Beweise sichern nach IT-Angriffen

Verhalten im Verdachtsfall

Nehmen wir an, Sie haben einen Verdacht und ziehen eine entsprechende Untersuchung in Betracht. In jedem Fall sollten Sie einige Grundregeln beachten. Der Grund, warum IT-Forensik immer von einem externen Dienstleister durchgeführt werden sollte, ist simpel: In vielen Fällen kommt ein Angriff aus den eigenen Reihen. Wird nun also ein Administrator mit der Lösung des Falls beauftragt, für den er vielleicht selbst verantwortlich ist, wird der Schuldige nie gefunden.

Und selbst wenn man seinem Mitarbeiter hundertprozentig vertraut, besteht doch die Gefahr, dass er mangels Erfahrung relevante Spuren übersieht oder sogar unbeabsichtigt verwischt und damit eine spätere professionelle Untersuchung erschwert. Sind Sie der Entdecker des Zwischenfalls, dann sind folgende Punkte zu beachten:

• Wenden Sie sich direkt an den Geschäftsführer

• Erzählen Sie niemandem sonst von Ihrem Verdacht

• Kontaktieren Sie einen professionellen IT-Forensik-Dienstleister

• Versuchen Sie keinesfalls, selbst Spurensuche zu betreiben

• Erstellen Sie eine Liste der möglicherweise betroffenen Systeme

Nun nehmen die Dinge ihren Lauf. Im ersten Schritt wird sich ein professioneller Dienstleister ein genaues Bild über die Situation machen und prüfen, welche Systeme eventuell betroffen sind, bevor er diese überhaupt untersucht. In manchen Fällen ist es sinnvoll, mit weiteren Schritten bis zum Wochenende zu warten, damit Mitarbeiter nicht in die laufenden Untersuchungen involviert werden und aus Angst oder Unbehagen hastig potentielle Spuren verwischen.