Im Zuge der Befundaufnahme werden alle zur Analyse notwendigen …
- Informationen über Konfigurationen,
- Log-Dateien und Protokollen,
- eingesetzten Produkte und Technologien,
- verwendeten Systemkonfigurationen und
- verfassten und bereitgestellten Dokumentationen
vor Ort, im Zuge einer Beweissicherung, sowie durch Befragung der beteiligten Techniker gesichert. In Folge dessen wird ein gesamtes Lagebild erstellt, um so detailgetreu wie möglich, die Situation zum Zeitpunkt des Vorfalles zu erfassen.
Werden Systeme zum Zeitpunkt der Befundaufnahme operativ eingesetzt, wird in Abstimmung mit dem betriebsleitenden Techniker, die minimalinvasivste Variante gewählt, um den Betrieb weitestgehend unbeeinflusst zu lassen, aber dennoch die Befundaufnahme und/oder Beweissicherung durchführen zu können. Im Einsatzfall wird mit dem zuständigen Einsatzleiter oder Staatsanwalt das Maß des Eingriffes erörtert.
Sind alle für den Befund relevanten Systemkomponenten und Daten/Datenträger gesichert, folgt die Analyse aller zur Verfügung stehender Daten, Systemen und Angaben der Beteiligten. Hierbei werden Datenträger zuvor dupliziert und nach Notwendigkeit, für die jeweilig geforderte Beweisnotwendigkeit, mit einer digitaler Signatur versehen.
Ergebnis der System-/Datenträgeranalyse ist die Zusammenstellung aller aufgenommenen Informationen zu einem Befund.