Nachdem feststeht, dass wirklich ein Vorfall vorliegt, sollte das weitere Vorgehen mit allen Beteiligten abgesprochen werden. Dazu gehören neben den Kollegen auch Vorgesetzte, Kunden sowie Betreuer und Benutzer der betroffenen Systeme und Anwendungen. Weitere Beteiligte sind ggfs. ihr Rechtsbeistand bzw. Ermittlungsbehörden (speziell, wenn juristische Schritte unternommen oder Anzeige erstattet werden soll), die Pressestelle, ISP(s), Hersteller (z.B. für Patches) und natürlich die CERTs.
Die eigentliche Analyse befasst sich mit zwei Bereichen: Einmal die näheren Umstände des Vorfalls aufzuklären:
- Wann und wo ist der Vorfall passiert?
- Was genau ist passiert?
- Wer ist beteiligt und wer ist der Angreifer?
- Wie ging er vor? Welche Schwachstelle wurde ausgenutzt?
- Welcher Schaden ist bisher entstanden? Welcher weitere Schaden droht?
Daneben soll das weitere Vorgehen festgelegt werden, d.h. wie der Vorfall einzudämmen ist und wie die Kontrolle über die angegriffenen Systeme wieder erlangt werden kann.