Basishandbuch für Computeruntersuchungen für Windows
Kapitel 4: Erstellen eines Untersuchungsberichts
Veröffentlicht: 11. Jan 2007
In diesem Kapitel wird beschrieben, wie die in einer Computeruntersuchung gesammelten Informationen und die erstellte Dokumentation verwaltet werden sollten. Weiterhin befasst sich das Kapitel mit dem Erstellen eines Abschlussberichts. Verwenden Sie den in der folgenden Abbildung gezeigten zweistufigen Prozess.
.gif "Berichterstellungsphase der Computeruntersuchung.")
Abbildung 4.1. Berichterstellungsphase des Computeruntersuchungsmodells
Auf dieser Seite
Sammeln und Organisieren der Informationen
Erstellen des Berichts
Sammeln und Organisieren der Informationen
Während der Anfangsphase einer Computeruntersuchung erstellen Sie Dokumentationsmaterial über die spezifischen Aktivitäten in jeder Phase. Dann müssen Sie die innerhalb des Dokumentationsmaterials spezifischen Informationen ermitteln, die für Ihre Untersuchung relevant sind, und diese nach angemessenen Kategorien ordnen. Verwenden Sie das folgende Verfahren, um die für den Abschlussbericht erforderlichen Informationen zu sammeln und zu ordnen.
Sammeln Sie das gesamte Dokumentationsmaterial und alle Notizen aus der Bewertungs-, Sammlungs- und Analysephase. Geben Sie entsprechende Hintergrundinformationen an.
Ermitteln Sie, welche Teile der Dokumentation für die Untersuchung relevant sind.
Ermitteln Sie Fakten, durch die die Schlussfolgerungen des Berichts unterstützt werden.
Erstellen Sie eine Liste aller mit dem Bericht einzureichenden Beweise.
Stellen Sie die Schlussfolgerungen für den Bericht zusammen.
Verwalten und klassifizieren Sie die gesammelten Informationen, um einen klaren und präzisen Bericht zu erhalten. Beziehen Sie sich auf den unten stehenden Abschnitt „Erstellen des Berichts“ und das Beispieldokument Internal Investigation Report.doc (siehe Anhang: Ressourcen dieses Handbuchs), um Hilfestellung zur Organisation und Verwaltung der Informationen zu erhalten.
Erstellen des Berichts
Nach dem Kategorisieren der Informationen können Sie auf dieser Grundlage den Schlussbericht schreiben. Es ist äußerst wichtig für eine erfolgreiche Untersuchung, dass der Bericht klar und präzise und für die richtige Zielgruppe geschrieben ist.
Die folgende Liste enthält Empfehlungen zur Gliederung des Berichts sowie zu den Informationen, die in den einzelnen Abschnitten enthalten sein sollten.
Zweck des Berichts. Legen Sie das Ziel des Berichts, das Zielpublikum und den Grund für den Bericht klar dar.
Autor des Berichts. Führen Sie alle Autoren und Koautoren des Berichts unter Angabe ihrer Position, des Verantwortungsbereichs bei der Untersuchung und der Kontaktdaten auf.
Zusammenfassung des Vorfalls. Legen Sie den Vorfall dar, und erläutern Sie seine Auswirkungen. Diese Zusammenfassung sollte so verfasst sein, dass eine nicht technisch bewanderte Person, z. B. ein Richter, verstehen kann, was passiert ist und wie es zu dem Vorfall kam.
Beweise. Beschreiben Sie die Beweise, die während der Untersuchung gefunden wurden. Geben Sie dabei an, wie und wann die Beweise erhoben wurden und von wem.
Details. Beschreiben Sie detailliert, welche Beweise mithilfe welcher Analysemethoden analysiert wurden. Erläutern Sie die Ergebnisse der Analyse. Führen Sie die während der Untersuchung befolgten Verfahrensweisen und Analysetechniken auf. Schließen Sie Nachweise für Ihre Ergebnisse ein, z. B. Berichte von Hilfsprogrammen und Protokolleinträge. Begründen Sie alle aus der Analyse gezogenen Schlussfolgerungen. Beschriften Sie die unterstützenden Dokumente, nummerieren Sie alle Seiten und beziehen Sie sich in der Analyse auf die entsprechenden Dokumentbeschriftungen. Beispiel: „Firewallprotokoll des Servers, unterstützendes Dokument D“. Machen Sie außerdem Angaben zu den Personen, die die Untersuchung durchgeführt haben oder daran beteiligt waren. Sofern angebracht, fügen Sie eine Liste von Zeugen hinzu.
