Bei der Behandlung von Sicherheitsvorfällen stellt sich am Anfang die Frage, ob überhaupt ein Vorfall vorliegt. Manchmal sind die ersten Anzeichen schon eindeutig (z.B. ein neues Design der eigenen Startseite - ein so genanntes "Defacement" - oder ein Denial of Service Angriff verhindert eine Verbindung ins Internet). Oft ist es nicht sofort eindeutig entscheidbar, ob ein Vorfall vorliegt.
Ob ein Vorfall vorliegt, sollte man möglichst systematisch und am besten anhand einer Checkliste feststellen. Im Folgenden zwei Leitfäden, die als Ausgangspunkt für eine eigene Checkliste verwendet werden können:
- Suche nach Hinweisen auf Kompromittierung am Beispiel von UNIX / Linux
- Suche nach Hinweisen auf Kompromittierung am Windows-Beispiel