Incident-Response-Team

Aus IT-Forensik Wiki

Team, welches eine Ermittlung durchführt.

Ein wesentlicher Erfolgsfaktor für eine gute Ermittlung liegt in den Fähigkeiten der ermittelnden Personen. Es ist sinnvoll, im Vorfeld innerhalb der eigenen Organisation zu sondieren, wer im Ernstfall in einem Ermittlungsteam einen sinnvollen Beitrag leisten kann. Zwar bestimmt häufig die aktuelle Situation, welche Personen aus den betroffenen IT- oder Fachbereichen aufgrund der Detailkenntnisse in die Ermittlergruppe gehören, gewisse Schlüsselpositionen sollten aber mit erfahrenen Personen besetzt werden. Bei der Zusammenstellung des Teams sollte auch besonderer Wert auf die Integrität und Zuverlässigkeit der Mitarbeiter gelegt werden. Die Fähigkeiten der möglichen Kernmitglieder des Teams sollten in aktuellen »Skills-Profilen« festgehalten werden. (Geschonnek, S. 47ff)

Innerhalb des Response-Teams sollten abhängig von den Rahmenbedingungen im jeweiligen Unternehmen folgende Positionen (die nicht immer von unterschiedlichen Personen besetzt werden müssen) vorgesehen werden:

  • Leiter des Teams mit entsprechendem Stellvertreter
  • Personen, die telefonische Meldungen entgegennehmen
  • Spezialisten für die Erfassung und Behandlung des Vorfalls
  • Spezialisten, die sich mit Schwachstellen beschäftigen
  • Spezialisten, die über die konkret eingesetzten Plattformen vertiefte Sicherheitskenntnisse besitzen
  • Schulungspersonal