Schlussfolgerung. Fassen Sie das Ergebnis der Untersuchung zusammen. Die Schlussfolgerung sollte sich auf das Ergebnis der Untersuchung beziehen. Zitieren Sie spezifische Beweise, zur Unterstützung der Schlussfolgerung, geben Sie an dieser Stelle aber nicht zu viele Details darüber an, wie die Beweise erhoben wurden (diese Informationen sollten im Abschnitt „Details“ enthalten sein). Begründen Sie die Schlussfolgerung mit unterstützenden Beweisen und Dokumentationsmaterial. Die Schlussfolgerung sollte möglichst klar und eindeutig sein. Vielfach wird sie bereits am Anfang eines Berichts aufgeführt, da es sich hierbei um Aktionsdaten handelt.
Unterstützende Dokumente. Stellen Sie alle Hintergrundinformationen zur Verfügung, auf die sich der Bericht bezieht, z. B. Netzwerkdiagramme, Dokumente mit Beschreibungen der Untersuchungsverfahren und Übersichten über Technologien, die in der Untersuchung zum Tragen kamen. Die unterstützende Dokumentation sollte genügend Informationen erhalten, damit die Leser des Berichts den Vorfall so weit wie möglich verstehen können. Wie bereits oben erwähnt, sollten Sie alle unterstützenden Dokumente mit Buchstaben versehen und alle Seiten nummerieren. Legen Sie dem Bericht eine Liste aller unterstützenden Dokumente bei.
- Wenn der Bericht einem Zielpublikum mit unterschiedlichen Fachkenntnissen zur Verfügung gestellt werden soll, sollten Sie die Erstellung eines Glossars mit im Bericht verwendeten Fachbegriffen erwägen. Ein Glossar ist besonders hilfreich, wenn die Behörde sich nicht mit technischen Fachbegriffen auskennt, oder wenn der Vorfall vor Gericht kommt.
.gif "Dd443684.note(de-de,TechNet.10).gif")
** Hinweis:**
Im Zuge einer Untersuchung werden Sie wertvolle Informationen über die in Computeruntersuchungen eingesetzten Prozesse sammeln. Weiterhin erhalten Sie ein besseres Verständnis und sammeln Erfahrung über betriebs- und sicherheitsbezogene Verfahren. Hiervon ausgehend sollten Sie Ihre bestehende Dokumentation zur betrieblichen Vorfallbehandlung aktualisieren und die während der Untersuchung gewonnenen Erkenntnisse implementieren. Wenn eine solche Dokumentation in Ihrer Organisation nicht besteht, oder wenn Sie ein Dokumentationsformat im Industriestandard einführen möchten, können Sie die Dokumentationsvorlagen und Anleitungen des Microsoft® Operations Framework (MOF) verwenden. Weitere Informationen über MOF erhalten Sie auf der Homepage des Microsoft Operations Framework.
In diesem Beitrag
- Übersicht
- Kapitel 1: Bewerten der Situation
- Kapitel 2: Sammeln der Daten
- Kapitel 3: Analysieren der Daten
- Kapitel 4: Erstellen eines Untersuchungsberichts
- Kapitel 5: Angewandtes Szenariobeispiel
- Anhang: Ressourcen
- Danksagung
Download (engl.)
Laden Sie das Basishandbuch für Computeruntersuchungen für Windows herunter.
Update Notification (engl.)
Melden Sie sich an, um Informationen über Aktualisierungen und neue Veröffentlichungen zu erhalten.
Feedback (engl.)
Senden Sie uns Ihre Kommentare oder Vorschläge.
.gif "Dd443684.pageLeft(de-de,TechNet.10).gif") 5 von 8 .gif "Dd443684.pageRight(de-de,TechNet.10).gif") |