Incident-Response-Team

Aus IT-Forensik Wiki
Version vom 11. Dezember 2018, 14:55 Uhr von Etduen (Diskussion | Beiträge)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Team, welches eine IT-forensische Ermittlung durchführt.

Ein wesentlicher Erfolgsfaktor für eine gute Ermittlung liegt in den Fähigkeiten der ermittelnden Personen. Es ist sinnvoll, im Vorfeld innerhalb der eigenen Organisation zu sondieren, wer im Ernstfall in einem Ermittlungsteam einen sinnvollen Beitrag leisten kann. Zwar bestimmt häufig die aktuelle Situation, welche Personen aus den betroffenen IT- oder Fachbereichen aufgrund der Detailkenntnisse in die Ermittlergruppe gehören, gewisse Schlüsselpositionen sollten aber mit erfahrenen Personen besetzt werden. Bei der Zusammenstellung des Teams sollte auch besonderer Wert auf die Integrität und Zuverlässigkeit der Mitarbeiter gelegt werden. Die Fähigkeiten der möglichen Kernmitglieder des Teams sollten in aktuellen »Skills-Profilen« festgehalten werden. (Geschonnek, S. 47ff)

Innerhalb des Response-Teams sollten abhängig von den Rahmenbedingungen im jeweiligen Unternehmen folgende Positionen (die nicht immer von unterschiedlichen Personen besetzt werden müssen) vorgesehen werden:

  • Leiter des Teams mit entsprechendem Stellvertreter
  • Personen, die telefonische Meldungen entgegennehmen
  • Spezialisten für die Erfassung und Behandlung des Vorfalls
  • Spezialisten, die sich mit Schwachstellen beschäftigen
  • Spezialisten, die über die konkret eingesetzten Plattformen vertiefte Sicherheitskenntnisse besitzen
  • Schulungspersonal

Mitglieder eines Incident-Response-Teams sollten besondere Fähigkeiten (Skills) besitzen:

  • Personen mit der Fähigkeit, effiziente und annehmbare Entscheidungen zu treffen

  • sehr gute Fähigkeiten in Schrift und Sprache mit Betroffenen oder externen Kommunikationspartnern

  • besonnenes Verhalten 

  • Beachten von Regeln und festglegte Prozeduren, besonders um die Beweiskraft der Tatspuren nicht zu gefährden

  • Verständnis für die Notwendigkeit ständiger Weiterbildung
- Belastbarkeit auch in Stresssituationen

  • Teamfähigkeit und gesunder Menschenverstand
- vorbildliches Verhalten bei sicherheitsrelevanten Tätigkeiten
  • 
klare Entscheidungsfähigkeit auch in Stresssituationen



Bei großen Institutionen sollte betrachtet werden, dass dieses Incident Response Team dauerhaft in die Struktur der Institution integriert wird.