorgung entfernen

2. Umgebung fotografieren bzw. Skizze anfertigen (Standort der Systeme, Monitore u.s.w.)

3. Eventuell aktive Druckjobs zu Ende laufen lassen

4. Unter keinen Umständen das System einschalten

5. Sicherstellen, dass das System wirklich ausgeschaltet ist (Bildschirmschoner können oft täuschen)

6. Ist das System eventuell im Standby-Modus? Sonst bei Notebooks das Akku entfernen, damit nicht ein Energiesparmodus anspringt und möglicherweise Zeitstempel verändert

7. Stromkabel am Gerät entfernen

8. Netzwerkkabel entfernen, damit eine WakeOnLan-Funktion den Rechner nicht wieder hochfahren lässt

9. Alle sichergestellten Geräte und Objekte müssen eindeutig beschriftet werden (wichtig, wenn die Analyse und Sicherstellung durch unterschiedliche Personen durchgeführt werden)

10. Nähere Umgebung nach Notizen oder Papierunterlagen durchsuchen

11. Nach Möglichkeit sollte der Anwender nach Besonderheiten des Systems, Passwörtern oder anderen Konfigurationsspezifika befragt werden. Die Antworten sollten genau dokumentiert und bei Bedarf kritisch hinterfragt werden

12. Dokumentation aller mit der sichergestellten Hardware durchgeführten Tätigkeiten

Quelle

 Geschonnek, Alexander: Computer Forensik. dpunkt Verlag, 6. aktualisierte und erweiterte Aufl., 2014, Seite 54,96-97.

Verwandte Artikel

• Page:
  Vorgehensweise mit Incident Responses bei ausgeschaltetem System
• Page:
  Vorgehensweise mit Incident Responses bei laufendem System